заражение.
 

в общем стандартные проблемы- не ставятся антивирусы. утилиты(curelt, avptool отказываются корректно работать в операционной системе. в безопасном тоже самое)
из erd commander основную часть зловредов поудалял..., но в системе еще вижу есть остатки..
в общем выкладываю логи. посмотрите пожалуйста.

Добрый вечер! Сейчас просмотрю логи.

• Отключите восстановление системы
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите лог AVZ + подготовьте лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Обновите Internet Explorer до 8-ой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

логи

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Удалите в MBAM всё, кроме
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.



Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."


Повторно просканируйте компьютер MBAM и прикрепите лог!

Карантин не отправили?Обязательно отправьте.

карантин пуст... хотя во время выполнения скрипта никаких сбоев/сообщений не было


в этот раз карантин "образовался"- отправлю.

Проблем быть не должно, главное внимательно прочитайте инструкцию.

да знаю в принципе как работать с утилитой.... ну да ладно. рискну.
(консоль восстановления появилась в загрузке систем - удалил с boot)

Карантин от АВЗ опять пустой?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Удалите в MBAM
Зараженные файлы:
D:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
D:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken.

Просканируйте и прикрепите лог MBAM

Проверьте на www.virustotal.com
d:\windows\system32\drivers\vde2ote3.sys
Дайте ссылку с результатом проверки

нет не пустой... не могу отправить... ссылка не "активируется".

vde2ote3.sys - на вирустотал 0/42

Отправьте так же как отправляете обычное письмо, только прикрепите к нему архив с карантином

карантин отправил.
в mbam те же файлы, что и в прошлом сообщении.
combofix прикрепляю.

Вы их удалили тогда?При повторном сканировании файлы опять нашлись?

да.опять их удалил. сканирование заново не делал.
может удалить их с лайва?
удалось установить активный kis 2011(но мне нужен нод- т.к памяти только 512- на время добавил 1024)(ни аваст,нод,авира,авг,др веб,нортон не ставяться. давайте это тоже на заметку возьмем)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

хорошо... скоро будет... только после обновления kis он столько непонятного нашел... после перезагрузки сделаю скрипт.

Не стоило устанавливать антивирус во время лечения!

еще бы

Внимание!Добавил еще один файл в скрипт Комбо.

почему? это же автозагрузка в "контроле". ни одна утилита насколько я понимаю такого сделать не сможет более лучше , чем активный антивирусный модуль..
а то , что антивирь удалит(полечит) файлы , которые прописаны в скриптах я думаю нормально.....
может я и не прав...(не профи явно....) буквально 10 минут и прикреплю скрипт.

Одно скажу, пока ничего Касперским удалять не надо! На время выполнения скрипта Комбо - Касперского выгрузите!

это понятно... сейчас перезагрузка. скоро "буду".

ааа.... не успел....

после работы делаю проверку каспером.... уже 112 инфицированных..... я не в "понятке"(понял.надо было изначально удалить точки восстановления и на время отключить.)

Файлы удалились.
Файл d:\windows\system32\dllcache\drw35.tmp удалите вручную.

Больше ничего плохого в логе не вижу.

Сделайте контрольный лог MBAM.

удалил.
спасибо за помощь огромное!
далее удалю каспера и попробую установить нод, если , что " подниму тему".

Еще не всё.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Настоятельно рекомендую
Обновите Internet Explorer до восьмой версии
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!).

Жду лог MBAM

про Combofix забыл...
нельзя по "определенным "причинам.
к сожалению тоже нельзя :sorry:
логи сделаю минут через 15.

KAVRemover

каспера удалил. нод "встал"!!!!!!!!!!!! oszone.net- вы лучшие!!!!!Fedin в том числе!
как ни странно рассматривая логи вижу, что главную жирную точку установил Combofix - , который обычно у меня уводил в "ступор" систему и программы....
делаю лог mbam. сейчас "дам".

в mbam только 3- майкрософтофские. еще раз СПАСИБО!!!!
p.s-combofix создал у меня дополнительно 2 параметра загрузки в boot.ini- вопрос-а он на это имеет право?(понятное дело удалил)

Пожалуйста! :)

Спасибо!Очень приятно! :)

Как таковой ссылки нет, кроме Руководство по применению

ничего страшного... по аналогии разберусь...
ну.... еще раз спасибо! и до новых встреч!

Удачи!