Win XP Home Edition SP3
Не знаю, стоит ли паниковать и должно ли так быть, но не работает запуск от имени для любых файлов какие бы ни запустила (2 пользователя с правами админа). Просит провести сопоставление в панели управления Свойства папки. Раньше были проблемы с autorun.inf, пропало меню "Сервис → Свойства обозревателя ".

C:\test\xyz.pif - полагаю АВЗ?

Каким антивирусом пользуетесь?В логах увидел avast, symantec и nod32

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\Warmumpapswm.sys','');
QuarantineFile('C:\WINDOWS\system32\FLOWER~1.SCR','');
QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
QuarantineFile('D:\9E1E~1\WEBSER~1\etc\utils\Boot.exe','');
QuarantineFile('msansspc.dll','');
QuarantineFile('C:\System Volume Information\_restore{1FF4507B-5385-43FD-ACB9-C324A9B5115D}\RP96\A0056707.msi','');
DeleteFile('C:\System Volume Information\_restore{1FF4507B-5385-43FD-ACB9-C324A9B5115D}\RP96\A0056707.msi');
DeleteFile('msansspc.dll');
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите логи

Лог ComboFix припрепите, вижу делали.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

C:\test\xyz.pif - полагаю АВЗ? »
Либо он, либо cureit (в C:\test также cureit_scan.rar (содержит cureit_scan.bat и gjhgehg.exe), cureit-fast.txt).

ComboFix сделала по инструкции http://virusinfo.info/showthread.php?t=58309 после скриптов.

Каким антивирусом пользуетесь?В логах увидел avast, symantec и nod32 »
Активный только NOD32. Раньше стоял Avast, потом вроде удалила, но процесс постоянно висит, зачистить до конца так и не сумела).

Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info
Сделано.

Malwarebytes' Anti-Malware нашел три инфицированных объекта, без указаний удалять не стала.

Логи сделала заново.



Запуск от имени работает) Уже хорошо) Правда Опера, например, выдает ошибку Неверно задано имя папки.

Сейчас просмотрю ваши логи и дам ответ.

Проверьте файл на www.virustotal.com и дайте ссылку на результат проверки

C:\WINDOWS\system32\drivers\Warmumpapswm.sys

Установите Internet Explorer 8 (http://www.microsoft.com/rus/windows/internet-explorer/)
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

В MBAM удалите

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.

Желательно удалить и эти файлы:
D:\ПАПА\ремонт стиральных машин\elektronnyie_moduli_stiralnyih_mashin-67660840.exe (Trojan.Dropper) -> No action taken.
D:\Проги\QIP Infium\Profiles\m12d\RcvdFiles\Ди _3_632538712\Windows 7\ReadMe!\3.eXe (Hacktool.ChewWGA) -> No action taken.

C:\WINDOWS\system32\drivers\Warmumpapswm.sys »
Не могу найти засранца(

Поищите файл через AVZ

5.2. Если вас попросили добавить файлы в карантин при помощи AVZ, в меню AVZ - Сервис – Поиск файлов на диске, найдите те файлы, которые вас попросили, поставьте галочку напротив найденных файлов, нажмите "Копировать отмеченные файлы в карантин". И дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен" Внимание, файлы, прошедшие проверку по базе безопасных, в карантин не добавляются!
Закройте текущее окно, выберите из меню "Файл" - >"Просмотр карантина". Справа в списке файлов отметьте те файлы которые хотите выслать. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

Fedin, нету.. Даже в списке всех файлов папки нету..

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('Warmumpapswm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Warmumpapswm.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.
Прикрепите файл c:\quarantine.zip к письму, в прошлый раз вы дали ссылку на скачивание через Файлы@mail.ru

Fedin, отправила, а как быстро придет ответ? И на почту ли он придет?

Fedin, отправила, а как быстро придет ответ? И на почту ли он придет? »
Точно сказать не могу.
Раз такое дело, отправьте карантин (c:\quarantine.zip) мне на почту strontium9000@rambler.ru, так быстрее получится.

Обязательно нужно деинсталлировать avast, от Симантек тоже следы остались.

Проблемы еще есть?

Да) Скажите, как удалить аваст и симантек?)
Нашла вот здесь http://support.kaspersky.ru/faq/?qid=208636499 о том, как удалить аваст. Скачала утилиту aswclear5.exe. И тут попала в тупик. Не могу выйти в выбор безопасного режима. Жму F8, черный экран чуть дольше обычного, и попадаю в обычный режим. Это опасно?) Или я просто всегда жму не вовремя?
И в инструкции сказано, что при деинсталляции нужно указать папку, куда установлен аваст. Только там, куда его ставила, его давно нет.

Раз такое дело, отправьте карантин (c:\quarantine.zip) мне на почту strontium9000@rambler.ru, так быстрее получится. »
Сделано)

А через Установка/удаление программ не удаляется?

Жму F8, черный экран чуть дольше обычного, и попадаю в обычный режим. Это опасно?) Или я просто всегда жму не вовремя? »
Пуск -- выполнить -- ввести msconfig -- вкладка BOOT.INI -- поставьте галочку \SAFEBOOT и компьютер загрузится в безопасном режиме.
Убираете галочку - компьютер загрузится в нормальном режиме.

И в инструкции сказано, что при деинсталляции нужно указать папку, куда установлен аваст. Только там, куда его ставила, его давно нет. »
По логу, он у вас находится в c:\program files\alwil software\avast5

Для полного удаления Symantec воспользуйтесь утилитой Norton Removal Tool (ftp://ftp.symantec.com/public/english_us_canada/removal_tools/Norton_Removal_Tool.exe)

Что касается Warmumpapswm.sys, то его точно уже нет на диске, остались только следы от него.К тому же сильно сомневаюсь в его зловредности.
В остальном замечаний нет.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Еще проблемы имеются?

Смените все важные пароли!!!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript (https://addons.mozilla.org/ru/firefox/addon/722/)
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit (http://www.freedrweb.com/cureit/)

Выбрала очистку диска, там есть только ОК и Выход. Нажала ок и пожалела, быстренько отменила. Остальное вроде сделала. Спасибо)

Вроде вопросов пока больше нет.

Нажала ок и пожалела, быстренько отменила. »
Почему? Нажмите Ok, через некоторое время (10-15 секунд) откроется окно, на вкладке Дополнительно - Восстановление системы нажмите Очистить.

А мне показалось, он сейчас мне весь диск зачистит, что не восстановишь) Все, спасибо)