Здравствуйте!

Прошу помощи в исцелении от заразы :)

Сначала Symantec Corp обнаружил Antivirus2008 и закарантинил. После чего начались проблемы при запуске IE7 - он начал выводить страницу с надписью "Insecure internet activity. Threat of virus attack". Это происходит при подключенном интернете (без него - обычный page can not be displayed).

Скан CureIt вроде добил Antivirus2008, но проблема не исчезла. Логи HJT прикрепляю. Логи AVZ создать не могу - выводится системное сообщение "program has stopped working" все время на одной и той же папке, даже если снимаю ее флажок в области поиска (скриншот прикреплен). Текст ошибки

Problem signature:
Problem Event Name: APPCRASH
Application Name: avz.exe
Application Version: 4.28.0.66
Application Timestamp: 2a425e19
Fault Module Name: StackHash_4596
Fault Module Version: 0.0.0.0
Fault Module Timestamp: 00000000
Exception Code: c0000005
Exception Offset: 73616c63
OS Version: 6.0.6001.2.1.0.256.1
Locale ID: 1033
Additional Information 1: 4596
Additional Information 2: dc9e67f6af358ef402e85476512bd88a
Additional Information 3: 319f
Additional Information 4: 9415107f7188cb0a1d8c61ff31154211
В безопасном режиме она просто закрывается.

Надеюсь на вашу помощь!
Спасибо за внимание к моей проблеме.

alk3, Здравствуйте!

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix)

Если после этого нормальная версия AVZ не запустится, скачайте эту версию AVZ (http://ifolder.ru/6522063) попробуйте сделать логи.

Pili, а Combofix с Vista работает? Просто все эти инструкции по поводу консоли восстановления мимо цели - ее же нет в Vista. В инструкции там одно упоминание Windows Vista users can use their Windows DVD to boot up into the Vista Recovery Environment.Но оно к самой инструкции отношения не имеет, как я понимаю. Ведь Combofix запускается в рабочей среде Windows.

И поменяйте Symantec на другой антивирус.
P.S. Касперский уже знает этот вирус, вернее, большей частью, его последствия (троянские программы).

Просмотрите весь раздел "Лечение систем от вредоносных программ" - Antivirus2008-- не раз уже обсуждался , обсуждались также и борьба с ним, удаление, и зачистка в ручную.

Vadikan, да, Combofix с Vista работает - недавно была тема [решено] Как разблокировть доступ к антивирусным сайтам... (http://forum.oszone.net/thread-121171.html)
А так - у меня шаблон (по логу HJT сразу и не заметил, что ОС Vista), пользователи Vista могут (ссылка в инструкции how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) есть) воспользоваться инструкциями Vista Recovery Environment (http://www.bleepingcomputer.com/tutorials/tutorial147.html) и How to automatically repair Windows Vista using Startup Repair (http://www.bleepingcomputer.com/tutorials/tutorial148.html) и ещё есть тут (http://support.microsoft.com/kb/925810), инструкции к сожалению на англ.яз., но вообще установку консоли можно пропустить, консоль восстановления нужна, если после работы ComboFix система не будет загружаться, таких случаев ещё не замечал, на geekstogo.com по крайней мере, если они есть, то крайне редкие. В общем отредактировал пост - убрал по этой теме установку консоли восстановления :)

iskander-k, не все так богаты, чтобы переходить так просто от одного антивируса к другому, кроме того проверка с помощью AVPTool рекомендуется в правилах.

Pili, понятно, спасибо за разъяснения. консоль восстановления нужна, если после работы ComboFix система не будет загружаться »
Если в наличии есть установочный диск Vista, это не должно быть проблемой - там есть функции восстановления загрузки.

И поменяйте Symantec на другой антивирус.
P.S. Касперский уже знает этот вирус, »
Ну так Symantec тоже узнал - см. первый пост. Проблемы все равно остались, так что, возможно, Antivirus2008 - не единственный зловред на компьютере.

Проблемы все равно остались, так что, возможно, Antivirus2008 - не единственный зловред на компьютере. »
Совершенно верно и + куча троянцев в System32, Antivirus2008 тащит.

