помогите исправить последствия вируса
 

Всем здрасти!
Я уже лет 10 увлекаюсь антивирусной борьбой, как говориться в частном порядке, и никогда проблем не знал - с чем угодно мог справиться. Но вот теперь я сел в лужу.
Подозреваю, что вчера я таки подцепил какого-та сетевого червя. (скорее всего по сетке с hab. tv. host через прогу для С++ "Peers" - это аналог FlyLink). По своему действию весьма схож с Win32.HLLW.Shadow.based или Net-Worm.Win32.Kido - т.е. я не могу выйти ни на один антивирусный сайт. При всём при этом Avast как впрочем и другоё моё антивирусное ПО обновляестя без проблем. Ashampoo FireWall ведёт себя спокойно. Причём заметил всё это я как говориться случайно (отвалилась сетка - точнее hab. tv. host) ибо никаких проблем с компом нет. (Ооо, как я заблуждался!!!)
Итак мои действия в течении последних 36 часов без сна (надеюсь, что вспомню хотя бы основное):
1) как обычно поступал ранее обновил Avast и запустил дозагрузочное сканирование - нашлось немного "мелкой шушеры" и естественно не помогло - только запорол себе NLauncher - прога для оптимизации ярлыков (log прилагаю).
2) перепробовал возможности Advanced SystemCare 3 от IObit - безрезультатно.
3) Trojan Remover обругал файл services.exe и переименовал его в services.exe.vir - после чего операционка естественно перестала загружаться - пришлось воспользоватися услугами DrWeb Live CD 5.01 (кстати, безрезультатно - ничего не нашёл - ???). Загрузился с Windows Live CD и в ручном режиме вернул прежнее название файлу - и о чудо злополучная моя Винда снова спокойно загрузилась как ни в чём ни бывало - причём Trojan Remover более не ругался на services.exe и не трогал его.
4) Virus Removal Tool (старенький - ибо нового слить не могу по вышеизложанной причине) естественно ничего не обнаружил.
5) установил XoftSpySE - безрезультатно.
6) мой Ad-Aware от Lavasoft почему то не хочет запускаться - ругается, что нет соединения с сервером - хотя обновился (через свой UpdateManager) - вопрос поможет ли его переустановка?
После всего этого я стал "рыть Инет" - накопал конечно много - слава богу, что в поисковиках есть такая опция как "сохраненная копия" - ведь не забываем, что у меня нет доступа ни на один антивирусный сайт и форум - по счастливой случаю у меня есть доступ к ВАМ - поэтому надежда тоже только на ВАС!!!
Следующие мои действия:
7) смог пролезть на ftp.drweb.com и слить последнюю версию Dr.Web CureIt!(ибо старая ничего не находила) - думал что скорее всего он найдет вирус Win32.HLLW.Shadow.based - но нет - другие "бяки"(log прилагаю)
8) установил Malwarebytes' Anti-Malware - почистил им - но результата нет - ни на один антивирусный сайт по прежему нет доступа.
9) Установил патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 (http://www.microsoft.com/technet/sec...s08-067.mspx);
MS08-068 (http://www.microsoft.com/technet/sec...s08-068.mspx);
MS09-001 (http://www.microsoft.com/technet/sec...ms09-001.mspx).
Плюс Патчи для своей версии ОС Windows XP SP3 (68 штук атоматического обновления для всего).
После чего снова всё просканировал Dr.Web CureIt! - результата нет.
10) далее пересканировал и прочистил машину следующими ативирусными утилитами: AVZ, Random's System Information Tool (RSIT), aswclnr, anti-Downadup-EN, GMER, ComboFix, Windows Worms Doors Cleaner, KidoKiller, ATF-Cleaner, CCleaner, get, plstfix, te_decrypt, HijackThis и другие - результат ноль (logi большенства прилагаю).
Предпринимал и следущее:
11) создал и применил noautorun.reg
12) в папке WINDOWS\system32\drivers\etc в файлах hosts(без разрешения) и HOSTS.TRB, открыв их в блокноте, обнаружил, что hosts вроде нормальный, а вот в HOSTS.TRB обнаружил длинный список адресов сайтов различных антивирусов и возле каждого из них вместо ожидаемого адреса 127.0.0.1 было всё "по нулям" (000.0.0.0)
Сначало удалил весь это список, оставив лишь строку 127.0.0.1 localhost и сохранил файл - не помогло.
Потом и с файлом hosts(без разрешения) сделал тоже самое (теперь они одинаковые)- не помогло.
(Решил оба файла предоставить Вам для анализа - может я что не так прописал?)
В общем всё не упомнить и за очерёдность пунктов по хронологии моих действий не отвечаю - ясно, что итог всего: НОЛЬ!!! Я так и не могу выйти ни на один антивирусный сайт!
Из всего вышеизложанного я сделал вывод, что мои усилия тчетны и мне явно нужна сторонняя квалифицированная помощь.
Так что смотрите прикреплённые файлы, анализируйте мои действия. А я с нетерпением жду ваших ответов с рекомендациями!

