[iRox]

1) Прогони утилитой ComboFix.exe
Прогони систему утилитой Cure It.
Воспользуйся интрументом CCleaner. Поищи ошибки в реестре. Бездумно не тыкай, глянь, что найдет. Не нужное удали.
После чистки перезагрузись.

2) Переустанови Windows Installer
http://www.microsoft.com/downloads/d...9-54d056d6f9f4

[Severny]

В HijackThis установите галочки перед значениями и нажмите "fix checked"

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

В AVZ меню Файл -- Выполнить скрипт. Скопируйте код и нажмите "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('AVPsys', 4);
 DeleteService('AVPsys');
 QuarantineFile('C:\WINDOWS\system32\vamsoft.exe','');
 QuarantineFile('C:\WINDOWS\system32\haozs0.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
 DeleteFile('C:\WINDOWS\system32\haozs0.dll');
 DeleteFile('C:\WINDOWS\system32\vamsoft.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\cdaudio.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните еще скрипт..

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

.. и получившийся карантин вышлите мне в приват.
Все логи нужно повторить.
В AVZ Меню Файл -- Мастер поиска и удаления проблем. Запустите и исправьте найденные проблемы.
Скачайте Flash Disinfector и запустите утилиту при вставленной флешке.
Утилита вылечит неисправности с открытием дисков и создаст с корнях дисков и флешке папку autorun.inf для предотвращения распрастранения инфекции.
Spyware Doctor следует удалить.
Скачайте Malwarebytes' Anti-Malware здесь . Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

[kamapaka]

Severny, большое спасибо! Выполнил все, как было написано в письме. Ниже отчет:

1) в HijackThis не нашел "O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe", остальное пофиксил
2) в AVZ выполнил первый скрипт, он выполнился, но в конце написал: Invalid data type for ". Попросил AVZ проверить синтаксис - все норм
3) ссылка на карантин - в ПМ
4) новые логи прикреплены к этому сообщению
5) AVZ Меню Файл -- Мастер поиска и удаления проблем - исправил
6) Flash Disinfector - сделал, окно автозапуска больше не открывается
7) Malwarebytes' Anti-Malware - сделал скан, он нашел 4 файла, их я удалил (см. ниже отчет).

читать дальше »

Malwarebytes' Anti-Malware 1.32
Версия базы данных: 1620
Windows 5.1.2600 Service Pack 3

06.01.2009 6:29:52
mbam-log-2009-01-06 (06-29-52).txt

Тип проверки: Полная (A:\|C:\|D:\|E:\|F:\|G:\|)
Проверено объектов: 245167
Прошло времени: 1 hour(s), 10 minute(s), 9 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 2
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
D:\Photo\ФОТО\Photos\ACDSEE32.24\CRACK\CR-ACD24.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\adaway.lic (Rogue.AdwareAway) -> Quarantined and deleted successfully.

Итог:
1. Скрытые и системные файлы стали отображаться.
2. Осталась проблема с появлением на пару секунд окошка Windows Installer при выполнении различных действий (удалить файл, нажатие ПКМ, также временами при работе в браузере).
3. Еще одна проблема - не перезагружается/выключается Виндовс. Если выбрал "Перезагрузка/Выключение", он доходит до "Завершение работы Windows..." на голубом фоне и так остается, мышью при этом я могу двигать. Перезагрузка из безопасного режима идет нормально. Так что приходится жать на Reset. Проблема появилась незадолго до сканирования AVZ для первого сообщения, но не из-за него.

[Severny]

Попробуй выполнить скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Program Files\Transit XV\BIN\FFDAssign.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
 QuarantineFile('Start1Driver.sys','');
 QuarantineFile('Cdaudio.sys','');
 SetServiceStart('Start1Driver', 4);
 SetServiceStart('AVPsys', 4);
 SetServiceStart('Cdaudio', 4);
 SetServiceStart('Start2Driver', 4);
 DeleteService('Start1Driver');
 DeleteService('Cdaudio');
 DeleteService('AVPsys');
 DeleteService('Start2Driver');
 DeleteFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\cdaudio.sys');
 DeleteFile('Cdaudio.sys');
 DeleteFile('Start1Driver.sys');
 DeleteFile('C:\WINDOWS\system32\haozs0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Если будет выдавать ошибку, то выполни сначала (меню Файл -- Стандартные скрипты) скрипт №6.
А после перезагрузку и данный скрипт.

