[Pili]

alk3, Здравствуйте!

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix

Если после этого нормальная версия AVZ не запустится, скачайте эту версию AVZ попробуйте сделать логи.

[Vadikan]

Pili, а Combofix с Vista работает? Просто все эти инструкции по поводу консоли восстановления мимо цели - ее же нет в Vista. В инструкции там одно упоминание

Цитата:

Windows Vista users can use their Windows DVD to boot up into the Vista Recovery Environment.

Но оно к самой инструкции отношения не имеет, как я понимаю. Ведь Combofix запускается в рабочей среде Windows.

[iskander-k]

И поменяйте Symantec на другой антивирус.
P.S. Касперский уже знает этот вирус, вернее, большей частью, его последствия (троянские программы).

Просмотрите весь раздел "Лечение систем от вредоносных программ" - Antivirus2008-- не раз уже обсуждался , обсуждались также и борьба с ним, удаление, и зачистка в ручную.

[Pili]

Vadikan, да, Combofix с Vista работает - недавно была тема [решено] Как разблокировть доступ к антивирусным сайтам...
А так - у меня шаблон (по логу HJT сразу и не заметил, что ОС Vista), пользователи Vista могут (ссылка в инструкции how-to-use-combofix есть) воспользоваться инструкциями Vista Recovery Environment и How to automatically repair Windows Vista using Startup Repair и ещё есть тут, инструкции к сожалению на англ.яз., но вообще установку консоли можно пропустить, консоль восстановления нужна, если после работы ComboFix система не будет загружаться, таких случаев ещё не замечал, на geekstogo.com по крайней мере, если они есть, то крайне редкие. В общем отредактировал пост - убрал по этой теме установку консоли восстановления

iskander-k, не все так богаты, чтобы переходить так просто от одного антивируса к другому, кроме того проверка с помощью AVPTool рекомендуется в правилах.

[Vadikan]

Pili, понятно, спасибо за разъяснения.

Цитата Pili:

консоль восстановления нужна, если после работы ComboFix система не будет загружаться »

Если в наличии есть установочный диск Vista, это не должно быть проблемой - там есть функции восстановления загрузки.

Цитата iskander-k:

И поменяйте Symantec на другой антивирус. P.S. Касперский уже знает этот вирус, »

Ну так Symantec тоже узнал - см. первый пост. Проблемы все равно остались, так что, возможно, Antivirus2008 - не единственный зловред на компьютере.

[iskander-k]

Цитата Vadikan:

Проблемы все равно остались, так что, возможно, Antivirus2008 - не единственный зловред на компьютере. »

Совершенно верно и + куча троянцев в System32, Antivirus2008 тащит.

[Pili]

Цитата Vadikan:

Если в наличии есть установочный диск Vista, это не должно быть проблемой - там есть функции восстановления загрузки.»

Не тестировал, но читал:) В System Recovery Options Vista много чего есть, на всякий случай там есть ещё стандартная коммандная строка How to use the Command Prompt in the Vista Windows Recovery Environment
О консоли восстановления я говорил в общем случае, пользователей с ОС Vista, обращающихся в этот раздел, пока не много (косвенно может говорить о том что Vista более безопасна при установке по умолчанию, но м.б. просто пользователей меньше или... зловредов) :)
Сами строчки со зловредами (напр. wfexqnrp.dll - точно знаю, что MBAM знает его) уже видны по логу HJT, можно и пофиксить, но надо удалить сами файлы, почистить реестр, плюс логи combofix и AVZ позволят ещё что-нибудь увидеть, кроме того что на поверхности... В общем логи ждемс... :)

[alk3]

Pili,

Спасибо за быстрый ответ. Логи которые вы просили прикреплены к этому сообщению.

Вот логи от Malwarebytes' Anti-Malware

Код:

Malwarebytes' Anti-Malware 1.30
Database version: 1340
Windows 6.0.6001 Service Pack 1

10/30/2008 10:56:52 AM
mbam-log-2008-10-30 (10-56-52).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 208373
Time elapsed: 1 hour(s), 11 minute(s), 4 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 14
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 15

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\pnphon.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{10026069-7a5f-4531-811e-c8df20643bee} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5e58dfe1-d27c-4cf0-bfef-539a63c0bece} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{db3db4d7-b8f4-4097-80a6-a2e93d08c92d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\poals (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ed5288-f558-4f6e-8d5c-740cb6f89029} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TotalSecure2009 (Rogue.TotalSecure) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.bfba (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.bten (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wfexqnrp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wvbegpqs (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Windows\System32\sysbase32.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\wfexqnrp.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00001.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00002.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00003.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00004.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00005.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00006.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00007.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00008.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00009.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00010.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00011.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
D:\Downloads\Minitab\MINITAB 15.1 Keygen by CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\k.txt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Спасибо за внимание к моей проблеме.

[Pili]

Проверьте на virustotal.com файлы

Цитата:

C:\Windows\System32\netapi32(30).dll C:\Program Files\Dude\dude.exe

результат выложите в следующее сообщение.
Очистите временные файлы с помощью ATF Cleaner или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::
C:\wvbegpqs.dll
C:\Windows\System32\Setup_ver1.1674.0.exe
C:\Users\Aleks\AppData\Local\Temp\ac8zt2\wvfsrqab.dll
C:\Users\Aleks\AppData\Local\Temp\ac8zt2\wvfsrqab.dll
Folder::
C:\Program Files\TS-2009\

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в следующее сообщение

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.