[Pili]

Судя по логу combofix у вас очень много антивирусов и защитного ПО, DoctorWeb, Norton Internet Security, Spyware Doctor и пр., удалите лишнее и оставьте 1 антивирус
c:\windows\system32\drivers\TCPIP.SYS рекомендую заменить на оригинальный, winpcap если не требуется можете деинсталлировать.
Папка c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP знакома? В реестре
HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - это что? Если не знакомо, можете сохранить эту ветку реестра и затем удалить.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Start1Driver', 4);
 SetServiceStart('Start2Driver', 4);
 SetServiceStart('AVPsys', 4);
 QuarantineFile('c:\windows\system32\ttri.dat','');
 QuarantineFile('c:\windows\system32\ullfoek.dll','');
 QuarantineFile('c:\windows\system32\vamsoft.exel','');
 QuarantineFile('C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\A9.ocx','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\HIDINP~1.OCX','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tbhsd.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start2Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start1Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
 QuarantineFile('c:\windows\system32\dllcache\cdaudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\snmvtsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
 DeleteFile('c:\windows\system32\vamsoft.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\Start2Driver.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Start1Driver.sys');
 DeleteService('AVPsys');
 DeleteService('Start2Driver');
 DeleteService('Start1Driver');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('AVPsys');
 BC_DeleteSvc('Start2Driver');
 BC_DeleteSvc('Start1Driver');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите
Если что-то из файлов в карантин не попадет, можете поискать файлы вручную через AVZ-сервис - поиск файлов и добавить в карантин или проверить файлы самостоятельно на virustotal.com
Если скрипт будет снова выдавать ошибку, попробуйте выполнить в безопасном режиме такой скрипт

Код:

begin
ClearQuarantine;
 SetServiceStart('Start1Driver', 4);
 SetServiceStart('Start2Driver', 4);
 SetServiceStart('AVPsys', 4);
 QuarantineFile('c:\windows\system32\ttri.dat','');
 QuarantineFile('c:\windows\system32\ullfoek.dll','');
 QuarantineFile('C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\A9.ocx','');
 QuarantineFile('C:\WINDOWS\DOWNLO~1\HIDINP~1.OCX','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tbhsd.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start2Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\Start1Driver.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
 QuarantineFile('c:\windows\system32\dllcache\cdaudio.sys','');
 QuarantineFile('C:\WINDOWS\system32\snmvtsvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\Start2Driver.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\Start1Driver.sys');
 DeleteService('AVPsys');
 DeleteService('Start2Driver');
 DeleteService('Start1Driver');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[kamapaka]

Pili, спасибо!

Отчет о проделанной работе:

1) на данный момент установлены Agnitum Outpost Firewall Pro Avira и Antivir Premium, все остальные программы (NOD, Norton Internet Security, BitDefender, Avast и т.д.) я ставил по одной и удалял перед установкой следующей, это все делалось до моего первого поста в этой теме - думал, что Windows я уже загубил, поэтому просто экспериментировал, что выбрать на будущее после переустановки Windows, но Avira смогла вылечить компьютер почти полностью.

2) для удаления остатков антивирусов зашел в эту тему http://forum.oszone.net/post-892208-1.html, но не смог зайти на сайты антивирусов, пишет сообщение типа
"Вы попытались получить доступ к адресу http://www.eset.com/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу. Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение."
Пробовал IE, Opera, Firefox - безрезультатно. Примерный список сайтов, на которые не заходит:

http://avirus.ru/
http://www.eset.com/
http://avast.com/
http://www.kaspersky.ru/
http://www.bitdefender.com/
http://www.virustotal.com/
http://www.symantec.com/

Без проблем заходит на сайт http://www.agnitum.ru/

Файл HOSTS содержит только строчку "127.0.0.1 localhost". Но название файла почему-то большими буквами HOSTS.

3) файл c:\windows\system32\drivers\TCPIP.SYS менялся для увеличение количества halfopen-соединений. Как его заменить на оригинальный?

4) Папку c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP удалил, по-моему, это осталось от установки антишпиона Lavasoft.

5) HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - было две такие строчки, одну удалил, вторая теперь при выделении щелчком пишет "Не удается открыть {C9E06080-4E1D-03EE-9930-2C352F5462B1}: Ошибка при открытии раздела". Переименовать или удалить не получается.

