Подозрение на вирусы

[SaiTa]

После загрузки операционки загружаются еще 2 окна:

Да, еще непонятные процессы проходили ранее, отписывался вот в этой теме

В силу сложившейся ситуации подозреваю, что в компе появились вирусы!

Высылаю отчеты:

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

И GetSystemInfo

[Tiare]

SaiTa, здравствуйте.

 

 

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\progra~1\windows ilivid toolbar\datamngr\datamngr.dll','');
QuarantineFile('C:\WINDOWS\system32\usbapi.dll','');
QuarantineFile('c:\progra~1\bandoo\bndhook.dll','');
QuarantineFile('ilivid.exe','');
QuarantineFile('MySQL.sys','');
QuarantineFile('Apache.sys','');
QuarantineFile('C:\Program Files\SmartFTP Client\sfShellTools.dll','');
QuarantineFile('C:\Program Files\mediabar toolbar\rubarbroker.exe','');
QuarantineFile('C:\Program Files\mediabar toolbar\rubar.dll','');
QuarantineFile('C:\Program Files\mediabar toolbar\rubarupdateservice.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.

 

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

 

 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

 

 

- обновите Java до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

Обновлять или нет - на ваше усмотрение

Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC: Новые доступные обновления

Загрузить новый драйвер

 

 

 

После этого выполните новые логи по правилам раздела

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

+

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
  
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала
  

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[SaiTa]

А как реагировать на эти сообщения:

[Roman_Five]

А как реагировать на эти сообщения:

это при очистке корзины? при использовании ATFCleaner'a?

никак пока не реагировать. выполняйте все предложенные выше рекомендации.

[SaiTa]

это при очистке корзины? при использовании ATFCleaner'a?

никак пока не реагировать. выполняйте все предложенные выше рекомендации.

Да, начал с ATFCleaner'a а здесь сразу выпрыгивают эти окна. Испугался!

Спасибо!

Да еще,

Tiare а долго ли нужно ждать ответ с личного кабинета?

Изменено 5 октября, 2011 пользователем SaiTa

[SaiTa]

Tiare

Утилита Malwarebytes' Anti-Malware проверяет компьютер.

Все сделал как говорили.

Но проблема так же и осталась

После загрузки операционки загружаются еще 2 окна

Вот новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Да и еще, после установки SP3 стала моргать панель быстрого запуска!

Ничего не понимаю.

Изменено 5 октября, 2011 пользователем SaiTa

[Roman_Five]

SaiTa,

у меня для начала пара вопросов:

- используете это ПО?

1) Windows iLivid Toolbar

2) ADK's WinHider

3) mediabar Toolbar

4) YandexBar

5) bandoo

6) Xobni

 

если не используете - деинсталлируйте его.

если в списке установленных программ не значатся такие пункты или деинсталляция не происходит - воспользуйтесь CCleaner, где выберите "очистка реестра"

Изменено 5 октября, 2011 пользователем Roman_Five

[SaiTa]

SaiTa,

у меня для начала пара вопросов:

- используете это ПО?

1) Windows iLivid Toolbar

2) ADK's WinHider

3) mediabar Toolbar

4) YandexBar

5)

Только ADK's WinHider

[Roman_Five]

Да и еще, после установки SP3 стала моргать панель быстрого запуска!

в качестве эксперимента временно деинсталлируйте все "украшалки" рабочего стола (RocketDock, ...)

 

Только ADK's WinHider

а 5 и 6 пункт (добавил позднее)?

 

когда очистите реестр с помощью CCleaner, переделайте лог RSIT и сообщите, что из выше перечисленного можно подчищать.

[SaiTa]

в качестве эксперимента временно деинсталлируйте все "украшалки" рабочего стола (RocketDock, ...)

 

 

а 5 и 6 пункт (добавил позднее)?

 

когда очистите реестр с помощью CCleaner, переделайте лог RSIT и сообщите, что из выше перечисленного можно подчищать.

Кроме 2-й никакой программой не пользуюсь. Хотел удалить RocketDock и анимацию окон, да не нашел, где установлены.

Так, что можно остальные удалять.

log.txt

И еще долго сканит Утилита Malwarebytes' Anti-Malware. Скорее всего оставлю на ночь.

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('XobniService', 4);
SetServiceStart('Bandoo Coordinator', 4);
QuarantineFile('C:\Program Files\mediabar toolbar\*.*','');
QuarantineFile('E:\NTGLM7X.sys','');
QuarantineFile('E:\NTACCESS.sys','');
QuarantineFile('E:\install4\MSICPL.sys','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\gccusd.sys','');
QuarantineFile('C:\Program Files\Xobni\*.*','');
QuarantineFile('C:\PROGRA~1\Bandoo\*.*','');
QuarantineFile('C:\WINDOWS\003006_.tmp ',' ');
DeleteFile('C:\WINDOWS\003006_.tmp ');
DeleteFileMask('C:\PROGRA~1\Bandoo\ ','*.* ',true ,' ');
DeleteDirectory('C:\PROGRA~1\Bandoo\ ',' ');
DeleteFileMask('C:\Program Files\Xobni\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\Xobni\ ',' ');
DeleteFileMask('C:\Program Files\mediabar toolbar\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\mediabar toolbar\ ',' ');
DelBHO('23DD83B5-BDDC-49CE-B77B-514819C6D551');
DeleteService('XobniService');
DeleteService('Bandoo Coordinator');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll
O20 - AppInit_DLLs: c:\progra~1\windows ilivid toolbar\datamngr\datamngr.dll c:\progra~1\windowsc:\progra~1\bandoo\bndhook.dll

 

Сделайте новые логи по правилам.

[SaiTa]

Вот отчет от Malwarebytes' Anti-Malware

mbam_log_2011_10_05__18_48_16_.txt

Остальное уже завтра.

Спасибо!

[Roman_Five]

Хотел удалить RocketDock и анимацию окон, да не нашел, где установлены.

Win+R

msconfig

автозагрузка

снимите галочки со всего, чего не знаете или не нужно (в т.ч. и RocketDock).

перезагрузитесь.

 

"левые" окна появились?

 

Вот отчет от Malwarebytes' Anti-Malware

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Крэки - на Ваше усмотрение.

 

Проверьте на virustotal.com следующие файлы:

c:\documents and settings\user\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe (Adware.ADON) -> No action taken.
c:\documents and settings\user\application data\microsoft\warcraft iii\BNVBotII.exe (Trojan.Dropper) -> No action taken.
c:\Install\от сергея\warcraft_iii\BNVBotII.exe (Trojan.Dropper) -> No action taken.
c:\program files\Opera AC\misc\txt2clip.exe (Backdoor.Bot) -> No action taken.
c:\program files\invisible ip map\invisibleip.exe (Malware.NSPack) -> No action taken.

[SaiTa]

После чистки автозагрузки выпрыгивает только папка System32

И еще, в автозагрузке 2 KasperskyUpdater и 2 RocketDock с одинаковыми путями.

Плюс после выключения из автозагрузки RocketDock он снова включен!

MBAM заново проверяет комп. Это может занять часа 3-4.

Не могу загрузить файлы

Изменено 6 октября, 2011 пользователем SaiTa

[Roman_Five]

Не могу загрузить файлы

куда? сюда на форум или virustotal?

 

проверил. сюда. сообщу по инстанции.

Изменено 6 октября, 2011 пользователем Roman_Five