» Помощь при лечении компьютера от вирусов

Здравствуйте! Прошу помощи!
После удаления зловреда-вымогателя при старте системы не запускается explorer.exe. троян подменил файл userinit.exe дубликат его был взят с установочного диска windows.
после поверки AVPTool найдено еще 11 троянов. Стандартные cкрипты и востановление системы AVZ результата не дали.
ссылки:
virusinfo_syscure.zip (19.3 КБ) Ссылка
info.txt (18.7 КБ) Ссылка
log.txt (16.1 КБ) Ссылка

Заранее Спасибо!!!!!!

Здравствуйте, очень нужна помощь! Мой ноутбук поймал вирус-вымогатель, не помню что делала, но табличка с требованием денег исчезла. Но после этого Windows не грузится. Отформатировала С диск, попыталась заново установить оп. систему, но при перезагрузке снова выходит "Не удалось выполнить загрузку и запуск ОС Windows.Возможно, это является следствием изменений в параметрах настройки оборудования или программного обеспечения.....и т.д. и т. п." Далее предлагается выбрать режим загрузки. Какой бы ни выбирала опять выходит то же сообщение. А перед этим на какую-то долю секунды мелькает синий экран с сообщением (успела на мобильник сфотографировать): A problem has been detected and Windows has been shut down to prevent damage to your computer.
If this is the first time you've seen this stop error screen, restart your computer.If this screen appears again, follow these steps:
Check for viruses on your computer.Remove any newly installed hard drives or hard drive controllers.Check your hard drive to make sure it is properly configured and terminated.Run CHKDSK /F to check for hard drive corruprion, and then restart your computer.
Technical information:
*** STOP: 0x0000007B (0xF78D2524,0xc0000034,0x00000000,0x00000000)"
Помогите, пожалуйста!!!

alexruvol
- Выполните скрипт:

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\conime32.exe','');
DeleteFile('C:\WINDOWS\system32\conime32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(8); {восстановление настроек проводника}
BC_Activate;
RebootWindows(true);
end.

gjf
Огромное Спасибо!!!
Я уже разобрался. Это был троян Trojan.Winlock.3278. он подменил и переименовал userinit.exe в 03014D3F.exe вернул все на место и ЗАРАБОТАЛО!!! Реестр правил еще до этого. Подробное описание лечения ручками, можно без труда найти на просторах ru-нета

Доброго здоровья!

Требуется консультация.

Как полагаете, есть основания для беспокойства?
Репорт 1, Репорт 2, Оригиналы (пароль: virus).

Эти фалы обнаружил и поместил в карантин бесплатный Avast 6.0.1125 во время сканирования при загрузке.

alexruvol
Вы скрипты выполняли? Если да - снимите хвосты:
Выполните скрипт:

Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.

Здравствуйте!

Проблема: невозможно пройти авторизацию на сайтах vkontakte.ru и vk.com браузерах Опера 11.50 и ИЕ8. Пробовал через тех.поддержку и т.п. - не получается, ничего не происходит.
Установил гугл хром - авторизация прошла успешно.
Хотелось бы решить вопрос с Оперой и ИЕ.

Мои действия:
выгрузил КИС, запустил утилиту др.веба - на быстрой и полной проверке вирусов не обнаружено.

log.txt - http://www.mediafire.com/?orx38xu3zea4hrs
info.txt - http://www.mediafire.com/?86hn3s6e935bmd0
virusinfo syscure.zip - http://www.mediafire.com/?dycbn6qdoqrt9n1

delete post please

FokysStar
- Выполните скрипт:

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
QuarantineFile('C:\WINDOWS\system32\cpldapu\produkey.exe','');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000); {восстановление значений таймаутов}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

Опять я попала на вирус
http://narod.ru/disk/19024135001/virusinfo_syscure.zip.html
http://narod.ru/disk/19024184001/virusinfo_syscure.zip.html
http://narod.ru/disk/19024255001/hijackthis.log.html

Помогите почистить комп...

