Опять вирус...
 

Здравствуйте!
Опять я к Вам))
Ситуация такая, что не открываются программы AVZ, HijackThis и др., не заходит на сайты антивирусов. И еще момент такой, что сначала не могла зайти на сайт Одноклассники, пароль не подходил. Я сменила его с помощью восстановления пароля, но теперь написано, что мой профиль на сайте заблокирован (подозреваю, что с него рассылался спам), а значит вирус украл пароль… другого объяснения не вижу.

У меня стоит ESET Smart Security, он кстати, без проблем открывается, но проверка никаких результатов не дает.

Проделала следующее:
1. Dr.Web CureIt –ничего не нашел
2. Kaspersky Virus Removal Tool – не запускается
3. RSIT – не запускается
4. HijackThis – не запускается
5. Malwarebytes' Anti-Malware –не запускается
6. AVZ –не запускается (в безопасном режиме тоже, переименование файла не помогает, дописать (через пробел) AM=Y – тоже не помогает).
7. ComboFix –не запускается (переименование в Combo-Fix не помогает)

Запускаются только два:
8. Gmer – запустился
9. SDFix –запустился

Сделала диск Dr.Web LiveCD.
Скачала две разные версии:
minDrWebLiveCD-5.0.0, записала на диск, нормально грузится, автоматически отмечены галочками для проверки все диски, нажимаю Start. Проверка длится буквально 2-3 секунды. На нижней строчке написано Loading/roo/drweb/local-based/dr50000.vdb и цифры несколько раз меняются и все.

Подумала, что что-то видимо я не так сделала и скачала другую версию.
minDrWebLiveCD-5.0.3, записала, перезагружаю.. и выходит зеленое окно с пауком и надпись «Preparing the Live CD en vironment... Press Alt+F1 for verbose mode». И дальше ничего не меняется…

Что же еще предпринять, подскажите, пожалуйста

Полиморфный АВЗ тоже не запускается ? Если не пробовали скачайте из моей подписи.

Скачайте "OSAM" (Online Solutions Autorun Manager)
(http://www2.online-solutions.ru/ru/d...e.php?p=65580). - установочный пакет
http://www2.online-solutions.ru/ru/d...le.php?p=65579 - портабельная версия (распаковать и запустить)
html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

Полиморфный AVZ запустился) Только с большим трудом... Помог только параметр AM=Y, а иначе не запускался. Причем не с первого раза, а примерно с 5-7 раза запускался. И при выполнении скрипта № 3 несколько раз зависал, приходилось делать сначала.

После перезагрузки компа (после скрипта № 3) папка Log и Карантин исчезает бесследно... хорошо я скопировала файл virusinfo_syscure в другую папку до перезагрузки...

На всякий случай проверила еще раз Gmer, может пригодится (другие проги Kaspersky Virus Removal, RSIT, HijackThis, Malwarebytes' Anti-Malware, ComboFix – все еще не запускаются)

Еще проверила RemovelT Pro v4, прилагаю лог может пригодится.

osam_autorun_manager_5_0 - не запускается (портабельная версия тоже). Причем ESS усмторел в этом файле угрозу (см. файл во вложении)

P.S. Я заметила, что на системном диске D резко сократился объем. Вчера было 4 Gb свободных, сейчас смотрю около 500 Mb. Я ничего особо крупного на системный диск стараюсь не копировать... что может занять 3,5 Gb?? Не понимаю... Может этот факт тоже имеет отношение к вирусу...

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

После этого попытайтесь запустить RSIT

или

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Карантин отправила.
После выполнения скрипта стали открываться все программы (RSIT, HijackThis, Malwarebytes' Anti-Malware), решила всеми программами сделать проверку. Также сделала новые логи AVZ (уже обычной версией, не полиморфной, и с обновленными базами).

DDS тоже проверила. Логи прилагаю.

Спасибо за помощь))

Видимых проблем я больше не наблюдаю... кроме как резкое сокращение объема системного диска D (на 3,5 Gb). Может у Вас есть какие-то мысли на этот счет?

Удалите файл вручную:
d:\windows\system32\дчь?ЄҐш?rWш?њЛ@¶0И0‰

sdsetup.exe - это ваш файл на рабочем столе?

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Для контроля подготовьте логи AVZ и DDS

Файл вручную удалила.

На счет sdsetup.exe - даже не знаю что это за файл... и найти я его не могу на рабочем столе (даже включила отображение скрытых файлов и папок, не видно его). Наверно лучше его как-то удалить? Только как? Возможно это он и занимает тот объем на системном диске.

Карантин получился объемом 217 Mb (архив). Даже в этом случае нужно его отправлять? В почте можно будет сформировать ссылку

Прилагаю новые логи

В таком случае не нужно отправлять

sdsetup.exe - даже не знаю что это за файл... и найти я его не могу на рабочем столе
Из под администратора смотрели?Если не ошибаюсь это установочный файл Spyware Doctor.Посмотрите по пути:D:\Documents and Settings\Admin\Рабочий стол\sdsetup.exe

Проверьте файл wuauclt.exe (дата создания/изменения отличаются) на www.virustotal.com
d:\windows\system32\wuauclt.exe

Дайте ссылку с результатом проверки


Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Все-таки этот файл sdsetup.exe найти не могу. Нет его по указанному адресу.

Проверила файл wuauclt.exe. Вот ссылка:
http://www.virustotal.com/file-scan/...173-1290547242

На счет ComboFix. Я нажала Пуск => Выполнить, ввела команду Combofix /Uninstall. Но выходит сообщение, что "Windows не удалось найти Combofix". Ведь в этот раз я даже не дошла до его установки (изначально он не запускался, а позже Вы не просили им проверять, поэтому я так его и не запускала).

Новую точку восстановления создала, остальные удалила.

ATF-Cleaner запустила. И, о чудо)), он удалил все лишнее (около 4 Gb), и таким образом, системный диск восстановил прежний объем, т.е. опять 4 Gb свободных.

Очередной раз благодарю)))
Все, что мной было проделано - этого достаточно? Или еще что-то сделать?

Скачайте и запустите OtCleanIt.
Больше проблем не вижу.

Смените все важные пароли!

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit