День добрый! Помогите пролечиться. DrWeb CureLt вырубается, а установить Каспера не удается, т.к. сбрасывает подключение ко всем антивирусным сайтам. Протоколы прилагаю. Спасибо. И.

Сорри.

Сорри, плиз. ;)

Добрый день.
смортрю

Уже сделала протокол через ComboFix, просил дважды перезагрузку, протокол прилагаю.

ESET Smart Security деинсталлировать

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\pngiqceo.dll

Driver::
nvnygzfv

NetSvc::
nvnygzfv

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6237:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nvnygzfv]

FileLook::
c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=8&act=down). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты (http://virusnet.info/forum/showthread.php?t=10608)

1)Обязательно установите все 3 патча от MS:
MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx)
MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx)
MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)

+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)
Отключите автозапуск программ с различных носителей, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx), даже если им не пользуетесь

Спасибо. Рабочий день закончился. Завтра отпишу о результатах. И.

День добрый!
п.1 Не нашла ESET Smart Security. Искала черех Панель управления, установка и удаление программ. Но ранее удаление этой проги делала, еще до установки Каспера.
п.1 Скрипт выполнила. Протоколы (их два - первый - не сразу был отключен Каспер, поэтому повторила второй раз). Оба раза зависал при попытке перезагрузки. Сообщение дает и висит...
п.3 выполнила.
п.4 патчей от MS для моей ОС с установленным SP3 по данным сслылкам не нашла.
п.5. п.6 выполнила.
п.7 закончилось с ошибкой, но шибко не упиралась, т.к. комп пока не подключен к инету.
Касперский установился и обновился на сей момент.
Спасибо за быстрое реагирование. И.

При попытке выполнить п.7 "Обновите Internet Explorer до IE8 , даже если им не пользуетесь" появляется сообщение об ошибке:
"Программе установки не удалось проверить целостность файла update.inf. Убедитесь,что на данном компьютере установлена служд\ба шифрования."
Какие мои действия, что это сообщение значит?

http://virusnet.info/forum/showthread.php?t=58 тема для чистки компа после удаления антивирусного ПО.
Внимательно прочитайте.
c:\windows\regedit.exe проверить на http://www.virustotal.com ссылку на проверку, пожалуйста, приведите в своем следующем посте

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение

если не получится сделать такой лог, тогда проверяемся kk.exe (http://support.kaspersky.ru/wks6mp3/error?qid=208636215)

C gmer-ом мой косяк, отправила вам архив, который до этого скачала, чтоб получить утилиту. Исправлюсь.

п.1 выполнила
п.2 вот ссылка (если правильно поняла вас) http://www.virustotal.com/file-scan/report.html?id=2b85725e8c4e6720c301624158a8a3546cc383b2f9985259ac982dcb4e577d10-1296816246
п.3 (утилита gmer) еще работает

При попытке выполнить п.7 "Обновите Internet Explorer до IE8 , даже если им не пользуетесь" появляется сообщение об ошибке:
"Программе установки не удалось проверить целостность файла update.inf. Убедитесь,что на данном компьютере установлена служд\ба шифрования."
Какие мои действия, что это сообщение значит? »
Попробуйте пуск - выполнить - services.msc
Службы CryptSvc и Удаленный вызов процедур (RPC) должны быть запущены и работать в режиме авто
повторить обновление браузера

Прилагаю последний протокол утилиты gmer. Два файла, один протокол, который сделала утром и потеряла и второй, вечерний, с вашими утоснениями где и какие галочки надо поставить. И.

Попробуйте пуск - выполнить - services.msc
Службы CryptSvc и Удаленный вызов процедур (RPC) должны быть запущены и работать в режиме авто
Служба CryptSvc - не запускается, Говорит "Ошибка 1053: Служба не ответила на запрос своевременно",
а Удаленный вызов процедур (RPC) - "Состояние - работает". И.