JulianaC
Да, зараза есть.
- Выполните скрипт:

Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('NetworkX');
DeleteFile('C:\WINDOWS\system32\mtgsgmh.dll');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\R6qJn443.sys');
DeleteFile('C:\WINDOWS\system32\ckldrv.sys');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

Ребят я перебробывал все антивирусные программы которые вы рекомендовали Так вот все они не видят вирусов... Когда я запускаю Оперу, Лису, Експлорер система сначала думает, а потом сообщает об отсутствии подключения к инету... Хотя я просмотрел оба мониторчика горят... Да еще когда я подключен к интернету и пытаюсь запустить какую либо программу она не запускается... Да и вообще система как то тормозит...

Что делать подскажите... ?

Makedonskiykot

Цитата:

Что делать подскажите... ?

Прочитать и выполнить то, что расписано в верхнем посте под заголовком Помощь при лечении компьютера от вирусов

Еще раз повторюсь... Действия все прошел которые здесь описаны... Всеми антивирусниками которые здесь представлены проганял систему на вирусы, но они так и не обнаружили вирус... Так что делать дальше... ? Как мне вирус выцепить... ?

Makedonskiykot, поместите ссылки на логи AVZ и RSIT, их посмотрят специалисты и дадут советы. Телепатически понять, в чём Ваша проблема, невозможно...

All

Как избавится от вируса маскирующегося под сообщение ростелекома о занятости каналов.

что предлагает каспер?

Pavel_SAM

Например, такое http://forum.kaspersky.com/index.php?showtopic=214966

У племянника начались проблемы с компьютером. Глючат любые игры, программы. Firefox не может нормально качать файлы. Они получаются битые.
Уважаемые гуру посмотрите, пожалуйста, логи. Спасибо.
virusinfo_syscure.zip
log.txt
info.txt

Плохого не видно

Удалите все остатки McAfee

Пропадает со временем: звук , инет , панель задач обретает классический вид windows 98
Вылетают ошибки : Generic Host Process for Win32 Services , syitm
проверял систему на вирусы Курелтом др веб ( нашел 1 вирус)
http://ifolder.ru/25254534 --- Log and rsit

Valgor6


Выполните скрипт в AVZ

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\LMCServ.exe','');
QuarantineFile('C:\WINDOWS\system32\85.exe','');
QuarantineFile('C:\WINDOWS\system32\84.exe','');
QuarantineFile('C:\WINDOWS\system32\76.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\62.exe','');
QuarantineFile('C:\WINDOWS\system32\58.exe','');
QuarantineFile('C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\WINDOWS\system32\45.exe','');
QuarantineFile('C:\WINDOWS\system32\44.exe','');
QuarantineFile('C:\WINDOWS\system32\36.exe','');
QuarantineFile('C:\WINDOWS\system32\28.exe','');
QuarantineFile('C:\WINDOWS\system32\15.exe','');
QuarantineFile('C:\WINDOWS\system32\07.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\service.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\lsass.exe','');
QuarantineFile('C:\Documents and Settings\11243\Application Data\lsass.exe','');
TerminateProcessByName('c:\windows\system32\smsc.exe');
QuarantineFile('c:\windows\system32\smsc.exe','');
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('c:\windows\aadrive32.exe','');
DeleteFile('c:\windows\aadrive32.exe');
DeleteFile('c:\windows\system32\smsc.exe');
DeleteFile('C:\Documents and Settings\11243\Application Data\lsass.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kjsdahflkjhnliuyctgbo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lsass.exe');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\lsass.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','kjsdahflkjhnliuyctgbo');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','lsass.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','kjsdahflkjhnliuyctgbo');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','lsass.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
DeleteFile('C:\WINDOWS\service.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Search Svc');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\07.exe');
DeleteFile('C:\WINDOWS\system32\15.exe');
DeleteFile('C:\WINDOWS\system32\28.exe');
DeleteFile('C:\WINDOWS\system32\36.exe');
DeleteFile('C:\WINDOWS\system32\44.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\46.exe');
DeleteFile('C:\WINDOWS\system32\58.exe');
DeleteFile('C:\WINDOWS\system32\62.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\85.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Здравствуйте! Мне посоветовали обратиться к вам с этой проблемой. После установки драйверов nForce 550 v.15.46(качал с MSI LiveUpdate) начались глюки с компом. Программы использующие интернет "Не отвечают" секунд 30, а потом загружаются как обычно. Заметил это когда стал запускать мультиплеер Call of Duty, однопользовательская игра запустилась без проблем. Подвисания пропадают при отключении сетевой платы, но каждый раз отключать и включать ее влом. Я удалил сетевую плату в диспетчере устройств и установил драйвера с диска мат. платы, но эффекта не обнаружил. Просканировал систему, вирусов ни Dr.Web, ни AVPTool не обнаружил. Пожалуйста разберитесь!
Вот логи:
http://rghost.ru/19225251 info.txt
http://rghost.ru/19225441 log.txt
http://rghost.ru/19225561 virusinfo_syscure.zip