Если в наличии есть установочный диск Vista, это не должно быть проблемой - там есть функции восстановления загрузки.»
Не тестировал, но читал:) В System Recovery Options Vista много чего есть, на всякий случай там есть ещё стандартная коммандная строка How to use the Command Prompt in the Vista Windows Recovery Environment (http://www.bleepingcomputer.com/tutorials/tutorial147.html)
О консоли восстановления я говорил в общем случае, пользователей с ОС Vista, обращающихся в этот раздел, пока не много (косвенно может говорить о том что Vista более безопасна при установке по умолчанию, но м.б. просто пользователей меньше или... зловредов) :)
Сами строчки со зловредами (напр. wfexqnrp.dll - точно знаю, что MBAM знает его) уже видны по логу HJT, можно и пофиксить, но надо удалить сами файлы, почистить реестр, плюс логи combofix и AVZ позволят ещё что-нибудь увидеть, кроме того что на поверхности... В общем логи ждемс... :)

Pili,

Спасибо за быстрый ответ. Логи которые вы просили прикреплены к этому сообщению.

Вот логи от Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.30
Database version: 1340
Windows 6.0.6001 Service Pack 1

10/30/2008 10:56:52 AM
mbam-log-2008-10-30 (10-56-52).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 208373
Time elapsed: 1 hour(s), 11 minute(s), 4 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 14
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 15

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\pnphon.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2f253ad-1f23-4d87-a64b-d6987f38d981} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{10026069-7a5f-4531-811e-c8df20643bee} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5e58dfe1-d27c-4cf0-bfef-539a63c0bece} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{db3db4d7-b8f4-4097-80a6-a2e93d08c92d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\poals (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ed5288-f558-4f6e-8d5c-740cb6f89029} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TotalSecure2009 (Rogue.TotalSecure) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.bfba (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.bten (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\wvfsrqab.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wfexqnrp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wvbegpqs (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Windows\System32\sysbase32.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\wfexqnrp.dll (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00001.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00002.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00003.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00004.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00005.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00006.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00007.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00008.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00009.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00010.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\Users\Aleks\Desktop\avz4\avz4\Quarantine\2008-10-30\avz00011.dta (Trojan.Zlob) -> Quarantined and deleted successfully.
D:\Downloads\Minitab\MINITAB 15.1 Keygen by CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\k.txt (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Спасибо за внимание к моей проблеме.

Проверьте на virustotal.com файлы
C:\Windows\System32\netapi32(30).dll
C:\Program Files\Dude\dude.exe
результат выложите в следующее сообщение.
Очистите временные файлы с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или через Пуск-Программы-Стандартные-Служебные-Очистка диска
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
File::
C:\wvbegpqs.dll
C:\Windows\System32\Setup_ver1.1674.0.exe
C:\Users\Aleks\AppData\Local\Temp\ac8zt2\wvfsrqab.dll
C:\Users\Aleks\AppData\Local\Temp\ac8zt2\wvfsrqab.dll
Folder::
C:\Program Files\TS-2009\

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в следующее сообщение

Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe), сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

Pili,

Спасибо за помошь
Проверьте на virustotal.com файлы
Цитата:
C:\Windows\System32\netapi32(30).dll
C:\Program Files\Dude\dude.exe »
http://www.virustotal.com/analisis/acd647ff8c6b80eb298a967a7a52358a
http://www.virustotal.com/analisis/2b1a3c88c769b7c4230a63a6d5c8a4d2


Логи прикреплены к этому сообщению.

Спасибо за внимание к моей проблеме.

alk3,На virustotal проверили netapi32.dll, он естественно чист, а файл C:\Windows\System32\netapi32(30).dll не нашли?
По логам combofix он есть.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O20 - AppInit_DLLs: iwwdcv.dll
Удалите LimeWire - C:\PROGRA~1\LimeWire\ - см. здесь (http://www.spywaredb.com/remove-limewire/)

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Если netapi32(30).dll окажется чистым, то в логах больше зловредов не видно.
В AVZ выполните скрипт
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

И повторите логи virusinfo_syscheck.zip и hijackthis для контроля

Pili,
а файл C:\Windows\System32\netapi32(30).dll не нашли? »
http://www.virustotal.com/analisis/057dea8bb169ebb951d7b56dbf476de7



Спасибо

alk3, логи чистые. Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt (http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe), запустите, нажмите Clean up
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов.
Как себя чувствует компьютер?

Pili,

Как себя чувствует компьютер? »


компьютер чуствует себя лучьше. Спасибо вам за помощь

Рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info) и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге.
Чистого вам интернета!