[Severny]

Цитата dedd:

Может кто-нибудь помочь? »

Постарамся.
Скачай ATF-cleaner и удали временные файлы.

В HijackThis поставь галочки перед значениями и нажми Fix checked.

Код:

R3 - URLSearchHook: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKLM\..\Run: [POKGWAFA] %systemroot%\POKGWAFA.exe
O4 - Startup: desktop(2).ini
O4 - Global Startup: desktop(2).ini

В AVZ меню Файл -- Выполнить скрипт. Скопируй код и нажми "Запустить".

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Poker\Titan Poker\casino.exe','');
 QuarantineFile('C:\WINDOWS\POKGWAFA.exe','');
 QuarantineFile('C:\WINDOWS\msauc.exe','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('msansspc.dll','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
 SetServiceStart('NAL', 4);
 DeleteService('NAL');
 DeleteFile('C:\WINDOWS\system32\Drivers\iqvw32.sys');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\msauc.exe');
 DeleteFile('msansspc.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполни еще один скрипт..

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

.. и получившийся карантин пришли мне в приват.
Скачай MBAM, после установки обновить базы и сделать полную проверку. Получившийся лог приложить.
Версия Касперского никуда не годится. Желательно обновиться до последней.
Все логи нужно повторить.
Возможно понадобятся дополнительные логи.

[dedd]

Цитата Severny:

Скачай MBAM, после установки обновить базы и сделать полную проверку. Получившийся лог приложить. »

А где этот лог должен появиться? Или ты имеешь в виду отчет в формате .txt?

Цитата Severny:

Версия Касперского никуда не годится. Желательно обновиться до последней. »

Базы у меня обновляются автоматически. Или речь идет о новой версии самой программы?
Т.е. нужно заново ее устанавливать?


PS Жду ответа. В следующем посте вложу логи, а карантин уже выслал в личном сообщении

Да, и с НОВЫМ ГОДОМ!

[Pili]

Цитата dedd:

А где этот лог должен появиться? Или ты имеешь в виду отчет в формате .txt? »

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
FlashGet советую деинсталлировать.

Цитата dedd:

Или речь идет о новой версии самой программы? Т.е. нужно заново ее устанавливать? »

Рекомендую перейти на версию 2009

[dedd]

FlashGet удален, Касперский обновлен, логи приложены.
Буду ждать дальнейших указаний.


Боюсь придется все сносить и начинать с нового листа, но почему-то не хочется.

[Pili]

dedd, По логам ничего зловредного.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Пофиксите в HJT

Код:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

Выполните в AVZ скрипт

Код:

begin
ExecuteRepair(5);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Если проблема останется и у вас есть подозрение на наличие вирусов:
Проверьте на virustotal.com файлы

Цитата:

C:\Poker\Titan Poker\casino.exe C:\Program Files\PokerStars\PokerStarsUpdate.exe C:\WINDOWS\Downloaded Program Files\mjolauncher.dll

Проведите проверку с помощью F-Secure Online Scanner, лог сканирования приложите к сообщению.
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

[dedd]

Проблема осталась. Только теперь даже фоновый рисунок не загружается (пустой серый экран без всего). Все также тормозит.

Цитата Pili:

Проверьте на virustotal.com файлы Цитата: »

Три указанных файла проверены, результатов никаких нет. Везде 0.

Цитата Pili:

Проведите проверку с помощью F-Secure Online Scanner, лог сканирования приложите к сообщению. »

После проверки онлайн комп сам перезагрузился. Логи не нашел.

Цитата Pili:

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y") »

Интересно, что в безопасном режиме все загружается с ярлыками и с меню Пуск, только без фонового рисунка (все черное), и работает все гораздо быстрее (клики мышки срабатывают быстрее).
Заархивированный Report.txt приложен.

Заархивированный ComboFix.txt тоже приложен, только забыл касперского отключить (он периодически выскакивал, но я давал разрешение на продолжение работы программы).
Если это неправильно, скажите, я еще раз запущу эту программу.

[Pili]

dedd, по этим логам тоже ничего, удалите папку c:\program files\MyCentria, проверьте на virustotal.com c:\windows\inf\unregmp2(2).exe
Попробуйте деинсталлировать Daemon Tools
Примените следующий твик реестра, сохраните текст ниже как fix.reg и примените

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StuckRects2]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamsMRU]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoToolbarsOnTaskbar"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetTaskbar"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktop"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ClassicShell"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}]
@="Media Band"
"BarSize"=-


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=dword:00000000
"NoMovingBands"=dword:00000000
"NoCloseDragDropBands"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoSetTaskbar"=dword:00000000
"NoToolbarsOnTaskbar"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoMovingBands"=dword:00000000
"NoCloseDragDropBands"=dword:00000000
"**del.NoMovingBands"=" "

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSaveSettings"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"**del.NoSaveSettings"=" "

Или воспользуйтесь готовым reg файлом для восстановления значений по умолчанию для панели задач и меню пуск, reg файлом для восстановления тем оформления и reg файлом для восстановления вкладок Рабочий стол и Заставка в свойствах экрана.

Цитата dedd:

После проверки онлайн комп сам перезагрузился. Логи не нашел »

После проверки, если вирусы найдены, можно было выбрать "Submit samples to F-Secure" и "Automatic cleaning" и далее "Show report"
Если твики реестра не помогли, попробуйте провериться с помощью TrendMicro HouseCall Java Scan или другими антивирусами, логи сканирования по возможности вложите.
По логам AVZ

Цитата:

1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Включите AVZM и повторите лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.
Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.
Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[dedd]

Цитата Pili:

dedd, по этим логам тоже ничего, удалите папку c:\program files\MyCentria, проверьте на virustotal.com c:\windows\inf\unregmp2(2).exe »

папку удалил, файл проверил (ничего не найдено - 0).

Цитата Pili:

Попробуйте деинсталлировать Daemon Tools »

Как попробовать? В установках и удалении программ такой программы нет. В пуске ее тоже нет. Если честно, я не знаю зачем эта программа и как от нее избавиться.

Цитата Pili:

Примените следующий твик реестра, сохраните текст ниже как fix.reg и примените »

После этого твика проблема не решилась. Теперь еще при загрузке появляется окно с тремя знаками-символами (ни слова по-русски или по-английски). Я нажимаю на окей и потом появляется окно для пароля (приветствия). И потом как обычно.

Цитата Pili:

Если твики реестра не помогли, попробуйте провериться с помощью TrendMicro HouseCall Java Scan или другими антивирусами, логи сканирования по возможности вложите. »

Я проверял антивирусом Avast. Отчет заархивированный приложен: aswBoot.rar

Цитата Pili:

Включите AVZM и повторите лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) »

Сделано

Цитата Pili:

Скачайте RSIT, сохраните на рабочий стол и запустите »

Запускаю и через некоторое время выходит ошибка. Картинка приложена.

[dedd]

Архивы файлов OTViewIt.txt и Extras.txt вложены.

Архив лога Gmer тоже вложен.