Подцепил заразу, всё просканил, логи есть, хелп плиз!
 

Друзья, надежда только на вас! Подцепил заразу лютую - стал тормозить комп, постоянно стало 50% процессора занято explorer.exe. В резиденте стоит nod32. Он ничего не сканил, короче скачал cureit - о ппа, амне в safe mode не зайти - чёрный экран и привет шишкину. Скачал avz, где-то что-то прочёл, использовал вроде безопасный по интуиции скрипт, в общем попал в сэйф, просканил cureit, нашёл Trojan.Muldroper.19494 и ещё какую-то дрянь в System Volume Informetion _restore и т.д. ну и ещё по мелочам. Да, восстановление системы тоже не работало (пропали все сделанные ранее точки возврата). В общем всё грохнул, запустил, опять процессор explorerom на 50% загружается. В общем 3,14... Зашёл на virusinfo.info Сделал всё как надо - Касперскии тулз у меня больше суток в сэйф моде сканил нашёл ошмётки порубанных вирусов и ещё троянов в прогах, которые просто засторены без запусков, типа безвредные. если не трогать. Потом соответственно всё как положено avz 2 раза и hijack. Посмотрите плиз результат, что теперь с этим делать? Заранее всем огромное спасибо!!!!!!!!!!!!

tooler, по логам зловредов не видно. Деинсталлируйте UnHackMe, Unlocker, Advanced Email Extractor, VistaDriveIcon, можете также временно деинсталлировать BestCrypt, Punto Switcher и ZoneAlarm (для проверки, потом снова поставите, если потребуется, ZA может мешать работе утилит), вместо ZA можете включить встроенный брандмауэр windows
Пофиксите в HJT строчки
проверьте файл C:\WebServers\etc\utils\Boot.exe на virustotal.com
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.
Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
- Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
- Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте C:\ComboFix.txt и прикрепите к сообщению.

спасибо за ответ, сразу возникли вопросы, - можно ли не трогать bestcript? с ним вообще никогда никаких проблем не было, а там инфа, по поводу unhack - она уже удалена, где-то её следы остались? advanced mail extractor - пишет не может открыть log., можно ли у далить их тупо deletom? Извините, если вопросы не в тему...

Можно
остались: драйвер и в автозагрузке
Тогда останется мусор в реестре, в принципе остатки UnHackMe и Advanced Email Extractor можно почистить скриптом AVZ+пофиксить в HJT, но последнюю можно попробовать сначала установить и затем деинсталлировать или удалить чем нибудь вроде Total Uninstall или jv16 PowerTools
Удалить остатки UnHackMe не так просто
в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute поставить значение autocheck autochk *
в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
убрать Title = "UnHackMe Rootkit Check"
А также проверьте ветки реестра и остальные записи, связанные с UnHackMe и Partizan, посмотрите здесь
Перед тем как редактировать реестр, сохраните его
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в backup options должны бить отмечены галочками строчки "System registry" и "Current user registry", "Other open user registries" нажмите "Ok" и подтвердите создание папки.
И скрипт AVZ для удаления драйвера UnHackMe
После удаления advanced email extractor проверить и пофиксить в HJT строчки

Спасибо вам огромное за помощь, Unhack удалил RegSupremomPro, до AME пока не дошло. Boot.exe пробил на virustotal.com, ничего не показало. Просканил всё Malwarebytes' Anti-Malware. Лог прилагаю. Опять же, кроме winrara все остальные проги из лога просто засторены и ни разу не запускались. Перехожу к сканированию SDFix.

Просканил SDFix. Скидываю репорт. От себя отмечу, что процесс входа в safe mode очень нездоровый, ибо если раньше (давно) входил сразу, сейчас чёрный экран длится более 5 минут, правда, потом всё же входит. + в эксплорере пропали иконки от дисков С и Е. осталось в отличие от дисков F и Z лишь изображения "неопознанных" файлов. Это нормально? Перехожу к ComboFix...

Ну вот, скан Combofixom закончен. Кстати, при запуске прога сказала что есть обновление и предложила обновиться, я вписался, вроде всё прокатило, пришлось только ещё раз хр шный файл продрагдропить. Скан приаттачиваю. из побочных -слетела картинка рабочего стола, попробую перегрузиться, думаю, должна реанимироваться. Вроде сканы теперь все. Что скажете? Из явных косяков - очень долгая загрузка в сейф мод. Заранее огромное спасибо за помощь!

P.S. Обнаружил на рабочем столе директорию с Касперским тулом, которым я перед всем этим сканил. 2Гига. Можно их просто дилитом грохануть или тоже как-нибудь хитро стирать надо?

