>Сделай лог и покажи здесь.

http://ifolder.ru/3556698

Сейчас в логе трудно разобраться, ничего подозрительного не видно, но он не полный. По какой-то причине Hijack не смог сделать полный лог.
Поэтому:
Скачай AVZ http://z-oleg.com/avz4.zip
Распакуй и обнови базы.
Перейди меню Файл--Восстановление системы.
Выполни пункты 2, 3, 6, 7, 9, 12, 13 и 16.
Сделай Файл--Исследование системы, запакуй и присылай.
Сделай новый лог Hijack.
Только выкладывай по возможности на zalil.ru

таки выбил заразу..

твоей прогой не удалось работать, но касперски ее заломал

deleted: virus Packed.Win32.PolyCrypt.b
File: c:\windows\system32\kdpkk.exe//PE_Patch.Poly//PE_Patch.Poly
(если это была она...)

зараза ппц

Спасибо за помощь!

При попытке запустить HiJackThis_v2 что-то убивает процес вместе с эксплорером.
Еще интересней что то-же происходит не только при запуске, но даже если навести курсор на HiJackThis_v2.exe, а если написать в (скажем) IE (гугл) HiJackThis то IE закроется вместе с эксплорером.
То же происходит в безопасном режиме...

Пытался лечить NOD'ом и Др.веб'ом ( cureIt в том числе) ( и в безопасном режиме тоже ) + всякие анти спайвейр, стингеры, антитрояны итд.
Стоит Ad-Aware (free), не помню, правда, какая версия но не 2007.

Все это нашло несколько троянов/вирусов и вроде как вылечило...

Но собственно неизвестный сабж остался.

Правда я не делал онлайн проверку, так что, если можно, посоветуйте где ее лучше сделать (тему по этому поводу читал, но ресурсов слишком много. Что-то из собственного опыта подскажите)
Если кто-то сталкивался, подскажите что это может быть и как/чем его лечить.


З.Ы. Если на комп скопировать по сети офисный документ, то открыть его нельзя так как меняется расширение и форматировка (типа xls -> xlsx ). Может эта инфа поможет.
З.З.Ы. Стоит winAgent, но в процесах ничего подозрительного не видно.

Это все в сети из 8 компов в офисе которую нужно настроить ( туда никто не лазил более полугода : = ), как она еще работает незнаю).
Повсюду стоит Win XP SP2 и установленый мною нод32 ( ранъше стоял AVG которого я еще не встречал ).
Имеется апаратный роутер LinkSys wrt54g v.5.1 и два свича на два кабинета (не помню какие именно ).

Правда я не делал онлайн проверку, так что, если можно, посоветуйте где ее лучше сделать (тему по этому поводу читал, но ресурсов слишком много. Что-то из собственного опыта подскажите) »
Судя по всему у тебя кто-то из руткитов сидит, а онлайн проверка ИМХО прктически против них безсильна (если они не совсем топорные и стандартные).

Попробуй воспользоваться AVZ и его стандартным скриптом сброса перехватов.
Ну и конечно остается оптимальный вариант - проверка компа антивирусом со свежими базами со стороннего насителя, например с LiveCD...

Nihal
Если получится, то выполни в AVZ
Файл -- Исследование системы.
Запакуй отчет и выкладывай сюда.
Попробуем разобраться.

Ок. Завтра пойду туда снова.

Вот собственно логи 1-ый до прикрепляю карантин.

После проверки с помощью авз попытался проверить др. вебом. Веб зависает в процесе проверки. Пытался удалять проблемные папки и файлы но терпения не хватило... Убил на эту "проверку" где-то часа 3.
Веб нашел что-то, нашел и удалил.

Потом я снес др.веб и поставил нод, обновил... Проверка нодом два раза сама закрылась процентах эдак на 30... ( ничего найдено не было )

Потом слетели все спецификации файлов, контекстные менюшки, настройки вида папок ( может еще что-то, не успел посмотреть ).
Спецификации восстановил из под безопасного режима...
А вот настройки папок не удается востановить, тоесть удается но только на пару сек. Потом "кто-то" их меняет обратно ( например запрет на показ скритых папок ). Изменение значений руками в регедите ничего не дает, так же как и запуск .рег файлов которые меняют эти значения.

Посмотрите логи и подскажите что делать.

Буду благодарен за инфу, которая научит анализировать лог авз самостоятельно.

З.Ы. хайджек так и не запускается ( переименование не помогло ).
З.З.Ы. Занят создание LiveCD, так как не знаю получится ли почистить этот комп из под него самого.

Nihal, если редактор реестра не блокируется, попробуй повыключать всё лишнее с автозагрузки. Правда, много нужного там не будет, но всё же...

Отключи все антивирусы.
Открой AVZ -- Файл -- Выполнить скрипт. Вставь скрипт и нажми "запустить".