6) выполнил скрипт при отключенном антивирусе, firewall и отключив Интернет (как и все предыдщие разы), в конце выдало ту же ошибку Invalid data type for ".
7) выполнил другой скрипт в безопасном режиме - та же ошибка в конце. Вопрос: какой из архивов карантина теперь выслать kaspersky? Тот, который после первого (я скопировал его в другую папку), или после второго скрипта?
8) новый лог прилагается

9) логи OTViewIt вложены (см. Extras.zip и OTViewIt.xip)

10) Gmer после экспресс-проверки выдал сообщение, что моя система "infected by Rootkit", предложил "fully scan". Я согласился (см. отчет gmer log .zip), но галочка стояла только на С, поэтому потом я запустил его еще раз и проверил все диски. Во время проверки выскочило окно с ошибкой gmer.exe с предложением отправить отчет (см. скриншот). Закрыл программу, запустил еще раз, на этот раз все диски просканировались без проблем (см. отчет gmer full.zip).

[Pili]

Цитата kamapaka:

все остальные программы (NOD, Norton Internet Security, BitDefender, Avast и т.д.) я ставил по одной и удалял перед установкой следующей »

Судя по тому что скрипты AVZ у вас не выполнялись, не работал SDfix, защитное ПО удалилось не полностью

Цитата:

c:\program files\Alwil Software c:\documents and settings\Pasha\DoctorWeb c:\documents and settings\All Users\Application Data\Avira c:\documents and settings\All Users\Application Data\Symantec c:\program files\Common Files\Symantec Shared c:\program files\Norton Internet Security c:\documents and settings\All Users\Application Data\Norton c:\program files\NortonInstaller c:\documents and settings\All Users\Application Data\NortonInstaller c:\documents and settings\Pasha\Application Data\ESET c:\documents and settings\All Users\Application Data\ESET c:\program files\Lavasoft c:\documents and settings\All Users\Application Data\Lavasoft c:\documents and settings\All Users\Application Data\PC Tools c:\program files\Spyware Doctor c:\documents and settings\All Users\Application Data\PrevxCSI c:\documents and settings\All Users\Application Data\Kaspersky Lab c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

Это только по логу combofix, для удаления многих продуктов есть спец. утилиты, напр.
Утилита удаления продуктов Лаборатории Касперского
Norton Removal Tool
посмотрите также Инструкции и утилиты для полного удаления остатков антивирусных ...
Инструкции по расширенной деинсталляции и переустановке Outpost ...
Что ответил вирлаб? Где логи?
DNS сервера 193.24.25.1,193.24.25.250 - ваши?
Сайты не открываются в любом браузере (Opera, IE, FF)?
Outpost попробуйте временно удалить (в одной из недавних тем такая же проблема была связана с Outpost)
Ещё у вас старая версия java 1.6.0_07
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

[kamapaka]

Pili, по ссылкам
http://support.kaspersky.ru/faq/?qid=208635705
http://service1.symantec.com/SUPPORT...9?OpenDocument
http://virusinfo.info/showthread.php?t=16646
я не могу перейти, выдает ошибку.

Да, во всех браузерах.

СТОП, сообразил: наверное, вы начали отвечать на мое первое сообщение. Я случайно отправил сначала неполное сообщение, потом отредактировал. Посмотрите, пожалуйста, мой пост № 12, теперь он полный

[Pili]

Цитата kamapaka:

какой из архивов карантина теперь выслать kaspersky? Тот, который после первого (я скопировал его в другую папку), или после второго скрипта? »

Без разницы, скрипты почти одинаковые, карантин тоже д.б. одинаковый

Цитата Pili:

Если что-то из файлов в карантин не попадет, можете поискать файлы вручную через AVZ-сервис - поиск файлов и добавить в карантин или проверить файлы самостоятельно на virustotal.com »

т.е. посмотрите по скрипту файлы, в папке AVZ\Quarantine д.б. *.dta (сами файлы переименованные) и *.ini (текстовые), также карантин можно посмотреть через AVZ - просмотр карантина (файлы д.б. ненулевого размера)
Такое впечатление, что скрипт не выполнялся, вероятно Outpost снова мешает работе AVZ

Цитата kamapaka:

вторая теперь при выделении щелчком пишет "Не удается открыть {C9E06080-4E1D-03EE-9930-2C352F5462B1}: Ошибка при открытии раздела" »

Можете попробовать открыть через IceSword - вкладка Registry
Там же в IceSword выберите в меню File, появится аналог проводника, найдите в нем указанные файлы

Цитата:

C:\WINDOWS\System32\Drivers\atdrfzib.SYS C:\WINDOWS\system32\drivers\cdaudio.sys C:\WINDOWS\system32\ullfoek.dll C:\WINDOWS\system32\drivers\Start2Driver.sys C:\WINDOWS\system32\drivers\Start1Driver.sys C:\WINDOWS\system32\drivers\VirtualAudio.sys C:\WINDOWS\System32\ttri.dat C:\WINDOWS\ultra.INI C:\WINDOWS\Run32A50.mch

нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to.., папку запакуйте с паролем virus и отправьте в вирлаб, можете также проверить на virustotal.com
У вас ещё появился сервис bjicqfhs, ссылается на C:\WINDOWS\system32\svchost.exe, по логам AVZ его нет, можете также посмотреть в IceSword (отключить сервис во вкладке Win32 Services) и проверить svchost.exe, также можно найти файлы, которые могли не попасть в карантин по скрипту AVZ
Файлы также можно поискать и с помощью gmer, выберав вкладку Files.
Файлы, которые определяться как вредоносные можно удалить с помощью IceSword (правой кнопкой мыши на файле - force delete) или gmer

[kamapaka]

Pili, маленький инфо-апдейт:
выбрад в gmer опцию Disable bjicqfhs, после этого стали нормально открываться антивирусные сайты!

[Pili]

Цитата kamapaka:

выбрад в gmer опцию Disable bjicqfhs »

это то же самое что

Цитата Pili:

в IceSword (отключить сервис во вкладке Win32 Services) »

Ещё бы рез-ты проверки файлов увидеть (ullfoek.dll явно д.б. зловредом)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

Driver::
Start1Driver
Start2Driver
bjicqfhs

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Установите все обновления с http://windowsupdate.microsoft.com и в особенности этот патч, рекомендую отключить Netbios, включить встренный брандмауэр windows или закрыть сторонним файерволом входящие запросы на порты 445, 135-139
Сделайте новый лог gmer а также скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

[kamapaka]

Pili,

Цитата Pili:

Ещё бы рез-ты проверки файлов увидеть (ullfoek.dll явно д.б. зловредом) »

Буквально пару часов назад сработала Avira:
"В файле 'C:\WINDOWS\system32\ullfoek.dll'
был обнаружен вирус или вредоносная программа 'WORM/Kido.CU' [worm].
Выполняемое действие: Поместить файл в карантин"
Хотя вчера делал полную проверку Avir'ой, ничего не нашла.

Теперь такой момент: поскольку я смогу наконец-то зайти на сайты антивирусов и полностью удалить их остатки из системы, то вопрос-уточнение: Надо ли мне сейчас также полностью удалить Outpost и Avira?
И если да, то с какого поста начать тогда заново выполнение всех операций: с сообщения № 11 (http://forum.oszone.net/post-1003159-11.html) или №8 (http://forum.oszone.net/post-1001580-8.html)?

[Pili]

Цитата kamapaka:

Хотя вчера делал полную проверку Avir'ой, ничего не нашла. »

Или базы обновились или раньше руткит мешал находить файл.

Цитата kamapaka:

Надо ли мне сейчас также полностью удалить Outpost и Avira? »

Outpost можете на время лечения/сбора логов удалить, чтобы не мешал, потом заново поставите. Включите временно встроенный брандмауэр windows
CFScript.txt выполнили? Если да, д.б новый лог combofix, Установите обновления (пост 17), сделайте ещё новые логи gmer и DDS или RSIT, файлы из скрипта и из поста 15 проверьте на virustotal.com или virscan.org, можете сделать лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

[FATruden]

Дело в том, что в результати деетельности вирусов(а их было очень много,как я понял) реально могли быть повреждены системные файлы, или при расположении вирусов в самих файлах-они вместе могли быть удалены в результате "спасательной апирации" каког небудь анти вируса......))
Если компу было очень плохо-не факт что даже качественное лечени ему поможет.......))