заблокированы некоторые функции windows
 

А именно заблокированы: диспетчер задач(уже разблокировал через avz), cmd, "выполнить" в пуске, не дает просматривать веб страницы с описанием подобной проблемы(как только открываю страницу, браузер тут же закрывается), реестр не проверял но тоже выполнил скрипт в avz, еще заблокирован hosts.

лог весил больше разрешенного на форуме, поэтому в архиве


заранее благодарю...

Здравствуйте,

Сейчас посмотрю логи.

ожидаю

диспетчер опять сломали)

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ и RSIT

не дает выполнить скрипт, avz зависает

полечил cureit'ом, прилагаю новые логи

Здравствуйте,

Попробуйте выполнить скрипт следующим образои:

1. Скопировать скрипт в блокнот:
Открыть меню файл - "сохранить как", в поле "имя файла" вставьте: C:\script.txt

2. Перенесите папку с AVZ в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким:
C:\avz4\avz.exe

3. Скопировать код в блокнот, сохранить на рабочем столе под любым именем с расширением .vbs После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт avz - script.txt.

После окончания компьютер перезагрузится.

после лечения cureit'ом все вроде бы стало нормально, но теперь полетели браузеры firefox и opera, пришлось ставить вторую оперу, выполнил указанный скрипт в avz после чего пошел в HiJackThis фиксить указанные строки, большинства из них при скане не обнаружилось.... дальнейшие указания не выполнял

снова прилагаю свежие логи и рассчитываю на вашу помощь

Пофиксить в HJT

Выполняйте (шаг №4 и №5)

C:\adult - что в папке?

C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe - этот файл вам знаком?

Файл C:\DOCUME~1\amun\LOCALS~1\Temp\GAS179B.tmp проверьте на virustotal и ссылку на результат запостите в вашем следующем сообщении.

видео файлы и изображения, в одной из папок установлена вторая опера
не знакомне обнаружил файл в данной папке

Файлы C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe и c:\documents and settings\amun\главное меню\программы\автозагрузка\igfxtray.exe
проверьте на virustotal и ссылку на результат запостите в вашем следующем сообщении.


Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

В MBAM удалите (запустите полное сканирование, в конце отметьте эти детекты, нажмите "Remove selected")

Поменяйте все важный пароли!!!

Сделайте новый лог RSIT и прикрепите отчет сканирования MBAM+результаты с virustotal

папку new bot на раб столе так же не обнаружил, автозагрузка пустая

Найдите файлы с помощью функции "Поиск".
Ответ с лаборатории пришел по карантинам?

поиск так же не дал результатов, ответ еще не пришел

я должен был послать запрос на исследование вредоносного файла?

Вы должны были это сделать ранее, следуя указанной инструкции.

Ок, запустите еще раз MBAM и отметьте на удаление этот файл:

Файл C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe - это бот игрового сервера. Вам это что-нибудь говорит?

я сделал, просто уточняю правильно ли я послал запрос
действительно это бот, но у себя на пк я его уже давно не наблюдаю

Ответ не пришел еще?

Ок.

Что с проблемами?

ответа пока нет, изначально описанных мной проблем теперь нет, сейчас главная проблема крах браузеров
в firefox: Не удалось загрузить ваш профиль «Firefox». Возможно он отсутствует или недоступен.
попытался исправить проблему в ручную, но к profiles.ini нет доступа

Его может и не быть, но надо знать, пришел ответ или нет.

Это хорошо. Не забудьте еще удалить тот файл, который я вам указал в сообщении №16!

Другие браузеры как работают? Полностью переустановить Mozilla Firefox не пробовали?

сейчас слежу за ящиком, проверяю через каждые 5 минут
жду пока закончит сканировать, сразу удалю

Ну это не архиважно, я знаю чем была заражена ваша система.Хорошо.

Нам еще осталься последний шаг сделать в нашем с вами "приключении" :)

чем только не заражена...

файл удалил, что дальше?

firefox не хотелось бы полностью удалять

Opera нормально работает?

А дальше следующее:

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!
- поменяйте все важные пароли!!!
- установите антивирус!!!

+ обновите Internet Explorer до 8-й версии.
+ обновите Java до последней версии.
+ обновите Adobe Reader до последней версии
+ обновите Adobe Flash Player

Ваша система была поражена Trojan Malex’ом и трояном-бекдором (Trojan/Backdoor).

у меня стоял firefox как основной и opera на всякий случай, вчера начались крахи firefox'а - запускаю, работает максимум 1 минуту - 2 минуты, после чего закрывается и появляется сообщение о крахе с предложением отправить сообщение в саппорт. После перезагрузки фаерфокс не запускается совсем - "Не удалось загрузить ваш профиль «Firefox». Возможно он отсутствует или недоступен." на форуме вычитал что это можно пофиксить через файл profiles.ini но что то не дает мне его подправить. Опера сломалась также неожиданно и не хочет удаляться, пришлось поставить еще одну.

Ха, у меня только-что Opera обвалилась :laugh:
Это читали?

да как раз таки про это я и говорил, еще вчера наткнулся на пост в котором был описан вирус который ломает браузер через реестр, нашел в реестре то что описывали и все совпало.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon имя userinit, писали что в значении должна быть одна строчка C:\WINDOWS\system32\userinit.exe и если после запятой есть еще то идете по адресам и удаляете файлы на которые ссылается потом правите значение убирая лишние, у меня были вписаны еще два значения: C:\WINDOWS\AppPatch\inragui.dat и C:\Documents and Settings\amun\Local Settings\Temp\lsass.exe. inragui.dat я нашел, но при удалении тут же появляется точно такой же, lsass же вообще не нашел

срочно логи повторяем-недолечились!

Здравствуйте,

Сделайте новые логи AVZ+RSIT+новое сканирование MBAM.

сейчас сделаю

вот они

Здравствуйте,

В логах чисто. По логу HJT - значение UserInit=C:\WINDOWS\system32\userinit.exe
В начале лечения у вас было значение UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe, мы это исправили.

Если все-таки у вас остались какие-то подозрения, вы видите, что что-то не так, пожалуйста скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение, а также эмулятор дисков. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

лог

в начале было
UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe,C:\WINDOWS\AppPatch\inragui.dat
правил я это в ручную в реестре

А сейчас значение нормальное?!

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

не совсем, вот так оно выглядит UserInit=C:\WINDOWS\system32\userinit.exe,
запятой как я понимаю в конце быть не должно

это вообще лечится?

это я создавал второго пользователя... думал с него запустить firefox. Основная проблема в том что вся папка и все файлы в ней, в директории C:\Documents and Settings\amun\Application Data\Mozilla\Firefox чем то заблокирована, я не могу скопировать/переименовать/удалить ни один файл, удалось лишь переименовать profiles.ini с помощью unlocker'а в p1rofiles.ini, теперь обратно переименовать не получается и с его помощью, благодаря тому что я переименовал этот самый profiles.ini firefox запустился и создал новый профиль, со старым он работать не хочет, говорит что недоступен или занят другим процессом который ему и не позволяет(если будет нужно то процитирую текст ошибки дословно)

gorylev,
Правильное значения для Userinit это:

именно с запятой

права на папку себе возвращали?

как стать владельцем файла или папки

@gorylev,

Как уже верно подметила вам SolarSpark, значение Userinit должно иметь запятую в конце.

Вы скрипт в ComboFix выполняли или просто его запустили?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

вы правы, действительно
помогла функция FSResetSecurity в avz, ее можно как то применить ко всей папке а не отдельно к файлу?

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up