ОС - Виста. Подхватила вирус - порно в браузере. Кое-как вылечилась. Проверялась и лечилась этими прогами: http://freedrweb.ru и http://z-oleg.com. Порно больше нет, но система несмотря на это продолжает выдавать: "несанкционированное изменение windows". А еще также в основном при играх появляется окно: "вы стали жертвой подделки программного обеспечения". Трижды пыталась восстановить систему через созданные точки. Но пишет: непредвиденная ошибка. То есть система восстановления сломалась. Что-нибудь посоветуйте.

lokk555, Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html#post717373) инструкциями.
"вы стали жертвой подделки программного обеспечения". »

ОС- Виста у вас лицензионная ?

Виста думаю лицензионная, - была на покупном компьютере. Сделала все логи, выкладываю.

Выполните скрипт в AVZ

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\System32\Drivers\SPTDDRV1.SYS','');
QuarantineFile('C:\Users\123\AppData\Local\Temp\init.exe','');
QuarantineFile('c:\users\123\appdata\local\temp\init.exe','');
QuarantineFile('C:\Windows\system32\mssrv32.exe','');
QuarantineFile('C:\Windows\system32\svshost.dll','');
QuarantineFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys','');
QuarantineFile('C:\Windows\system32\sdra64.exe','');
QuarantineFile('c:\windows\system32\twext.exe','');
QuarantineFile('c:\windows\system32\twex.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DeleteFile('c:\windows\system32\twex.exe');
DeleteFile('c:\windows\system32\twext.exe');
DeleteFile('C:\Windows\system32\sdra64.exe');
DeleteFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys');
DeleteFile('C:\Windows\system32\svshost.dll');
DeleteFile('C:\Windows\system32\mssrv32.exe');
DeleteFile('c:\users\123\appdata\local\temp\init.exe');
DeleteFile('C:\Users\123\AppData\Local\Temp\init.exe');
DeleteFile('C:\Windows\System32\Drivers\SPTDDRV1.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


quarantine.zip - отправьте на newvirus@kaspersky.com

Пофиксите в HiJackThis

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system 32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe,

Отправила. Извините, но я не знаю, что значит пофиксить. Если не трудно, в программе что нажать нужно, а то там все не по-русски.

1. Запустить HiJackThis.
2. Нажать кнопку Do system scan only
3. После сканирования поставить галочку напротив вашего пункта
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system 32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe,
4. Нажать кнопку FixChecked

И еще забыл предупредить Вас в предыдущем послании, что логи после лечения нужно повторить и выложить снова в этой же теме. И если придет ответ от newvirus, можете его сообщить здесь

Там нет такого пункта: F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system 32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe

Не понятно, когда опять выкладывать логи, в чем заключается лечение - "пофиксить" - в этом?

"Пофиксить" значит удалить записи (но не вручную) в реестре, файлах win.ini, system.ini

Выкладывайте новые логи. Будем смотреть

'C:\Windows\System32\Drivers\SPTDDRV1.SYS' - это Даемон.

И что мне с этим даемоном делать? выкладываю новые логи.

ЛОги

Как это ни странно все звери остались на своих местах.
Добавлено по наводке iskander-k из-за моей забывчивости - Отключите восстановление системы

Попробуем так

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys','');
TerminateProcessByName('c:\windows\system32\twext.exe');
TerminateProcessByName('c:\windows\system32\twex.exe');
TerminateProcessByName('c:\windows\system32\sdra64.exe');
TerminateProcessByName('c:\users\123\appdata\local\temp\init.exe');
QuarantineFile('C:\Windows\system32\mssrv32.exe','');
QuarantineFile('C:\Windows\system32\svshost.dll','');
QuarantineFile('C:\Users\123\AppData\Local\Temp\init.exe','');
QuarantineFile('c:\windows\system32\twext.exe','');
QuarantineFile('c:\windows\system32\twex.exe','');
QuarantineFile('c:\windows\system32\sdra64.exe','');
QuarantineFile('c:\users\123\appdata\local\temp\init.exe','');
DeleteFile('c:\users\123\appdata\local\temp\init.exe');
DeleteFile('c:\windows\system32\sdra64.exe');
DeleteFile('c:\windows\system32\twex.exe');
DeleteFile('c:\windows\system32\twext.exe');
DeleteFile('C:\Users\123\AppData\Local\Temp\init.exe');
DeleteFile('C:\Windows\system32\svshost.dll');
DeleteFile('C:\Windows\system32\mssrv32.exe');
DeleteService('gAGP440p');
DeleteFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксите в HiJack

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system 32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe,


Логи повторите

Как это ни странно все звери остались на своих местах. »
thyrannosaurus, А система восстановления отключена у lokk555, ?
И необходимо провериться утилитой CureIt (согласно рекомендациям)

iskander-k, спасибо за напоминание. Хотел же об этом написать. Сейчас добавлю

Вышеприведенный скрипт выполнила, потом пофиксила, но там опять нет такой строчки F2 - REG: ......... Запустила утилиту Malwarebytes' Anti-Malware - нашлось 3 вируса. (восстановление системы отключено). CureIt запускала ранее, 4 дня назад - много чего нашлось. Сегодня обновила и запустила опять. Выкладываю новые логи.

lokk555, интернет помощник Mycentria деинсталлируйте.
Запустите AVZ, в меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), нажмите кнопку «Запустить».
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

При удалении Mycentria выскочило: возможно приложение уже удалено.
Новые логи.

lokk555, по логам ничего плохого.
Рекомендую удалить Bonjour Service см. здесь (http://virusinfo.info/showthread.php?t=27923) или здесь (http://forum.oszone.net/post-659376.html)
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов.
Проблемы ещё наблюдаются?

Похоже, что уже нет проблем. Всем спасибо!

lokk555, пожалуйста.
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268)
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Рекомендую отключить неиспользуемые службы и настроить безопасность. Если что-то из вышеперечисленного захотите отключить, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights (http://download.microsoft.com/download/f/2/e/f2e49491-efde-4bca-9057-adc89c476ed4/DropMyRights.msi) см. здесь (http://saule.sporaw.ru/library/droprights.html) и здесь (http://virusinfo.info/showthread.php?t=2852) или SanboxIE (http://www.sandboxie.com), пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем (http://forum.oszone.net/forum-20.html)

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/),
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ (http://www.z-oleg.com/secur/news/news1347.php)