Друзья, надежда только на вас! Подцепил заразу лютую - стал тормозить комп, постоянно стало 50% процессора занято explorer.exe. В резиденте стоит nod32. Он ничего не сканил, короче скачал cureit - о ппа, амне в safe mode не зайти - чёрный экран и привет шишкину. Скачал avz, где-то что-то прочёл, использовал вроде безопасный по интуиции скрипт, в общем попал в сэйф, просканил cureit, нашёл Trojan.Muldroper.19494 и ещё какую-то дрянь в System Volume Informetion _restore и т.д. ну и ещё по мелочам. Да, восстановление системы тоже не работало (пропали все сделанные ранее точки возврата). В общем всё грохнул, запустил, опять процессор explorerom на 50% загружается. В общем 3,14... Зашёл на virusinfo.info Сделал всё как надо - Касперскии тулз у меня больше суток в сэйф моде сканил нашёл ошмётки порубанных вирусов и ещё троянов в прогах, которые просто засторены без запусков, типа безвредные. если не трогать. Потом соответственно всё как положено avz 2 раза и hijack. Посмотрите плиз результат, что теперь с этим делать? Заранее всем огромное спасибо!!!!!!!!!!!!

tooler, по логам зловредов не видно. Деинсталлируйте UnHackMe, Unlocker, Advanced Email Extractor, VistaDriveIcon, можете также временно деинсталлировать BestCrypt, Punto Switcher и ZoneAlarm (для проверки, потом снова поставите, если потребуется, ZA может мешать работе утилит), вместо ZA можете включить встроенный брандмауэр windows
Пофиксите в HJT строчки
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')
проверьте файл C:\WebServers\etc\utils\Boot.exe на virustotal.com
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) - описание тут (http://www.saule-spb.ru/library/sdfix.html), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Установите Recovery Console по инструкции - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix), и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
- Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
- Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте C:\ComboFix.txt и прикрепите к сообщению.

спасибо за ответ, сразу возникли вопросы, - можно ли не трогать bestcript? с ним вообще никогда никаких проблем не было, а там инфа, по поводу unhack - она уже удалена, где-то её следы остались? advanced mail extractor - пишет не может открыть log., можно ли у далить их тупо deletom? Извините, если вопросы не в тему...

можно ли не трогать bestcript »
Можно
unhack - она уже удалена, где-то её следы остались? »
остались: драйвер и в автозагрузке
advanced mail extractor - пишет не может открыть log., можно ли у далить их тупо deletom? »
Тогда останется мусор в реестре, в принципе остатки UnHackMe и Advanced Email Extractor можно почистить скриптом AVZ+пофиксить в HJT, но последнюю можно попробовать сначала установить и затем деинсталлировать или удалить чем нибудь вроде Total Uninstall (http://soft.oszone.net/program/3645/Total_Uninstall/) или jv16 PowerTools (http://soft.oszone.net/program/109/jv_PowerTools/)
Удалить остатки UnHackMe не так просто
в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute поставить значение autocheck autochk *
в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
убрать Title = "UnHackMe Rootkit Check"
А также проверьте ветки реестра и остальные записи, связанные с UnHackMe и Partizan, посмотрите здесь (http://www.threatexpert.com/report.aspx?uid=d5ab8a7a-88af-4aab-a9d4-ca0b2711aa83)
Перед тем как редактировать реестр, сохраните его
Скачайте ERUNT (http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=113), установите и запустите, выберите папку для сохранения, в backup options должны бить отмечены галочками строчки "System registry" и "Current user registry", "Other open user registries" нажмите "Ok" и подтвердите создание папки.
И скрипт AVZ для удаления драйвера UnHackMe
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Partizan', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\Partizan.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Partizan.sys');
DeleteService('Partizan');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После удаления advanced email extractor проверить и пофиксить в HJT строчки
O8 - Extra context menu item: Advanced Email Extractor - res://c:\program files\advanced email extractor\aeemsie.dll/page.html
O8 - Extra context menu item: Scan link with AEE - res://c:\program files\advanced email extractor\aeemsie.dll/link.html
O9 - Extra button: Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - res://c:\program files\advanced email extractor\aeemsie.dll/page.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Advanced Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - res://c:\program files\advanced email extractor\aeemsie.dll/page.html (file missing) (HKCU)

Спасибо вам огромное за помощь, Unhack удалил RegSupremomPro, до AME пока не дошло. Boot.exe пробил на virustotal.com, ничего не показало. Просканил всё Malwarebytes' Anti-Malware. Лог прилагаю. Опять же, кроме winrara все остальные проги из лога просто засторены и ни разу не запускались. Перехожу к сканированию SDFix.