P.S.: я понимаю, что конечно проще всего переустановить винду - но есть три "НО":
1-ое "наша жизнь борьба" - в этом весь смысл.
2-ое если этот червь сидит во всей нашей сети или тем паче на сервере моего провайдера - то как только я вновь подключу комп к сети - получу тоже самое, что имею сейчас.
3-е "мы не ищем лёгких путей"!

Заранее благодарен за любую помощь!

простите забыл приложить лог HijackThis

maxatixa, я, в общем-то, и не хелпер. Но у меня к вам просьба. Скачайте Revo Uninstaller 1.85, удалите в расширенном режиме ВСЕ установленные антивирусные, антиспайварные и другие подобные программы, отдельно Как правильно удалить ComboFix.
Скачайте CCleaner 2.27.1070, выполните очистку системы (при очистке реестра снимите чекбокс с "неиспользуемых dll")
Обновите базы AVZ, если не сможете - сообщите в сообщении, и повторите логи AVZ без установленных защитных программ.
Перед выполнением вышеуказанных действий создайте точку восстановления системы.

Спасибо за рекомендации - но мне кажется что у нас некое недопонимание. Давайте обсудим.
В своё время я перепробовал много продвинутых деинсталяторов и остановил свой выбор на официальном Advanced Uninstaller PRO, поэтому к бесплатному Revo Uninstaller отношусь весьма скептически (да и по ссылке которую вы дали его не скачать). Да у меня установлено много разных "антивирусных, антиспайварных и др подобных" программ - но в активном режиме задействованы лишь avast! Antivirus pro и Ashampoo FireWall лиценция - остальные я включаю по мере надобнасти. Поэтому их удалени с компа считаю нецелесообразным. Вы рекомендуете оставить систему без защиты? Что касается CCleaner - то я уже упоминал что пробовал эту программу (хотя и старой версии - 2.13.0.720) - нет от неё толку. Я юзаю более продвинутую в этом плане Advanced SystemCare 3. Базы AVZ я обновить не могу, а логи выложенные прежде делал перед созданием данное темы. Точку восстановления системы у меня уже сделана.

Мне не важно, чем вы будете деинсталлировать и чистить: важен результат. Слишком много мусора. AVZ со свежимив базами - в аттаче. Архив большой - надолго оставлять не буду.

архив скачал. спасибо!!! вечером всё сделаю и выложу новые логи - у тёщи сегодня юбилей - невырваться! :-)

Система будет "без защиты" только на время лечения. После - заново установите. Но без фанатизма! Тем более при лечении все антивирусные программы нужно отключать.
Надолго не затягивайте.

всё сделал как вы рекомендовали. выкладываю новые логи

maxatixa, запустите AVZ, файл - выполнить скрипт, скопируйте текст ниже и вставьте его в поле, нажмите "выполнить"
Компьютер перезагрузится, проверьте наличие проблем. Дождитесь рекомендаций более квалифицированных специалистов.

okshef Вы просто супер!!! Я не понимаю что в этом скрипте - но он сделал своё дело!!!
Всё заработало!!! Все антивирусные сайты работают!!!
Вы упоминули что вы "не хэлпер" - вам пора присвоить это звание! Нет лучше сразу СУПЕРхэлпер! :-) Не знаю как выразить вам мою брагодарность!?!
Огромное спасибо за вашу помощь! Я думаю, что тему можно считать закрытой!
P.S.: последний вопрос можно?
После того как я установил патчи, указанные в следующих информационных бюллетенях Microsoft:
MS08-067 (http://www.microsoft.com/technet/sec...s08-067.mspx);
MS08-068 (http://www.microsoft.com/technet/sec...s08-068.mspx);
MS09-001 (http://www.microsoft.com/technet/sec...ms09-001.mspx).
Плюс Патчи для своей версии ОС Windows XP SP3 (68 штук атоматического обновления для всего) - время от времени в трее появляется значок и уведомление о закачке обновлений, потом при выключении компьютера через Пуск/выключить открывается стандартное окно выбора выключения и перезагрузки, но на самом красном значке выключения висит жёлтая иконка брандмауэра винды (щит с восклицательным знаком) и снизу панели уведомление о том, что обновления для меня скачаны и готовы к установке. Далее при нажатии на выключение компьютера высвечивается уведомление о процессе установки обновлений и о том чтоб я не выключал компьютер - по завершении он выключится сам. В зависимости от того сколько обновлений идёт таймер отчёта количества установленных - после чего копм выключается. Я думаю что это просто стандартное обновление ОС. Правильно? (Я не придавал бы этому значение еслиб у меня стояла лицензионная винда - но у меня сборка лаборатории SamLab и по умолчанию обновление ОС было всегда отключено - и естественно данные процессы меня слегка удивили.) так вот вопрос - эти обновления оставить или отключить? Не приведёт ли это к блокировке ОС, офиса или каких либо других "условно бесплатных" программ?
Ещё раз большое вам спасибо!

