Вирус не пускает на сайты

[Ascania]

Три дня терроризирует вирус. Сначала просто не пускал на сайты дайри и контакт, думала, что просто там проблемы. Потом перестали пускать и на другие сайты. Др Вэб находил что-то, но проблему не решило. теперь не открывается опера с первого раза. говорит, что нет доступа, не открываются некоторые папки, The Ват говорит, что это его первый запуск... Так как ни одна из предложенных программ не запускается, запустила Combofix. Он правда писал что-то про др вэб, но я его отключала.

Через некоторое время чудом удалось запусть AVZ, успела сделать только лог № 3, после перезагрузки не запускается. HJT тоже не запускается, на мгновение только. Автоматически Malwarebytes' Anti-Malware обновлять не дает, пишет ошибка код 703. После скачивания обновлений вообще перестает запускаться, ошибка 732.

Помогите, пожалуйста.

mbam_log_2010_09_11__17_18_13_.rar

ComboFix.rar

rsit.rar

virusinfo_syscure.zip

mbam_log_2010_09_11__17_18_13_.rar

ComboFix.rar

rsit.rar

virusinfo_syscure.zip

[edde]

Эх зачем же из пушки то по воробьям :)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Попробуйте сделать логи нормальным авз

Изменено 11 сентября, 2010 пользователем edde

[edde]

+

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\docume~1\9f37~1\locals~1\temp\mbr.sys','');QuarantineFile('c:\windows\system32\e9df6d86.exe','');QuarantineFile('c:\windows\system32\f2e8b625.exe','');QuarantineFile('c:\windows\system32\ubkzsv.exe','');DeleteFile('c:\docume~1\9f37~1\locals~1\temp\mbr.sys');DeleteFile('c:\windows\system32\e9df6d86.exe');DeleteFile('c:\windows\system32\f2e8b625.exe');DeleteFile('c:\windows\system32\ubkzsv.exe');RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Карантин с паролем virus вышлите на ящик myedde@mail.ru

скачайте ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe проведите проверку

Обновите базы

Повторите логи

[Ascania]

Да не запускается у меня AVZ!!! Как я все это выполню??

[edde]

В безопасном режиме полиморф можете запустить?

[Ascania]

Логи:

hijackthis.rar

rsit.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

rsit.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Что с проблемами?

Пофиксить в HJT строки

O2 - BHO: eSnipBHO - {B530A9A4-1722-4D16-AAD6-AA85E3AD2ADE} - (no file)R3 - URLSearchHook: (no name) - - (no file)O4 - HKUS\S-1-5-18\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [iE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

И удалите комбофикс, просил же

[Ascania]

А Windows пишет, что не нашел Combofix /Uninstall.

[Ascania]

Автоматически Malwarebytes' Anti-Malware обновлять не дает, сначала пишет ошибка код 703, потом 732. Ссылка ваша на обновления ведет на несуществующую страницу. Базы обновила из ссылки в другой теме, после обновления баз работать программа отказалась. Скачала новую программу. Прилагаю лог. Три из них (найденных)я не удаляю обычно, это от безопасности Виндовз, потом этот щит с крестиком с трее замучает.

mbam_log_2010_09_12__10_08_47_.rar

mbam_log_2010_09_12__10_08_47_.rar

[edde]

выполните скрипт авз

beginExecuteRepair(20); RebootWindows(true);end.

Компьютер перезагрузится.

Должен появиться доступ к антивирусным сайтам и обновлениям.

Повторте логи нормальным авз и лог rsit прикрепить не забудьте.

Изменено 12 сентября, 2010 пользователем edde

[Ascania]

Вот:

virusinfo_syscheck.zip

virusinfo_syscure.zip

rsit.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

rsit.rar

[edde]

По логу - чисто.

Что с проблемами?

Комбофикс так и не удалось удалить?

http://oldtimer.geekstogo.com/OTC.exe

[Ascania]

А для чего эта ОТС? Я ж комбофикс запускала с рабочего стола, не устанавливала. А запускающий из закачек исчез после ОТС. Проблемы исчезли, все запускается, все работает, пускают на все сайты. Можно надеяться, что я от вируса избавилась? Огромное спасибо!!

[edde]

Я ж комбофикс запускала с рабочего стола, не устанавливала.

Программа не является резидентной и имеет свой собственный всторенный установщик, поэтому после её использования её надо обязательно деинсталлировать. :)

Будьте здоровы.

[Ascania]

Только у меня при выключении компа меню вот такое стало:

Как вернуть назад три кнопочки?

Scrin.rar

Scrin.rar

[edde]

Пуск->Панель управления-> Учетные записи. "Выбор параметров входа и выхода из системы" поставьте галочку "Использовать страницу приветствия"

[Ascania]

Пуск -> Панель управления -> Учётные записи пользователей -> Изменение входа пользователей в систему ->

Выдает: Службы клиента для NetWare выполнили отключение экрана приветствия и быстрое переключение пользователей.Чтобы восстановить эти особенности ,нужно отменить установку служб клиента для NetWare.

Подскажите , как это сделать.

панель управления - сетевые подключения - подключение по локальной сети

кликаешь свойство и в списке компонентов удалить клиента для NetWare - не помогает

[edde]

Пуск - Настройка - Сетевые подключения - Свойства вашего сетевого подключения - вкладка Общие - удалите Клиент для сетей Netware если он не нужен вам для выхода в сеть.

[Ascania]

О, господи! Это бесконечный процесс!! Удалила, ничего не помогло. Более того, вернулись все прошлые проблемы: опера открывается со второго раза, AVZ, HJT не запускаются...

[Ascania]

Попыталась загрузиться в безопасном режиме - не получилось. Пишет, что необходимо перезагрузить, произошла непредвиденная остановка службы Запуска серверных процессов DCOM. Отключение системы вызвано NT AUTORITY\SYSTEM.

После пары перезагрузок все запустилось. Посмотрите логи, пожалуйста. Наверное осталась какая зараза..

Др Вэб нашел Trojan.RWS.Ibank.183

hijackthis.rar

rsit.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

rsit.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Повторное заражение налицо.

выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\80cf55da.exe','');QuarantineFile('c:\windows\system32\isedko.exe','');DeleteFile('c:\windows\system32\80cf55da.exe');DeleteFile('c:\windows\system32\isedko.exe');RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(20);RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет создан архив с карантином

Карантин с паролем virus вышлите на ящик myedde@mail.ru

скачайте http://www.freedrweb.com/livecd/ запишите диск проведите полную проверку всех дисков

Карантин от вас так и не пришел ни один

Повторите логи

[Ascania]

Спасибо большое. Карантин отправила (Прошу прощения, я раньше и не заметила текст про карантин) Остальное выполняю.