Просканил SDFix. Скидываю репорт. От себя отмечу, что процесс входа в safe mode очень нездоровый, ибо если раньше (давно) входил сразу, сейчас чёрный экран длится более 5 минут, правда, потом всё же входит. + в эксплорере пропали иконки от дисков С и Е. осталось в отличие от дисков F и Z лишь изображения "неопознанных" файлов. Это нормально? Перехожу к ComboFix...

Ну вот, скан Combofixom закончен. Кстати, при запуске прога сказала что есть обновление и предложила обновиться, я вписался, вроде всё прокатило, пришлось только ещё раз хр шный файл продрагдропить. Скан приаттачиваю. из побочных -слетела картинка рабочего стола, попробую перегрузиться, думаю, должна реанимироваться. Вроде сканы теперь все. Что скажете? Из явных косяков - очень долгая загрузка в сейф мод. Заранее огромное спасибо за помощь!

P.S. Обнаружил на рабочем столе директорию с Касперским тулом, которым я перед всем этим сканил. 2Гига. Можно их просто дилитом грохануть или тоже как-нибудь хитро стирать надо?

С уважением,
tooler

Нет. ну это ж надо!!!!!!!!!!!! Только что, после двух суток скана антивирями и всем тем, что вы посоветовали, потыкал мышом по эксплореру, сначало возник попап алерт с кривозяброй в тексте, но шапка была "Remote server failed", после этого как и до всего этого - тормозняк, включаю хп эксплорер, здравствуй 3,14 - эксплорер.экзэ жрёт 50% проца :((((((((((((((((((((((
Хелп, плиз! Причём это при том количестве всего, что я из автозагруза и регистра снёс...
Насчёт ремоут сервера - мне его каспер как потенциально опасное по нарисовал, я его и снёс целиком (там директория вроде в progr files была то ли ремоут админ то ли ещё как, 4 файла помню вроде -лечить нельзя удалил... )

Скан приаттачиваю. из побочных - слетела картинка рабочего стола, »
Так и должно быть, SDFix д.б. возвратить раб. стол к стандартному, VistaDriveIcon удалили и перезагрузились до запуска SDFix? Удалите advanced email extractor, выполните скрипт из поста 4 и пофиксите строчки, можете также пофиксить строчку
O8 -: Отправить в 'Ссылки Интернета' - C:\WINDOWS\system\sendurl.htm
Обнаружил на рабочем столе директорию с Касперским тулом »
Запустить AVPTool, нажать на крестик - предложит деинсталлировать.
директория вроде в progr files была то ли ремоут админ то ли ещё как, 4 файла помню вроде -лечить нельзя удалил... ) »
Radmin удалять надо через установку/удаление программ
Проверьте C:\WINDOWS\inf\UpdateUSB.exe на virustotal.com
Откройте в блокноте C:\WINDOWS\winstart.bat, скопируйте содержимое в сообщение,
Скопируйте текст ниже к блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
File::
C:\WINDOWS\winstart.bat
C:\WINDOWS\system32\drivers\Partizan.sys
Folder::
c:\program files\advanced email extractor
Driver::
Partizan
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение

Не совпали сигнатуры некоторых системных файлов, выполните sfc /scannow или выполните восстановление Windows XP (http://support.microsoft.com/kb/315341/ru) - способ 2, потребуется установочный диск.
Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe), сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение или запакуйте эти файлы и прикрепите архив.

Добрый день!

Advanced email extractor удалил с помощью диспетчера задач RegSuprimom + оттуда же в реестре. потом пофиксил как сказали, остался ощмёток ярлыка на рабстоле, но в прогр файл больше нету. Каспера тоже слил, спасибо, а вот дальше проблема - Проверьте C:\WINDOWS\inf\UpdateUSB.exe на virustotal.com
Нет такой директории видимой вообще и плюс врубил поиск на этот файл - ничего. Подскажете, что с этим делать? Зар спасибо!

