Помогите справится с вирусами

[kabashok]

Здравствуйте, помогите мне пожалуйста! Я новичок в борьбе с вирусами, раньше всегда приходилось вызывать мастера, в этот раз хочу попробовать сама с вашей помощью.

Началось все с того, что однажды, при включении компа мне предложили отправить sms, чтобы разблокировать систему. После этого прогнала на вирусы, удалила, те что нашла.

Дальше комп стал тормозить, иногда зависал, выбрасывал из программ, а со вчерашнего дня программы начинают работать только после перезагрузки через F8, виснет, пропадала панель управления, из области уведомлений исчез значок аваста и отключается резидентская защита, переустановила, ничего не изменилось.

Сделала все как написано, трижды зависал cureit, пока удалось просканировать. Программы avz4 и HijackThis пришлось переименовать в 9090.bat

Что нужно сделать, чтобы убить зловредов, переустанавливать очень не хочется.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[thyrex]

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\services.exe','');QuarantineFile('C:\Temp\winlogon.exe','');QuarantineFile('C:\WINDOWS\system32\1049u.exe','');DeleteService('lanmanserverSpooler');DeleteFile('C:\WINDOWS\system32\1049u.exe');DeleteFile('C:\Temp\winlogon.exe');DeleteFile('C:\WINDOWS\services.exe');DeleteFileMask('C:\Temp\', '*.*', true);BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(9);RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Пофиксить в HiJack (некоторых строчек может не быть)

 F2 - REG:system.ini: UserInit=userinit.exeO4 - HKLM\..\Run: [services] C:\WINDOWS\services.exeO4 - HKCU\..\Run: [Firewall auto setup] C:\Temp\winlogon.exe 

Сделайте новые логи

[kabashok]

Спасибо за ответ!

Первый скрипт сделала, комп быстрее стал, появился в уведомлении аваст.

Втрой сделала, письмо отправила, жду.

Немного не поняла с третьим, если можно для тупых чуть подробнее, как это вставить.

Еще вопрос, логи делать все снова или только АВЗ?

Пофиксить в HiJack (некоторых строчек может не быть)

Нашла, как делать, сейчас выполню

Спасибо за ответ!

Первый скрипт сделала, комп быстрее стал, появился в уведомлении аваст.

Втрой сделала, письмо отправила, жду.

Немного не поняла с третьим, если можно для тупых чуть подробнее, как это вставить.

Еще вопрос, логи делать все снова или только АВЗ?

Пофиксить в HiJack (некоторых строчек может не быть)

Нашла, как делать, сейчас выполню

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\Temp\winlogon.exe

Этих двух строчек не нашла

[ТроПа]

ничего страшного. Теперь нужен новый комплект логов.

[kabashok]

ничего страшного. Теперь нужен новый комплект логов.

Все четыре?

[Alex56]

да все четыре

[kabashok]

Вот новые логи

Да, забыла написать, ответ на письмо я так и не получила.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Alex56]

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:FilesC:\fun.xls.exeD:\fun.xls.exe:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ba5928b-ec2d-11dc-ac95-00195b8616dd}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[kabashok]

Вот , что получилось:

Error: Unable to interpret <Processes> in the current context!

Error: Unable to interpret <explorer.exe> in the current context!

========== SERVICES/DRIVERS ==========

========== FILES ==========

File/Folder C:\fun.xls.exe not found.

File/Folder D:\fun.xls.exe not found.

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ba5928b-ec2d-11dc-ac95-00195b8616dd}\\ deleted successfully.

========== COMMANDS ==========

File delete failed. C:\Temp\fla5.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\QZGRYVQP\CAT8K3PP.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\QZGRYVQP\CAZE8RVD.0&w=160&h=90&u_h=768&u_w=1024&u_ah=768&u_aw=1024&u_cd=32&u_tz=240&u_his=1&u_java=true&dtd=62 scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\MLEPWH8Z\CAAV4R3C.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\KTEZW1EZ\CA1SIP9Z.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\KTEZW1EZ\iframe[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\KTEZW1EZ\index[1].php scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\8B8NEHWF\tns_cnt[3].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\89YJ4X6J\palette[1].htm scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\2J8DM50J\CASPAHZC.ru scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Пользователь\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

User's Temporary Internet Files folder emptied.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

Network Service Temp folder emptied.

