» Помощь при лечении компьютера от вирусов

winklive
1. Я Вам сказал выключить восстановление системы. Почему Вы это не сделалаи?
2. Попробуйте Gmer скачать отсюда. Без его логов - никак.

Gmer через пару секунд закрывается.

winklive
Сделайте лог с помощью VBA32 Antirootkit.
Vba32arkitLog.zip

Добавлено:
Саму утилиту скачайте отсюда.

gjf
касательно вчерашнего вопроса, вот, что было:
Worm.Win32.AutoRun.ehw
и еще, что может значить в avz:
>>> Обнаружена защита от антируткитов
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
Ошибка поиска KeServiceDescriptorTable в ntoskrnl.exe
и
Подозрение на маскировку ключа реестра службы\драйвера "dwall"

opt_step
В Ваших логах такого не было - поэтому понятия не имею

"редактирование реестра запрещено администратором системы" мне сказали что вирус, как обойти.

AngEra
Читаем: Как снять запрет на редактирование реестра

AngEra
Читаем шапку. Думаем. Выполняем.

gjf, вот лог VBA32 Antirootkit: http://rghost.ru/1923057

winklive
Скачайте вот эту утилиту и распакуйте в отдельную папку. Сохраните текст ниже как start.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: start.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!).

Код: TDSSKiller.exe -l C:\log.txt

скрин: http://rghost.ru/1924088.
с вашей,gjf, ссыли скачать не вышло, потому сделал логи той что была, может в этом дело.

winklive
Нет, это та самая утилита. Попробуйте запустить её без параметров - лог должен появитсья в корне диска. И он не должен быть пустым, как тот, что Вы мне выслали. Если получится - кидайте опять почтой.

Добавлено:
winklive
Пришёл Ваш файл - 3 байта, никакого текста. У вас, если открыть Блокнотом - то же самое?

текст

я его тогда прямо в тексте письма отправлю.

winklive
Сделайте комплект логов вот этой версией AVZ. Не волнуйтесь за расширение файла - сохраните его в любом месте и запустите.
HiJackThis можете больше не использовать.

winklive
Дополнительно к совету gjf выполните написанное ниже

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Запакуйте их вместе с логами спецверсии AVZ. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

http://rghost.ru/1928787


http://rghost.ru/1928789

winklive

Выполнять скрипты в том же AVZ, в котором делались последние логи

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\0BGnFGA.exe','');
QuarantineFile('C:\WINDOWS\system32\bpRsr45.exe','');
QuarantineFile('C:\WINDOWS\system32\ZPsFKUX.exe','');
QuarantineFile('C:\WINDOWS\system32\IQVC9Kl.exe','');
QuarantineFile('C:\WINDOWS\system32\DTEMgBr.exe','');
QuarantineFile('C:\WINDOWS\system32\six3xme.exe','');
QuarantineFile('C:\WINDOWS\system32\AAenaAp.exe','');
QuarantineFile('C:\WINDOWS\system32\xWo7TLR.exe','');
QuarantineFile('C:\WINDOWS\system32\ciSR532.exe','');
DeleteFile('C:\WINDOWS\system32\xWo7TLR.exe');
DeleteFile('C:\WINDOWS\system32\IQVC9Kl.exe');
DeleteFile('C:\WINDOWS\system32\ZPsFKUX.exe');
DeleteFile('C:\WINDOWS\system32\bpRsr45.exe');
DeleteFile('C:\WINDOWS\system32\0BGnFGA.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(19);
ExecuteRepair(20);
RebootWindows(true);
end.

thyrannosaurus
Доступ к сайтам появился, ответа еще не было.
Логи: http://rghost.ru/1929514

winklive

Выполните скрипт в AVZ

Код: begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Рома\Local Settings\temp\2133.exe','');
DeleteFile('C:\Documents and Settings\Рома\Local Settings\temp\2133.exe');
DeleteFile('C:\WINDOWS\system32\ciSR532.exe');
DeleteFile('C:\WINDOWS\system32\AAenaAp.exe');
DeleteFile('C:\WINDOWS\system32\six3xme.exe');
DeleteFile('C:\WINDOWS\system32\DTEMgBr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

