[iskander-k]

Сделайте ещё этот лог.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Nightslim]

Malwarebytes' Anti-Malware 1.42
Версия базы данных: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.12.2009 19:50:15
mbam-log-2009-12-12 (19-50-15).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 246084
Прошло времени: 45 minute(s), 35 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 9
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 15

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{bc656258-2f9d-4448-94a8-ff8c551ba3fb} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{533bbe22-df4d-4f55-bfc1-30cb5d7e4607} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{557bbc12-0937-4263-8205-b424f51618ca} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer.1 (Trojan.PornDialer) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\dfshimrt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.
D:\distr\Nero 6.0\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\distr\Кодеки и плееры\Winamp_5.3\Crack\Keymaker.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Quarantined and deleted successfully.

Перезагрузился. Без изменений. Проблема осталась.

[iskander-k]

• Скачайте на заведомо "здоровом" компьютере утилиту от DrWeb - CureIT! Запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.
Как работать с утилитой CureIT! можно прочитать в теме - Как лечить файловый вирус

1. Скачиваем VundoFix на рабочий стол, после чего закрываем все открытые окна и запускаем программу.
2. Как работать с программой читаем в теме - Как удалить Vundo?

На тот редкий случай, когда VundoFix вдруг не может помочь:
1. Скачиваем на рабочий стол VirtumundoBegone и перезагружаем компьютер в безопасный режим: Читать ниже по тексту - На тот редкий случай, когда VundoFix вдруг не может помочь.

[iskander-k]

Далее ...

1. Отключите интернет и локальную сеть если таковая имеется.
2. Очистите временные файлы.
   Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
   • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
   • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
   • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
   • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
   • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
   • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 SetAVZGuardStatus(True);
 SetAVZPMStatus(True);
 SetServiceStart('REMOVE', 4);
 StopService('REMOVE');
 QuarantineFile('C:\WINDOWS\system32\drivers\REMOVE.SYS','');
 QuarantineFile('C:\WINDOWS\system32\dfshimrt.dll','');
 QuarantineFile('C:\WINDOWS\Installer\7ec52.msi','');
 DeleteFile('C:\WINDOWS\system32\dfshimrt.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\REMOVE.SYS');
 DeleteFile('C:\WINDOWS\Installer\7ec52.msi');
 DelBHO('{1DFA2A6E-3CB3-4141-A96F-D42244A6B50E}');
 DeleteService('REMOVE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
executerepair(2);
executerepair(6);
executerepair(8);
executerepair(4);
executerepair(13);
executerepair(16);
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O2 - BHO: AnyxPlayer Class - {1DFA2A6E-3CB3-4141-A96F-D42244A6B50E} - C:\WINDOWS\system32\dfshimrt.dll

И удалите лишние антивирусы - у вас на системе должен быть один антивирус. Несколько установленных антивирусов это не хорошо для системы. Будут друг другу мешать работать.

[Nightslim]

Скрипты выполнил, ничего не изменилось.
O2 - BHO: AnyxPlayer Class - {1DFA2A6E-3CB3-4141-A96F-D42244A6B50E} - C:\WINDOWS\system32\dfshimrt.dll - вот эта строчка при скане в HiJackThis отстутсвует. Фиксить нечего.

[iskander-k]

Сделайте новые логи.

и

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[Nightslim]

Лог от GMER :

Код:

GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2009-12-15 12:00:02
Windows 5.1.2600 Service Pack 3
Running: 44x9urbp.exe; Driver: C:\DOCUME~1\86A9~1\LOCALS~1\Temp\fwnoafow.sys


---- System - GMER 1.0.15 ----

INT 0x06        \??\C:\WINDOWS\system32\drivers\HaspNT.sys (Windows NT4(SP5+)/2000 HASP-Emu Driver/Sable PATCH Lab)                                                                                                      F7AA383B
INT 0x0E        \??\C:\WINDOWS\system32\drivers\HaspNT.sys (Windows NT4(SP5+)/2000 HASP-Emu Driver/Sable PATCH Lab)                                                                                                      F7AA3780

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                                                                                   eamon.sys (Amon monitor/ESET)

Device          \Driver\Tcpip \Device\Ip                                                                                                                                                                                 vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                                                                                                 epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\Tcp                                                                                                                                                                                vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                                                                                                epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\Udp                                                                                                                                                                                vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                                                                                                epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\RawIp                                                                                                                                                                              vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                                                                                              epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                                                                                                        vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                         1?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                            1?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                              1?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                           1?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                       1?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                    1?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4  1?2?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0)                                                 1?
Reg             HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n  1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                             1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                               1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                           1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4      1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0)                                                     1?
Reg             HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n      1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004                             1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0)                                                1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0)                                                  1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0)                                               1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4                           1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0)                                                        1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4      1?2?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0)                                                     1?
Reg             HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n      1?

---- EOF - GMER 1.0.15 ----

С группы поддержки Kaspersky был получен следующий ответ: В присланном Вами файле не найдено ничего вредоносного.

[Drongo]

Nightslim, Давайте попробуем эти средства:

• Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь.

• Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.\nКак использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

[iskander-k]

Цитата Nightslim:

При загрузке Windows ( SP 3) , появляется на пару секунд окно DOS со следующей надписью: Start Hasp Emu. »

Судя по этому у вас установлен крек для 1С. Использование эмулятора ключа Hasp, нарушает права 1С,
Вы устанавливали этот эмулятор ?
И скорее всего эта проблема у вас появилась после установки этого крека.