C:\WINDOWS\winstart.bat тоже, кстати не вижу

И, кстати, пока я тут совершал телодвижения. у меня если верить regsuprimu в 12.30 появилась запись в диспетчере прог - Автор Nvidia продукт global и в диспетчере автозагрузки появились вот эти ребята, которых я что-то не припоминаю: NvCplDaemon и NvMediaCenter Хотя не уверен, что их не было...

да, пока я тут шарился, если верить регсуприму, у меня в 12.30 появился автор Nvidia продукт Global , это нормально? и плюс 2 файла, которых я не помню. чтобы они были в автозагруке - NvCplDaemon и NvMediaCenter

простите за дубляж, думал первое сообщение не отправлено...

tooler, C:\WINDOWS\winstart.bat - скрытый можно увидеть в FAR, если CFScript.txt запускали, то этот файл должен был удалиться, можете также поискать через AVZ-сервис-поиск файлов
UpdateUSB.exe размер 32,768 вероятно легитимный от Asus. Выложите лог RSIT и новый лог Combofix

"Не совпали сигнатуры некоторых системных файлов, выполните sfc /scannow " простите, а как это сделать? пуск-выполнить .......-энтер? Восстановление с диска затруднено...

пуск-выполнить - sfc /scannow потребуется установочный диск или лучше установите SP3

вот новый лог от комбофикса, скачал РСИТ, сейчас запущу

Вот логи от RSIT

Что-то я вот этого стремаюсь "пуск-выполнить - sfc /scannow потребуется установочный диск или лучше установите SP3" Простите, а можно без этого? Установочный я найду быстро вряд ли. а SP3 как-то одни матюги на эту тему слышал, не хочется честно говоря этот пакет ставить....

не помню. чтобы они были в автозагруке - NvCplDaemon и NvMediaCenter »
были ещё в первом логе HJT, легитимные
C:\WINDOWS\PSEXESVC.EXE - небезопасный, по KAV д.б. not-a-virus RiskTool.Win32.Psexec, проверьте на virustotal, можете удалить вручную или перенести в др. место и на всякий случай выполнить (пуск - выполнить) sc stop PSEXESVC и sc delete PSEXESVC (может выдать ошибку, если такого сервиса не существует, ничего страшного)
В остальном логи чистые, если не считать файлов, у которых не совпали сигнатуры
C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\dllcache\user32.dll
C:\WINDOWS\system32\drivers\tcpip.sys
C:\WINDOWS\system32\ntkrnlpa.exe
C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
Вероятно у вас какая-то сборка windows и проблемы с explorer.exe связаны с этим фактом. SP3 - на ваше усмотрение.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt (http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe), запустите, нажмите Clean up

Спасибо вам огромное за помощь! Вот эта скотина - C:\WINDOWS\PSEXESVC.EXE выдала на вирустотале аж 5 из 32. Удалил вручную + через пуск как сказали, далее удалил Комбофикс. сейчас скачаю Отклин, но остались вопросы- винды да, сборные (зверь сиди). но год не было проблем никаких вообще и самое главное - почему в сэйф мод вход теперь длится более 5 минут это ж нездоровая как мне кажется история, или это нормально? Если вы считаете, что установка sp3 пусть даже гипотетически может что-то пофиксить, то пойду искать этот пакет.

Простите, ещё вопрос а что со всеми этими поюзаными прогами теперь делать Малваре РСИТ СДфикс и т.д.? А также АВЗ хайджэк и иже с ними? Оставить или удалить надо? И совсем глупый вопрос - как-то можно обратно вид иконок, дисков и т.д. вернуть или для этого нужно заново виста айконс инстолить? Заранее спасибо за ответ!

А, чего там, до кучи ещё вопрос - постоянно пользуюсь Flylinkom. Так и не разобрался, но имеет ли смысл при запуске Флайлинка запускать AVZguard? Чтобы уж никто ничто и никак, или он не даст качать? И по поводу NOD32 который у меня в резиденте - он что. совсем никакой? Что тогда посоветуете? Раньше был касперыч, ресурсов очень много жрал, маккафи был. тоже в итоге косяки какие-то пропускал. До этого случая НОД меня полностью устраивал, есть какой то выход из положения, понятно что 100% не даст никто. но варианты по опыту может есть?

Или хотя бы какой прогой пробивать софт перед запуском в дополнение к резидентному ноду?