Если не поможет, то попробуй такой скрипт.

Код:

begin
 QuarantineFile('C:\Program Files\Transit XV\BIN\FFDAssign.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
 QuarantineFile('Start1Driver.sys','');
 QuarantineFile('Cdaudio.sys','');
 SetServiceStart('Start1Driver', 4);
 SetServiceStart('AVPsys', 4);
 SetServiceStart('Cdaudio', 4);
 SetServiceStart('Start2Driver', 4);
 DeleteService('Start1Driver');
 DeleteService('Cdaudio');
 DeleteService('AVPsys');
 DeleteService('Start2Driver');
 DeleteFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\cdaudio.sys');
 DeleteFile('Cdaudio.sys');
 DeleteFile('Start1Driver.sys');
 DeleteFile('C:\WINDOWS\system32\haozs0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделай логи повторно.

[kamapaka]

Severny, большое спасибо!

При выполнении как первого, так и второго скриптов AVZ выдал в конце одно и то же сообщение: Invalid data type for ". Выполнение стандартного скрипта № 6 ничего не изменило. После выполнения скриптов до перезагрузки нельзя запустить ни одно приложение: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту".
Нормально перезагрузиться по-прежнему не удается. На "Завершение работы Windows..." все заканчивается. После выполнения скриптов во время "Завершение работы Windows..." выскочило сообщение об ошибке:
svchost.exe - Ошибка приложения
Инструкция по адресу "0x6f8917c2" обратилась к памяти по адресу "0x6f8917c2". Память не может быть "read".
"ОК" - завершение приложения
"Отмена" - отладка приложения

После входа в Виндовс появилось сообщение об ошибке "Generic Host Process for Win32 Services" с предложением отправить отчет в майкрософт.

Эти сообщения появились только два раза, после каждого из скриптов.

Окошко Windows Installer при нажатии на ПКМ, или Delete, или какую-нибудь кнопку в браузере выскакивает нерегулярно. Бывает, что за весь сеанс работы в Виндовс ни разу не появляется.
Новые логи прикреплены.

[Martia]

Думаю, что неплохим вариантом будет:

0. Сохранить все нужные файлы с диска, на котором стоит система.
1. Скачать dr.web live cd.
2. Записать его на диск.
3. Найти нормальную сборку с ос windows xp или взять оригинальную версию.
4. Записать ее на диск.
5. Проверить, что оба диска являются загрузочными.
6. Отформатировать диск с сисетмой.
7. Сделать полную проверку системы при помощи dr.web live cd.
8. Установить Windows XP и радоваться жизни

ИМХО: Так будет намного быстрее, проще и эффективнее.

[Pili]

kamapaka, У вас Outpost не дает AVZ отработать, деинсталлируйте Outpost, Spyware Doctor, отключите защитное ПО и повторите скрипт из поста 5, если снова появится сообщение: Invalid data type for ", уберите из скрипта 2-ю строчку
SearchRootkit(true, true);

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

[kamapaka]

Martia, предложение, конечно, дельное, вот только:

1. жалко мне Windows переустанавливать, это самый крайний метод
2. времени на борьбу с вирусами уже много потратил, хочется, чтоб не зря
3. работает Windows в целом очень даже неплохо
4. переустанавливать Windows я умею, а вот с вирусами правильно бороться - нет, хочу научиться, чтоб в будущем не наступать на те же грабли (вот, в ходе борьбы замечательный форум oszone нашел, к примеру).

2Severny, нашел еще негативные последствия вирусной и своей антивирусной деятельности:

1. компьютер не переходит в спящий/ждущий режим, то есть вообще никак не реагирует на такую команду
2. не отображается список программ в "Панель управления" - "Установка и удаление программ".