отформатировал жесткий диск а ошибка появляется снова

Подозрения что компьютер заражён...
http://rghost.ru/private/19511731/4e06ba7a6087b101aedd5c9e5a47563f

Valgor6
Вы пришли сюда за помощью или заниматься самодеятельностью?

Обновите систему и сделайте новые логи

elvin04
Ничего опасного не нашел

Подскажите, компьютер постоянно ловит вирус aadrive32.exe, удаляю чищу реестр все папки все флешки, камеры, фотаппараты... и т.д. Через неделю-две снова замечаю что кто то ломиться в сеть или в процессах aadrive32.exe висит и в системных папках его мусор. Удаляю, все чищу по новой. И так уже 3 раза было. Похоже началось как снял аппаратный роутер с фаерволом. Стоят Dr.Web и Outpost 3.0.538.5720 - замечают этот вирус только когда запускаю Dr.Web на полное сканирование. А так даже не реагируют на присутствие вируса. Пользуюсь Оперой, хотя файлы вируса Dr.Web находит и во временной папке Internet Explorer.
Другие компы за аппаратным роутером работают отлично, хотя пользую одни программы и флешки.

В чем может быть дело? Недоудалил или через сеть лезут?
Спасибо.

secondd

Это сетевой вирус, который лезет через дыры в необновленной системе

Проблема возникла неожиданно, выключил нормально компьютер, включаю через 15 минут и началось.
Сам по себе работает заторможено, у меня на рабочем столе ярлык для подключения к интернету, кликнул на него, но ничего не произошло. Зашёл в панель управления, попытался открыть сетевые подключения... подвис... через ктрл+альт+дел вынес, вместе с закрытием папки пропали и появились все объекты стола. Не работает MsConfig , брендмаур, и ещё некоторые службы, звук есть.
Пробовал через безопасный режим восстановить, не помогло.
Когда MsConfig запускаю с консоли она появляется в процессах и остаётся там(и не выносится процесс), но дальше этого дело не идёт, чувство что какая то зараза блокирует.
Ещё в диспетчере задач, во вкладке процессы столбец имя пользователя пуст у всех процессов. Появился процесс Бездействие системы ЦП показывает 99 , 98.
CureIT не запустился и в безопасном тоже не запустился. RIST в обычном запуске завис при выполнении, хотя появился в процессах и память выделятся прекратилась на ~11 000 кб. Его запустил в безопасном и всё нормально создал.

Проблема на ноутбуке , пишу с нет бука.


все файлы тут
http://rghost.ru/19823591

Принес сосед комп с банером. Запустил лайвсиди антивинлокера и почистил темп папки и убрал с авторана странный экзешник типа todo.exe. Банер пропал. Но винда загружается появляется окно с входом под пользователем, но когда на него жмешь винда пишет "завершение сеанса" и окно приветствия винды остается неизменным. Что надо сделать, чтобы вернуть вход в винду в нужное русло?

Добавлено:
Поставлю вопрос под другим углом: как указать AVZ, что нужно сделать "восстановление системы", но не той ос, что загружена(антивинлокер), а той что на диске C? Винда в режиме командной строки не запускается, идёт в перегруз.

Windows XP Pro, Неизвестного происхождения.

thyrannosaurus
Спасибо, посмотрю обновления, хотя на XP сервис пак 3 стоит, вчера снова проявился вирус, беда в том, что антивирус на него совсем никак не реагирует, а вирус создает кучу экзешников под случайными именами и найти где они не просто. Есть какая-нибудь программа для лечения? Вчера позакрывал в фаерволе UDP, NetBIOS и др., похоже через них лезет.
Есть смысл снимать логи AVZ и др. и выкладывать здесь?