пуск - выполнить - cmd - ввести в комендную строку Tasklist /SVC > c:\Tasklist.txt нажать enter
c:\Tasklist.txt из корня диска С прикрепите к сообщению

пуск-выполнить-regedit
найти ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
значение ключа "netsvcs"

и ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs
напишите ключи и значения

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

День добрый! Спасибо за ответы.
Продолжаю выполнять ваши советы и прилагаю протоколы.
п.1 - файл Tasklist.zip с сообщением "Служба не ответила на запрос своевременно.
п.2 - файлы doc1 и doc2. Прилаганы скрины экранов, т.к. боюсь, что могу не все понять так, как надо, а по изображению вам будет понятно, правильно ли я все сделала.
п.3, п.4 - выполнила.
п.5 - файл mbam-log-2011-02-05 (10-43-46).
И еще дополню, что после всех манипуляций, тестов и запусков утилит, которые вы советовали, появились дополнительные проблемы:
1. Ноут грузится очень долго 4-5 минут.
2. Пропали "Сетевые подключения" вообще. Думала проблема с дровами, переустаннавливала с сайта Asus-а самые последние версии. Прилагаю файл со скрином, где видно, что проблем в "Диспетчере устройств" нет. Но и сети тоже нет.
3. Через диспетчера задач видно, что даже если ноут не трогаешь и ничего не запущено, то процессор что-то грузит всплесками через 20-30 секунд до 50%, привожу тоже скрин с этой проблемой.
Помогите! Т.к. хозяйка компа визжит, что отдавала рабочий ноут, только завирусованный, а теперь полные тормоза по работе, плюс Инет не работает.
У меня слов не хватает, т.к. мы с ней на разных языках разговариваем, она меня не слышит.
Спасибо. Буду ждать ваших рекомендаций с надеждой победить.

Не поняла, куда делись остальные протоколы, поэтому дублирую.

Пропали "Сетевые подключения" вообще. »
пуск - выполнить - cmd - ввести в командную строку по очереди
netsh winsock reset
netsh int ip reset
выполняем, перегружаемся

Далее, выполняем твик реестра: скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\
61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\
00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\
65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\
00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\
73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\
00,00,00

[-HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

[HKCR\ Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword: 0x00000001"
"SuperHidden" = "dword: 0x00000001"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "dword: 0x00000001"

перезагрузка
Сообщите о результатах

Продолжаю.
по п.1 -выполнила - netsh winsock reset - скрин с результатами в одноименном файле. Перезагрузила компьютер.
- выполнила - netsh int ip reset - скрин с результатами в одноименном файле. Перезагрузила компьютер.
п.2 - выполнила твик реестра. Перезагрузила компьютер.
Результаты:
1. Панель управления -> Сетевые подключения - скрин с результатами в одноименном файле.
2. Перезагрузка такая же долгая.
3. Диспетчер задач работает по такой же схеме, периодические всплески каких-то работающих процессов, кажется svchost.exe (SYSTEM) - в инете читала, что в эти процессы хорошо прописывается вирусня.
4. При попытке отключить "Восстановление системы" выдается сообщение о необходимости перзагрузки, скрин приводится в одноименном файле, перезагрузка результатов не дает.
5. Пыталась смотреть в журналы. Есть такое "Предупреждение". Мне это тоже ни о чем не говорит, может вам поможет для диагностики. скрин с результатами в одноименном файле.

Что дальше делать не знаю, жду ваших рекомендаций.

Еще где-то в инете встречала твик для редактирования реестра, который восстанавливает порядок запуска служб. Может его еще использовать. Я им пользовалась, когда у меня USB-устройства в "Проводнике windows" не отражались. Тогда помогло.
Уточняю:
1. Панель управления -> Сетевые подключения - скрин с результатами в одноименном файле. - И никаких "подключений по локальной сети" не отражается.
Спасибо. Жду ваших рекомендаций.