2Pili, спасибо! Будет теперь, чем заняться на выходных

[kamapaka]

Pili, ниже отчет в хронологической последовательности:

1) Для удаления Outpost на сайте производителя предлагается утилита, которая запускается в безопасном режиме. Не смог загрузить безопасный режим - на экране быстро промелькали загружаемые файлы, потом черный экран и только мигающий курсор в верхнем левом углу. Ждал минут 5-7, ничего, перезагрузил, попробовал снова - та же история. Обычная загрузка работала превосходно.

2) Решил провести проверку ComboFix, отключил Outpost, но не удалил (не отображался список "Установка и удаление программ). ComboFix удалил файл C:\Windows\expiorer.exe (см. отчет ComboFix 1.zip), проблема с безопасным режимом осталась.

3) Психанул, достал уже установочный диск Windows Xp, но потом дал последний шанс: установил CCleaner, удалил кучу программ, в том числе и Outpost, оставил только самые нужные. Почистил реестр - CCleaner нашел 358 проблем, я согласился на исправление всех. После этого решились проблемы:
- заработала перезагрузка (до этого все останавливалось на "Завершение работы Windows..."),
- перестало появляться окошко Windows Installer,
- стали отображаться программы в "Установка и удаление программ".
У меня подозрение, что эти проблемы были из-за антивирусов, которые я ставил после удаления первоначального Касперского (НОД 32, Нортон, БитДефендер, Аваст) и которые из-за кривизны рук не удалил нормально/полностью из системы.

4) Попробовал загрузиться в безопасном режиме - опять мигающий курсор и ничего. К счастью, позвали пить чай, когда вернулся минут через 15, Windows все-таки загрузилась! Мне просто не хватало терпения (но до всех этих проблем у меня безопасный режим грузился минуты за две-три максимум), а тут больше 10.

5) Загрузился в безопасный режим, автоизвлечение SDFix закончилось сообщением об ошибке типа "невозможно найти файл ****installed.txt), извлек вручную, запустил проверку. Программа RestartIt зависла, я завершил ее через диспетчер задач, остался только черный фон без значков, перезагрузил Windows при помощи Ctrl+Alt+Delete - "Завершение работы"

6) После перезагрузки и входа в Windows SDFix запустился снова на голубом фоне, при выполнении "Running Catchme - Rootkit/Stealth Malware Detector" выскочило окно с сообщением об ошибке "Generic Host Process for Win32 Services" (см. скриншот). Нажал "не отправлять", после этого через какое-то SDFix перешел к "Remaining Files and Services" (вроде так) и так и остался с мигающим курсором. Подождал полчаса, перезагрузил комп.

7) Еще раз установил и попробовал удалить Outpost через безопасный режим, утилита clean.exe с сайта производителя отказалась работать и выдала ошибку, так что удалил вручную и снова почистил CCleaner'ом реестр.

8) Выполнил скрипт из сообщения №5 в AVZ: то же сообщение об ошибке Invalid data type for ".
9) Попробовал без строчки с Rootkit - тот же эффект. Выполнил стандартный скрипт №6, перегрузил комп - не помогло, все равно выдает сообщение об ошибке.

10) Выполнил в безопасном режиме SDFix, Программа RestartIt зависла, я завершил ее через диспетчер задач, остался только черный фон без значков, перезагрузил Windows при помощи Ctrl+Alt+Delete - "Завершение работы". После перезагрузки SDFix без проблем завершил проверку (см. отчет Report.zip).

11) Запустил установленный ранее Malwarebytes', выдало подряд два сообщения об ошибке:
"Runtime Error 0" и "Runtime Error 440 Automation Error" (что-то вроде этого).
12) Удалил (в начале деинсталляции выдало те же 2 сообщения, но удалилось нормально). Установил заново, выполнил проверку - ничего не нашлось (см. отчет malware.zip).

13) Повторно просканировал при помощи ComboFix (см. отчет ComboFix.zip). Для этого запустил файл combo-fix.exe.

14) Установил драйвера расширенного мониторинга для AVZ, перегрузил комп, логи во вложении.