[решено] если переустановка системы не избавила от вируса

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

если переустановка системы не избавила от вируса

Вирус блокирует доступ на сайты, требуя авторизацию, обновление антивирусных программ, а также доступ к реестру и некоторым другим функциям. Касперский проблем не видит. AVZ, CureIt, Malwarebytes Anti-Malware находили что-то, но проблему это не решило. Даже переустановка системы не помогла, проблемы очень быстро вернулись.
Помогите пожалуйста справится с этой заразой!!!

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

____________________________________________________________________________________________________ ___

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Изменить параметры проверки";
Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
Подтвердите изменение настроек нажатием кнопки "ОК";
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
Самостоятельно без указания хелпера ничего не не удаляйте!!!
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Отправляю логи. Первый автоматически не упаковался, делал в ручную.

Цитата:

Цитата nimrod78

Вирус блокирует доступ на сайты, требуя авторизацию, обновление антивирусных программ, а также доступ к реестру и некоторым другим функциям. »

Подробнее опишите проблему. Как блокирует доступ к сайтам, к реестру. Что находил MBAM? Если можно скриншоты.

+

Опишите, как Вы подключены к интернету

Первый раз окно авторизации появилось при посещении вроде безобидного Avito.
Авторизоваться у меня конечно не получалось, а при отмене или закрытии окна появлялось сообщение об ошибке и страница не загружалась.
Я сделал откат системы, поставил другой антивирус и все заработало.
Но через какое-то время окно сообщения о необходимости авторизации, ссылаясь на какой-то адрес в сети, стало появляться опять. Я пробовал использовать IE, Google Chrome и Firefox, везде результат одинаковый. AVZ ничего не находил, но обновить его не получилось. И блокировались сначала прежде всего сайты антивирусов и их обновление, остальные открывались. Потом такие окошки стали появляться все чаще и практически на любой странице. Плюс у меня почему-то вдруг оказалось недостаточно прав, чтобы залезть в реестр или открыть панель управления. Иногда после перезагрузки все приходило в норму, но совсем ненадолго. Кое-как удалось скачать и обновить антивирусные утилиты. И они кое-что нашли. Точно конечно не скажу, что конкретно, но помню 3-4 вируса (один точно был KIDO) и штук 15 троянов. После их удаления проблемы вроде исчезли. Но через день опять появились окна авторизации.
Переустановил систему, поставил KIS и MBAM, включил брандмауэр. Но даже после этого через несколько дней эти неубиваемые окна стали блокировать доступ в интернет. Касперский ничего не находил. MBAM сообщал о 2-3х ошибках в реестре (я так понял это отключенные уведомления службы безопасности Windows). Также он нашел несколько троянов, но их удаление ничего не изменило. У меня два жестких диска, я даже попробовал физически отключить основной и установил систему на второй. Потом подключил его снова, все проверил антивирусами, ничего не нашел. Но даже после этого проблемы с доступом в интернет очень быстро вернулись.
Также заметил, что само подключение к сети происходит быстрее, чем раньше. При этом изменяется иконка локального подключения в трее.
Подключение без модема, оптоволокно (PPPoE) 5Мб. Честно говоря не знаю какая информация о подключении нужна, если написал не ту, только скажите.
Скриншоты пока приложить не могу, потому что по закону подлости именно сейчас все работает. Хотя сегодня днем на форум мне удалось зайти только после удаления KIS (все равно толку от него никакого, MBAM хоть иногда сообщает о предотвращении попытки обращения к вредоносному сайту). Не знаю как это повлияло, но думаю это ненадолго и за скриншотами дело не станет.
Надеюсь эта информация хоть как-то прояснит ситуацию, я уже не знаю как с этим бороться.

Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

вот текст

Код:

ComboFix 12-10-30.03 - колибри 30.10.2012  20:41:33.1.4 - x86

Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.3326.2854 [GMT 4:00]

Running from: c:\documents and settings\ъюышсЁш\¦рсюўшщ ёЄюы\ComboFix.exe

.

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\msmqinst.log

c:\windows\msxml4-KB2721691-enu.LOG

c:\windows\regopt.log

c:\windows\system32\Branded.scr

c:\windows\system32\Branded.scr.manifest

c:\windows\system32\default_user_class.dat.LOG

c:\windows\system32\TZLog.log

.

