[LonelyUA]

з.ы.3 Да и ещё вот - снес нафиг все что было в папке ИЕ. Теперь с таким же звуком ошибки вылазиет второй процесс оперы...

[sanek_freeman]

LonelyUA, здравствуйте.

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('StarWindServiceAE.sys','');
 DeleteFile('StarWindServiceAE.sys');
 DeleteService('StarWindServiceAE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

Если ваш провайдер не Ukrainian Mobile Communications или вам не знакомы данные DNS-адреса (80.255.64.23; 80.255.64.24), то:

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A3724B4-686C-4B81-A242-5EBACE3AF9CC}: NameServer = 80.255.64.23 80.255.64.24

Плюс к этому сделайте:
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Проблемы остались?

[LonelyUA]

Большое спасибо за советы!
1) Скрипты в AVZ выполнил, UMS - мой провайдер поэтому хайджек не трогал.
2) В карантине AVZ было пару файликов .ini, я их отправил касперским, но сомневаюсь что это совсем то (разве там не предполагаемый вир должен быть?)
3) MBAM Установил, обновил, просканировал, нашел пару ключей реестра и 4 файлика, почистил.

В общем вроде бы ничего левого не запускается но иногда без всякой причины подвисает процесс System.exe до 40-50%, безсистематично так сам же и отвисает. Может это изза Доктора Веба+Оутпост+МВАМ? Я вроде бы оставил только Оутпсот включенным... Тем более что раньше оутпост и док вроде бы работали благополучно.

[sanek_freeman]

Цитата LonelyUA:

В карантине AVZ было пару файликов .ini, я их отправил касперским, но сомневаюсь что это совсем то (разве там не предполагаемый вир должен быть?) »

AVZ переименовывает файлы карантина в файлы с расширением *.ini. Так и должно быть. Подождем ответа из ЛК.

Цитата LonelyUA:

MBAM Установил, обновил, просканировал, нашел пару ключей реестра и 4 файлика, почистил. »

Почему лог не выложили?

Цитата sanek_freeman:

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »

Цитата LonelyUA:

В общем вроде бы ничего левого не запускается но иногда без всякой причины подвисает процесс System.exe до 40-50%, безсистематично так сам же и отвисает. Может это изза Доктора Веба+Оутпост+МВАМ? Я вроде бы оставил только Оутпсот включенным... Тем более что раньше оутпост и док вроде бы работали благополучно. »

Быть может... Повторите логи AVZ и HijackThis.

[LonelyUA]

Вот выкладываю логи.
Про МВАМовский лог забыл, простите, не дочитал. Вот он. Правда реестр и три файла я удалял со второго раза.
А ответа от касперских все нет. Все же боюсь в архиве не совсем то что надо. два .ини файла по 128 байт...ну вам виднее

[LonelyUA]

Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3683
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.02.2010 16:48:00
mbam-log-2010-02-03 (16-48-00).txt

Тип проверки: Полная (D:\|E:\|)
Проверено объектов: 184078
Прошло времени: 24 minute(s), 38 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 4

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Not selected for removal.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
D:\Documents and Settings\Lonely\Рабочий стол\NET\#Download NET#\Программы\portable_necessary\Portable NS.exe (Trojan.Downloader) -> Not selected for removal.
D:\Program Files\Total commander XCV Edition\Plugins\exe\SFX Tool\Upack.exe (Malware.Packer) -> Not selected for removal.
D:\Program Files\DrWeb\infected.!!!\vozacka.exe.618A5E33 (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{CFE68BE3-E689-4A4D-B3C4-798A5D3141FF}\RP2\A0000080.exe (Backdoor.Agent) -> Not selected for removal.

[sanek_freeman]

Цитата LonelyUA:

Заражено ключей реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Not selected for removal. HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Not selected for removal. »

Цитата LonelyUA:

Заражено файлов: D:\System Volume Information\_restore{CFE68BE3-E689-4A4D-B3C4-798A5D3141FF}\RP2\A0000080.exe (Backdoor.Agent) -> Not selected for removal. »

Почему не удалили эти ключи и файл с помощью МВАМ? Обязательно сделайте это.

А так по логам чисто. Проблемы наблюдаются?

[LonelyUA]

Цитата LonelyUA:

Правда реестр и три файла я удалял со второго раза. »

Просто это самый первый лог, я решил по одному файлу сносить а те проверить пока, а МВАМ взял да и закрыл список угроз после первого удаления одного файла... Короче я второй раз просканировал, выискал этих зловредов и снес нафиг.
Проблем уже пожалуй нет. Вчера system.exe успешно повесил систему, и я снёс нафиг Доктора вэба. Вроде перестал виснуть, наверно и правду Док с МВАМ несдружился.. ну и фиг с ним. Процессы браузеров не вылазиют и не размножаются.

СПАСИБО БОЛЬШОЕ!