File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Network Service Temporary Internet Files folder emptied.

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_610.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

Java cache emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05282009_200957

И еще висит и ни на что не реагирует брандмауэр. Пока писала сообщение, вот такая картинка появилась, уже не в первый раз.

[kabashok]

Вот, что я получила, на свое письмо:

This is the mail system at host mailgate.kaspersky-labs.com.

####################################################################

# THIS IS A WARNING ONLY. YOU DO NOT NEED TO RESEND YOUR MESSAGE. #

####################################################################

Your message could not be delivered for more than 4 hour(s).

It will be retried until it is 5 day(s) old.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can

delete your own text from the attached returned message.

[Alex56]

эта ошибка еще выскакивает, если да то нужно еще раз сделать комплект логов.

[thyrex]

Перед выполнением скриптов в AVZ, сначала в AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы).

И еще такое указание выполните

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

[kabashok]

Перед выполнением скриптов в AVZ, сначала в AVZ включите AVZPM (выбрать первую строчку в соответствующем меню программы).

И еще такое указание выполните

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Только экспресс-проверка, дальше не двигаемся, табличка выскакивает, да, утилиту переименовала, но безрезультатно

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[thyrex]

Что происходит при попытке выполнить полную проверку с помощью gmer?

Кнопкe Scan нажимаете?

Сделайте логи с помощью полиморфного AVZ из моей подписи с включенным AVZPM

[kabashok]

Что происходит при попытке выполнить полную проверку с помощью gmer?

Кнопкe Scan нажимаете?

Сделайте логи с помощью полиморфного AVZ из моей подписи с включенным AVZPM

ничего не происходит, кнопка неподвижна.

Постараюсь, но трудно, виснет через5-7 мин после включения, и появляется надпись, как на скрине.

[thyrex]

gmer выдает подозрение на руткит при запуске?

[kabashok]

Помогите, совсем беда, сделать логи не дает даже из безопасного режима, появляются табличеи про свхост и вин32, все сразу виснет.

[kabashok]

Теперь звук пропал, вот такое появилось

[kabashok]

Вот логи, которые удалось сделать

virusinfo_syscheck.zip

virusinfo_syscure.zip

1.log

hijackthis.log

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

1.log

hijackthis.log

log.txt

[thyrex]

Просил логи с помощью полиморфного AVZ, а Вы сделали с помощью обычного

Переделайте.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

[kabashok]

Просил логи с помощью полиморфного AVZ, а Вы сделали с помощью обычного

Переделайте.

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Сейсас попробую скачать и сделать, то что просите.

Он у меня виснет через 5-7 минут после перезагрузки,

Просил логи с помощью полиморфного AVZ, а Вы сделали с помощью обычного

Я нажимала на AVZPM , дальше установить драйвер расширенного мониторинга процессов, установила, он включен, так и сканировала, может не так сделала?

Я сейчас в безопасном режиме, из такого выбрасывает.

[thyrex]

Полиморфный АVZ (тот, что у меня в подписи) виснет или я что-то не понимаю?

Вы пытаетесь сделать логи в безопасном режиме?

[kabashok]

Полиморфный АVZ (тот, что у меня в подписи) виснет или я что-то не понимаю?

Вы пытаетесь сделать логи в безопасном режиме?

Сейчас да, из безопасного, комп с катушек съехал совсем.

Скачала тот, что у вас в подписи, там ярлык мс-dos, нвжимаю выскакивает программа AVZ

Прогнала там столько всег , и не знаю, что удалаять, вот прикркпила, боюсь удалить лишнее

mbam_log_2009_05_29__19_29_03_.txt

mbam_log_2009_05_29__19_29_03_.txt

[thyrex]

Так и должно быть. Это же AVZ :)

Просто его под таким именем разместили на файлообменнике.

Логи AVZ нужно делать в нормальном режиме

В логе MBAM можно отметить все пункты. И нажимать удаление

Разве что эти

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

можно не трогать, если не хотите заново настраивать Центр оповещения безопасности Изменено 29 мая, 2009 пользователем thyrex

[kabashok]

Спасибо за помощь, буду пробовать