Добрый вечер. У меня не знаходит на сайты Антивирусов, вирустотал и д.р.
При открытии AVZ, HijackThis и других таких же программ, через пол секунды они закрываются
ОС - XP Zver. Антивирус Касперский 2011
Проверил систему CureIt. Нашел 6 модификация, но удалить не смог т.к. зависла программа.
Единственный лог который могу предоставить - это лог CureIt
http://rghost.ru/3091181

Инфицированные фалы
C:\WINDOWS\system32\28a8f991.exe инфицирован Trojan.MulDrop.64715
C:\WINDOWS\system32\zhmipg.exe инфицирован Trojan.PWS.Ibank.223
C:\WINDOWS\system32\*[o©2WЂR инфицирован Trojan.PWS.Ibank.218
C:\WINDOWS\system32\*{#©¤{#© инфицирован Trojan.DownLoader1.33320
c:\windows\system32\28a8f991.exe инфицирован Trojan.MulDrop.64715
c:\windows\system32\zhmipg.exe инфицирован Trojan.PWS.Ibank.223

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

http://s014.radikal.ru/i327/1010/0f/a7334941e427.jpg

выключил все. вылезает данная ошибка

Уже сделал все что можно.. даже поместил файлы на карантин касперским.. все равно не могу запускать фалы и сайты

Пробовали переименовать и запустить?
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
Попробуйте еще раз запустить.

Если так и не удастся запустить ComboFix, скачайте полиморфный AVZ по ссылке (http://rghost.ru/2828129) и подготовьте логи!

Полиморфный AVZ не работал. Но после помещения упомянутых в 1 посте файлов на карантин, они оба заработали. Даю логи. После и до переименовании ComboFix не работает. Ошибка та же, что и на скрине

comixlol, сейчас посмотрю

Установите Internet Explorer 8 (http://www.microsoft.com/rus/windows/internet-explorer/) даже если не пользуетесь!

Ваше?
C:\Игры\NevoDRM\run.exe

*Скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)


AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\28a8f991.exe','');
QuarantineFile('C:\WINDOWS\system32\zhmipg.exe','');
QuarantineFile('C:\WINDOWS\system32\idtlgql.exe','');
QuarantineFile('C:\WINDOWS\system32\cewcaac.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys');
DeleteFile('C:\WINDOWS\system32\cewcaac.exe');
DeleteFile('C:\WINDOWS\system32\idtlgql.exe');
DeleteFile('C:\WINDOWS\system32\zhmipg.exe');
DeleteFile('C:\WINDOWS\system32\28a8f991.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Скачайте последнюю версию AVZ, обновите базы (Файл -- обновление баз) и подготовьте повторный лог!!!

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Установите Internet Explorer 8 даже если не пользуетесь! »
Сказано - Понято - Сделано

*Скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить". »

Сделано

После перезагрузки выполните такой скрипт
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить". »

Сделано

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме. »

Ответа на E-mail пока нету

Скачайте последнюю версию AVZ, обновите базы (Файл -- обновление баз) и подготовьте повторный лог!!! »

Сделано

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »

Сделано

Насчет
Зараженные файлы:
C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) в логе мбама
Это патчер для Multi Password Recovery. Лецензия
http://www.virustotal.com/file-scan/report.html?id=f499f8510a74fc787e75a628b165407f4e06c15fa68d7a6a9cbf2b05a6aa98be-1287778505

Ваше?
C:\Игры\NevoDRM\run.exe »

Это вроде шло с играми от Алавара. Папка на скан нужна?
Вот на сам файл
http://www.virustotal.com/file-scan/reanalysis.html?id=fd348d26fd238166e2785e91cd560e787a758a46b36618ddbb0675d0ac4c6942-1288475692

Вот сканирование папки с VirusTotal
http://www.virustotal.com/file-scan/report.html?id=a052f5d64261ebcd4763501c9ee666c22fb808e65562f4d088674535317ebf31-1288475868

Как Вы видите, после скриптов в AVZ начал работать сайт ВирусТотал и сайт Касперского

Проверьте на www.virustotal.com
C:\WINDOWS\system32\drivers\vdexodm4.sys
Дайте ссылку на результат проверки

Удалить в MBAM:
C:\RECYCLER\S-1-5-21-790525478-343818398-682003330-500\Dc31\License\iexplore.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.

Рекомендую удалить:
C:\Program Files\Multi Password Recovery\multi.password.recovery.1.x-2.x-patch.exe (Malware.Packer.Gen) -> No action taken.

Больше в логах ничего нет

Проблема решена?

http://www.virustotal.com/file-scan/reanalysis.html?id=db84482a1c97084814b8c113519ca362362ee2047af5b2fea7fad733ce44d4f6-1288478698
0/43

Да. Спасибо. Было очень приятно с Вами разговаривать. Теперь хоть интернет быстро грузит ;)
Помечаю тему [решено] http://forum.oszone.net/images/buttons/resolved.gif

Пожалуйста!Обращайтесь, если что.

Смените все важные пароли, так как этот троян специализируется на их краже!!!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript (https://addons.mozilla.org/ru/firefox/addon/722/)
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.

Смените все важные пароли, так как этот троян специализируется на их краже!!! »

Вот, что я хотел от Вас услышать.

ATF почистил и сейчас же установлю NoScript!