maxatixa, это не моя заслуга, спасибо Олегу Зайцеву за программу. Я не зря вам прикрепил обновленную версию AVZ - в ней есть (недавно появилась) функция, решающая вашу и подобные проблемы: смотреть. У меня есть сомнения по некоторым вашим файлам, но вердикт должны вынести участники, входящие в группу Helper или модераторы этого форума: Drongo или iskander-k. Заглядывайте!
P.S. Обновления оставьте, раз уж они ставятся. :)
я только учусь

хрошо я всё понял!

Проверьте C:\WINDOWS\Installer\MSI25D.tmp

на http://www.virustotal.com/ru/

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Имейте ввиду что МБАМ может удалить креки.

Malwarebytes Anti-Malware скачал, без проблем обновил - поставил на сканирование.
Я им уже проверял машину - действительно полезная вещь - но по настоянию okshef я поудалял все подобные программы, чтоб получить более чистые логи AVZ. Спасибо что разрешили поставить её заново - она мне понравилась! :-)
Не думаю что она что-то сейчас найдёт, но как говориться "бережёного бог бережёт".
А вот файла MSI25D.tmp по данному адресу нет :-( (поиск тоже не дал результатов)

Malwarebytes Anti-Malware просканировал систему - нашёл 2 "бяки"
отчёт выкладываю

Это видимо остатки заражения , которые остались в точке восстановления.

Больше ничего плохого в логах не вижу.

Да это стандартное обновление. И в сборках обычно обновление и центр защиты windows отключены. Но возможно вы его включили когда применили МБАМ (как я понял вы этой прогой пользовались.)
Эти ключи отключения центра защиты и обновление МБАМ считает зловредными и удаляет и соответственно обновление и центр защиты снова работают. :) Их можно отключить (и ключи снова появятся). При обновлении взломанных программ часто происходит проверка на легальность и возможна блокировка пиратских версий программ.

Спасибо за разъяснения! Обновления я отключил. Нафик-нафик...
А что на счёт файла MSI25D.tmp?
На одном из форумов я прочитал следущее:
"Помогла програмка ComboFix.
Сначала пробовал SdFix, но она была упешно нейтрализована вирусом, после запуска через некоторое время вылетала с ошибкой о невозможности запустить какой-то процес.
А вот ComboFix успешно запустился из под вин ХР, отработал и в логе указал на вирус. Вирус на диске занимал 5-6 файлов, точно не уверен. ComboFix два файла удалял сам (из директории windows и windows\system 32) а ещё на 3-4 давал наводки в своих логах. Один файл в систем32 нулевой длинны и два файла типа memdma.sys и memdm.dll (как-то так, подробные логи на работе).Была задействована и директория систем32\драйверс.
В ообщем, при удаления 3-4-х файлов после перезагрузки они возраждались снова, как птица феникс из пепла. Дело было в двух файлах: memdma.sys и memdm.dll, сссылки на них в логе ComboFix были, но реально на диске из под винды их обнаружить не удалось, вирус их скривал, так что ни диспетчер задач ни тотал командер их не видел(т.е вирус эти файлы маскировал, непонятно как, так ка и скрытые и системные файлы отображались). Найти и удалить эти фантомные файлы удалось только из-под сторонней системы — Линукса с ДокторВеб лайв СД. Линкс эти файлы показал и удалил без проблем. После перезагрузки уже не блокировались вирусные базы и не создавались другие файлы из пепла.
Так что теперь существуют вирусы, которые прячут свои файлы на системноу уровне, не дают их отображать в диспетчерах файлови в поиске. Но их молжно удалить из под другой системы, если знать, что искать. Тот же антивирусник с Лайв СД их не обозначил, как вирус и на другом компе тодже они не были продетектированы."
Так мне есть смыл заморачиваться с поиском файла MSI25D.tmp?

Сам по себе это временный файл. Если желаете можете воспользоваться комбофиксом для уверенности.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Всё понял. При необходимости обязательно воспользуюсь данным советом.
Как говорит русская пословица: "пока гром не грянет - мужик не перекреститься"...
Так и со многими бывает - все считают что "ну у меня то на компе точно нет никаких вирусов" и типа "у меня крутой антивирус" - а потом садятся в лужу...
Хорошо что есть такие форумы как ЭТОТ и такие люди как okshef и iskander-k!!! БОЛЬШОЕ ВАМ СПАСИБО ЗА ПОМОЩЬ!!!
Как говориться "если что" - я только к вам! :-)