.

(((((((((((((((((((((((((   Files Created from 2012-09-28 to 2012-10-30  )))))))))))))))))))))))))))))))

.

.

2012-10-28 20:58 . 2012-10-28 21:00        --------        d-----w-        C:\rsit

2012-10-25 16:43 . 2012-10-25 16:43        --------        d-----w-        C:\NVIDIA

2012-10-24 20:14 . 2012-10-25 16:12        --------        d-----w-        C:\Медиа

2012-10-24 19:15 . 2012-10-28 21:13        --------        d-----w-        C:\резерв

2012-10-23 19:54 . 2012-10-28 21:13        --------        d-----w-        C:\проба

2012-10-22 23:02 . 2012-10-28 20:58        --------        d-----r-        C:\Program Files

.

.

.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-23 22:55 . 2012-07-25 10:53        24920        ----a-w-        c:\windows\system32\drivers\klmouflt.sys

2012-10-23 22:55 . 2012-05-25 15:38        24408        ----a-w-        c:\windows\system32\drivers\klkbdflt.sys

2012-08-30 20:29 . 2010-02-01 13:44        669184        ----a-w-        c:\windows\system32\wininet.dll

2012-08-30 20:29 . 2010-01-28 18:27        61952        ----a-w-        c:\windows\system32\tdc.ocx

2012-08-30 20:29 . 2010-01-28 18:27        81920        ----a-w-        c:\windows\system32\ieencode.dll

2012-08-30 20:25 . 2010-01-28 18:27        370688        ----a-w-        c:\windows\system32\html.iec

2012-08-24 13:53 . 2010-01-28 18:27        178176        ----a-w-        c:\windows\system32\wintrust.dll

2012-08-23 06:26 . 2009-02-10 10:29        2150912        ----a-w-        c:\windows\system32\ntoskrnl.exe

2012-08-23 06:26 . 2008-05-15 12:59        2029568        ----a-w-        c:\windows\system32\ntkrnlpa.exe

2012-08-17 17:39 . 2012-08-17 17:39        200632        ----a-w-        c:\windows\system32\klogon.dll

2012-08-13 12:49 . 2012-08-13 12:49        144344        ----a-w-        c:\windows\system32\drivers\kneps.sys

2012-10-11 01:05 . 2012-10-22 19:57        261600        ----a-w-        c:\program files\mozilla firefox\components\browsercomps.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2010-02-01 13:41 . C927875EE475355CB4FC0C4DE5E01AB9 . 815616 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll

.

[-] 2010-02-01 . 5649A58CF092E47C2CCEEB9E720BE2C7 . 2119168 . . [6.00.2900.5512] . . c:\windows\explorer.exe

.

[-] 2008-04-15 . 4CDEBF40AD7C2230B52BB456FE3E382F . 215040 . . [5.1.2600.5512] . . c:\windows\regedit.exe

.

[-] 2010-02-01 . 821117550E30CC46CBD49BD981A64088 . 37376 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

.

[-] 2010-02-01 . 8E43C7B04002DFE68F3791E1F475039F . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2012-05-15 15504192]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2012-05-15 108352]

"nwiz"="c:\program files\NVIDIA Corporation\nview\nwiz.exe" [2012-05-15 1634112]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-02-01 37376]

.

c:\documents and settings\колибри\Главное меню\Программы\Автозагрузка\

USBGuard.lnk - c:\program files\USBGuard\USBGuard.exe [2008-10-9 798720]

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoThumbnailCache"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

"TuneUp.Defrag"=3 (0x3)

"Schedule"=2 (0x2)

"MBAMService"=2 (0x2)

"MBAMScheduler"=2 (0x2)

"JavaQuickStarterService"=2 (0x2)

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"OscarEditor"="c:\program files\Anti-Vibrate Oscar Editor\OscarEditor.exe" Minimum

"Microsoft Office Outlook"=c:\progra~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"

"Vistadrv"=c:\program files\VistaDrive\vsdrv.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

"UpdatesOverride"=dword:00000001

"AntiVirusOverride"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableNotifications"= 1 (0x1)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Documents and Settings\\All Users\\Application Data\\Battle.net\\Agent\\Agent.1363\\Agent.exe"=

.