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('RemoteRegistry', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('C:\WINDOWS\service32.exe');
BC_DeleteFile('\\');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки зайди Файл-восстановление системы и выполни пункт 12.
После попытайся выполнить лог hijackthis. Если получился, то выкладывай.
Скачай ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe , запиши на болванку и выполни проверку в безопасном режиме с болванки.

Люди скажите мне пожалуйста если у меня запущены процессы Iexplore.exe u Isass.exe - то я обязательно буду инфицирован или ето не означает что если ети процессы есть у меня то я инфицирован!?Заранее спасибо!

Если Iexplore.exe есть в процессах, а IE не запущен, то ты скорее всего заражен.
Isass.exe не правильно написал -- lsass.exe.
Без него система не работает. Лежит в папке system32.

У меня он запущен даже когда браузер выключен!но не оутпост,ни нод32 его не видят!!!использовал авз!!!!всеравно он у меня в процессах!не подскажите что мне делать??

Скачай ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe , запиши на болванку и запусти в безопасном режиме.
Просканируй системный диск.

В AVZ зайди Файл-Исследование системы. Сделай логи, запакуй и выкладывай здесь.
Скачай http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis_v2.exe
сделай лог и показывай здесь.

Создал LiveCD, проверил из под него куреитом. Нашло 3 вируса, которые были успешно удалены. (проверил по файлам).

Дальше выполнил скрипт АВЗ. Не знаю сделал ли он что-то, перезагрузка прошла очень быстро.
После ребута выполнил пункт12.

И ничего не помогло : )

Потом в безопасном режиме с помощью авз нашел список активных служб и драйверов.
Службы стандартные, ничего лишнего нету.
В дровах нашел что-то совсем мне незнакомое, что добросовестно и удалил : )
Винда упала.

Вот поставил по новой ( диск не форматировал, просто удалил старую папку ).
Загрузилось нормально.
Поставил КИС7..125. Щас проверяю комп.
Повключал все возможные анализы, прозащиту, эвристику, всё на максимуме.
Если что-то найдет, то выложу сюда что именно.

Симптомы:
Никак не удавалось запустить HIJackThis.
RKUnhooper не мог просканировать диск. ( да и ничего подозрительного не находил).
Невозможно работать с СДромом из под любого юзера. (ошибки чтения, хотя диски вполне рабочие).
Нельзя убить процес диспетчером. Не показываются иконки в трее, хотя приложения загружались.
Проверку нодом что-то убивало.
Ну и косметические мелочи, типа настроек системи ( скрытые файлы/папки, менюшки, выд файлов/папок итд.).
А да еще, приложения запускались только некоторое время. Потом слетала спецификация ехе bat файлов.
Интересно что-же все таки это было ? = )

Kis нашел какой-то Trojan.Win32.Autoit... и BHO который нот_вирус.

СДром сдох. Не определяется в биосе.
Какой-то вирус мог его спалить?

Просто до загрузки винды ром работал нормально. Тоесть с него ставилась система и с него стартовал LiveCD. А вот под виндой уже начинались ошибки. Теперь вообще не определяется ( хотя возможно проблема в чем-то другом так как шлейфы/маму я еще не проверял ).

В дровах нашел что-то совсем мне незнакомое, что добросовестно и удалил : )
Винда упала. »
Странно было бы, если бы она забегала :) после такого "излечения".

СДром сдох. Не определяется в биосе.
Какой-то вирус мог его спалить? »
Не мог.

Подхватил вот такую заразу тоже,называется win32.trojan PWS.Ld Pinch,ворует пароли. Удаляю его с Ad_ Aware, после нового старта он снова тут. Каспер его не видит... Сделал откат с Акронисом,думал уйдет,да не тут то было... Что же делать с ним? Формат не желательно...

Kuschmir, C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\ie.cmd
C:\WINDOWS\system32\msnws.exe
c:\windows\svchost.exe (размер 23396 байт) - LdPinch собственной персоной Может и отличаться размером.
Удаляй их.
Прицепи сюда лог HijackThis (http://www.spychecker.com/program/hijackthis.html)
AVZ (http://z-oleg.com/avz4.zip) тебе в руки Назначение программы и решаемые ей задачи (http://www.z-oleg.com/secur/avz/)
Обязательно почитай документацию по AVZ.
Ещё очень полезно прочитать ЭТО (http://virusinfo.info/showthread.php?t=1235)

Kuschmir, C:\Documents and Settings\user\Главное меню\Программы\Автозагрузка\ie.cmd
C:\WINDOWS\system32\msnws.exe
c:\windows\svchost.exe (размер 23396 байт) - LdPinch собственной персоной Может и отличаться размером. »
Извеняюсь за долгое молчание,командировки,блин... Я в начале забыл указать,что Виндовс то у меня по немецки,потому и такого ,как вы написали нет,даже методом тыка не нашел...