это на 1 письмо:
0BGnFGA.exe,
bpRsr45.exe,
ZPsFKUX.exe - Backdoor.Win32.Shiz.gen
AAenaAp.exe,
IQVC9Kl.exe,
six3xme.exe - Backdoor.Win32.Shiz.hm
ciSR532.exe - Trojan.Win32.Scar.ckki
DTEMgBr.exe - Trojan.Win32.Scar.ckry
xWo7TLR.exe - Backdoor.Win32.Shiz.hn

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

sol.exe

Файл в процессе обработки.
Во втором ни один файл не указан

Логи будут позже, сейчас я вынужден отлучиться.

Есть лог. Симптомы болезни - не ходит на сайты антивирей. Остальные легко.
Стоит макафя. При скане указал, что svchost.exe - трой. Сравнил с им же из РЕ - размер тот же, содержание разное, подменил из-под РЕ. не помогло. Сделал лог.
Сам не вижу криминала никакого.

[more]
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 7:47:08 PM, on 6/19/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Alert Manager\amgrsrvc.exe
C:\PROGRA~1\Drivers\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\Program Files\AlDS\McAfee\VirusScan Enterprise\engineserver.exe
C:\Program Files\AlDS\McAfee\Common Framework\FrameworkService.exe
C:\PROGRA~1\Drivers\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AlDS\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\WINDOWS\system32\mfevtps.exe
C:\PROGRA~1\Drivers\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\AlDS\McAfee\VirusScan Enterprise\mcshield.exe
C:\PROGRA~1\Drivers\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\AlDS\McAfee\Common Framework\udaterui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AlDS\McAfee\Common Framework\McTray.exe
C:\Program Files\AlDS\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\TC7-0\Totalcmd.exe
C:\Program Files\AlDS\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\AlDS\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\NetTools\Ffox301\FirefoxPortable.exe
C:\Program Files\NetTools\Ffox301\App\firefox\firefox.exe
D:\SOFT\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\NetTools\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\AlDS\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\AlDS\McAfee\VirusScan Enterprise\scriptsn.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\NetTools\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\NetTools\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe Ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\AlDS\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\AlDS\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\AlDS\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-2337280499-2503939433-2991264713-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MSOffice\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MSOffice\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\NetTools\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\NetTools\FlashGet\flashget.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\AlDS\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\AlDS\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219657886039
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: McAfee Alert Manager (AlertManager) - McAfee Division of Network Associates, Inc. - C:\Program Files\Network Associates\Alert Manager\amgrsrvc.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\PROGRA~1\Drivers\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Program Files\AlDS\McAfee\VirusScan Enterprise\engineserver.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\AlDS\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\AlDS\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\AlDS\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\PROGRA~1\Drivers\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\PROGRA~1\Drivers\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7835 bytes
[/more]

bredonosec
Лога должно быть три, а не один.

Цитата:

Лога должно быть три, а не один.

+ от AVZ две? упс, забыл ((

gjf

Цитата:

Скачайте вот эту утилиту

зачем источник ссылки прятать?

Посмотрите пожалуйста мой компьютер

http://rghost.ru/1976224

http://rghost.ru/1976239

http://rghost.ru/1976248


А то опять др.веб наловил..

JulianaC

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\e9mZIem4.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\e9mZIem4.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.

Цитата:

А то опять др.веб наловил..
Что и где наловил?

Доктор веб у меня поймал Exploit.Java 51 и 52
Потом был Trojan.Packed 20343 аж в 2 папках...
Кажется Др.Веб их удалил..

JulianaC
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

gjf
Вот там советуют пользоваться Firefox.
Кстати он у меня по моему трояна и словил...

JulianaC
Firefox+NoScript+понимание, на каких сайтах нужны скрипты, а на каких - нет