R1 kltdi;kltdi;c:\windows\system32\drivers\kltdi.sys [08.06.2012 11:38 43608]

R1 kneps;kneps;c:\windows\system32\drivers\kneps.sys [13.08.2012 16:49 144344]

R1 Prio;Prio;c:\windows\system32\drivers\prio.sys [11.09.2007 18:50 34064]

R1 uzqwodiy;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzqwodiy.sys [26.10.2012 1:56 11264]

R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [24.10.2012 16:59 399432]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [27.06.2012 14:09 35672]

R3 klkbdflt;Kaspersky Lab KLKBDFLT;c:\windows\system32\drivers\klkbdflt.sys [25.05.2012 19:38 24408]

R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [25.07.2012 14:53 24920]

R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [23.10.2012 3:05 1381632]

S1 4001492drv;4001492drv;c:\windows\system32\drivers\4001492drv.sys [28.10.2012 2:46 475736]

S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [24.10.2012 16:59 676936]

S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24.10.2012 16:59 22856]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [22.10.2012 23:58 115168]

.

--- Other Services/Drivers In Memory ---

.

*Deregistered* - uphcleanhlp

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

UPHClean        REG_MULTI_SZ           UPHClean

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\NewUserCustom]

2008-04-15 12:00        100352        ----a-w-        c:\windows\system32\advpack.dll

.

Contents of the 'Scheduled Tasks' folder

.

2012-10-26 c:\windows\Tasks\1-Click Maintenance.job

- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 05:09]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.chipxp.ru/

mStart Page = hxxp://www.chipxp.ru/

IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: Interfaces\{CDD1DD61-F439-482C-8524-70DEC92C976B}: NameServer = 85.175.46.122 85.175.46.130

FF - ProfilePath - c:\documents and settings\колибри\Application Data\Mozilla\Firefox\Profiles\vul31dsr.default\

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

- - - - ORPHANS REMOVED - - - -

.

Notify-WgaLogon - (no file)

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2012-10-30 20:46

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...  

.

scanning hidden autostart entries ... 

.

scanning hidden files ...  

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_UJQWODIY\0000]

@DACL=(02 0000)

"Service"="ujqwodiy"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="AVZ-SG Kernel Driver"

"Capabilities"=dword:00000000

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_UTQWODIY\0000]

@DACL=(02 0000)

"Capabilities"=dword:00000000

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_UZQWODIY\0000]

@DACL=(02 0000)

"Capabilities"=dword:00000000

.

--------------------- DLLs Loaded Under Running Processes ---------------------

.

- - - - - - - > 'winlogon.exe'(788)

c:\program files\Prio\prio.dll

c:\windows\system32\cscui.dll

.

- - - - - - - > 'lsass.exe'(844)

c:\program files\Prio\prio.dll

.

Completion time: 2012-10-30  20:47:50

ComboFix-quarantined-files.txt  2012-10-30 16:47

.

Pre-Run: 46*319*783*936 байт свободно

Post-Run: 46*379*081*728 байт свободно

.

- - End Of File - - D7E7F313DE75761B22DCBD136C6DFC3B

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" (Возможно потребуется указать полный путь, например "C:\Users\User\Desktop\Combofix.exe" /Uninstall - кавычки обязательны.)

Скачайте OTCleanIt, запустите, нажмите Clean up

______________________________________________________________________

Почистьте кэш DNS, для этого в командной строке, запущенной с администраторскими привилегиями, скомандуйте:

Код:

ipconfig /flushdns

Почистьте кэш браузеров.

Попробуйте выставить альтернативные DNS

После всего проделанного и выставленных альтернативных DNS попытался открыть страницу. Окно авторизации появилось опять, хотя до этого все работало.
Вернул DNS на автоматические, страницы загружаются, только дольше обычного.
Попробую отправить скриншоты.

Подключение к сети через роутер или напрямую?

Проблема скорее всего у провайдера такие запросы возникают при неверных настройках сетевых маршрутизаторов

Понятно, буду дальше разбираться. Спасибо Вам большое.