С уважением,
tooler

Нет. ну это ж надо!!!!!!!!!!!! Только что, после двух суток скана антивирями и всем тем, что вы посоветовали, потыкал мышом по эксплореру, сначало возник попап алерт с кривозяброй в тексте, но шапка была "Remote server failed", после этого как и до всего этого - тормозняк, включаю хп эксплорер, здравствуй 3,14 - эксплорер.экзэ жрёт 50% проца :((((((((((((((((((((((
Хелп, плиз! Причём это при том количестве всего, что я из автозагруза и регистра снёс...
Насчёт ремоут сервера - мне его каспер как потенциально опасное по нарисовал, я его и снёс целиком (там директория вроде в progr files была то ли ремоут админ то ли ещё как, 4 файла помню вроде -лечить нельзя удалил... )

Так и должно быть, SDFix д.б. возвратить раб. стол к стандартному, VistaDriveIcon удалили и перезагрузились до запуска SDFix? Удалите advanced email extractor, выполните скрипт из поста 4 и пофиксите строчки, можете также пофиксить строчку
Запустить AVPTool, нажать на крестик - предложит деинсталлировать.
Radmin удалять надо через установку/удаление программ
Проверьте C:\WINDOWS\inf\UpdateUSB.exe на virustotal.com
Откройте в блокноте C:\WINDOWS\winstart.bat, скопируйте содержимое в сообщение,
Скопируйте текст ниже к блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение

Не совпали сигнатуры некоторых системных файлов, выполните sfc /scannow или выполните восстановление Windows XP - способ 2, потребуется установочный диск.
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение или запакуйте эти файлы и прикрепите архив.

Добрый день!

Advanced email extractor удалил с помощью диспетчера задач RegSuprimom + оттуда же в реестре. потом пофиксил как сказали, остался ощмёток ярлыка на рабстоле, но в прогр файл больше нету. Каспера тоже слил, спасибо, а вот дальше проблема - Проверьте C:\WINDOWS\inf\UpdateUSB.exe на virustotal.com
Нет такой директории видимой вообще и плюс врубил поиск на этот файл - ничего. Подскажете, что с этим делать? Зар спасибо!

C:\WINDOWS\winstart.bat тоже, кстати не вижу

И, кстати, пока я тут совершал телодвижения. у меня если верить regsuprimu в 12.30 появилась запись в диспетчере прог - Автор Nvidia продукт global и в диспетчере автозагрузки появились вот эти ребята, которых я что-то не припоминаю: NvCplDaemon и NvMediaCenter Хотя не уверен, что их не было...

да, пока я тут шарился, если верить регсуприму, у меня в 12.30 появился автор Nvidia продукт Global , это нормально? и плюс 2 файла, которых я не помню. чтобы они были в автозагруке - NvCplDaemon и NvMediaCenter

простите за дубляж, думал первое сообщение не отправлено...

tooler, C:\WINDOWS\winstart.bat - скрытый можно увидеть в FAR, если CFScript.txt запускали, то этот файл должен был удалиться, можете также поискать через AVZ-сервис-поиск файлов
UpdateUSB.exe размер 32,768 вероятно легитимный от Asus. Выложите лог RSIT и новый лог Combofix

"Не совпали сигнатуры некоторых системных файлов, выполните sfc /scannow " простите, а как это сделать? пуск-выполнить .......-энтер? Восстановление с диска затруднено...

пуск-выполнить - sfc /scannow потребуется установочный диск или лучше установите SP3

вот новый лог от комбофикса, скачал РСИТ, сейчас запущу

Вот логи от RSIT

Что-то я вот этого стремаюсь "пуск-выполнить - sfc /scannow потребуется установочный диск или лучше установите SP3" Простите, а можно без этого? Установочный я найду быстро вряд ли. а SP3 как-то одни матюги на эту тему слышал, не хочется честно говоря этот пакет ставить....

были ещё в первом логе HJT, легитимные
C:\WINDOWS\PSEXESVC.EXE - небезопасный, по KAV д.б. not-a-virus RiskTool.Win32.Psexec, проверьте на virustotal, можете удалить вручную или перенести в др. место и на всякий случай выполнить (пуск - выполнить) sc stop PSEXESVC и sc delete PSEXESVC (может выдать ошибку, если такого сервиса не существует, ничего страшного)
В остальном логи чистые, если не считать файлов, у которых не совпали сигнатуры
Вероятно у вас какая-то сборка windows и проблемы с explorer.exe связаны с этим фактом. SP3 - на ваше усмотрение.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите Clean up

Спасибо вам огромное за помощь! Вот эта скотина - C:\WINDOWS\PSEXESVC.EXE выдала на вирустотале аж 5 из 32. Удалил вручную + через пуск как сказали, далее удалил Комбофикс. сейчас скачаю Отклин, но остались вопросы- винды да, сборные (зверь сиди). но год не было проблем никаких вообще и самое главное - почему в сэйф мод вход теперь длится более 5 минут это ж нездоровая как мне кажется история, или это нормально? Если вы считаете, что установка sp3 пусть даже гипотетически может что-то пофиксить, то пойду искать этот пакет.

Простите, ещё вопрос а что со всеми этими поюзаными прогами теперь делать Малваре РСИТ СДфикс и т.д.? А также АВЗ хайджэк и иже с ними? Оставить или удалить надо? И совсем глупый вопрос - как-то можно обратно вид иконок, дисков и т.д. вернуть или для этого нужно заново виста айконс инстолить? Заранее спасибо за ответ!

А, чего там, до кучи ещё вопрос - постоянно пользуюсь Flylinkom. Так и не разобрался, но имеет ли смысл при запуске Флайлинка запускать AVZguard? Чтобы уж никто ничто и никак, или он не даст качать? И по поводу NOD32 который у меня в резиденте - он что. совсем никакой? Что тогда посоветуете? Раньше был касперыч, ресурсов очень много жрал, маккафи был. тоже в итоге косяки какие-то пропускал. До этого случая НОД меня полностью устраивал, есть какой то выход из положения, понятно что 100% не даст никто. но варианты по опыту может есть?

Или хотя бы какой прогой пробивать софт перед запуском в дополнение к резидентному ноду?

За этот год других программ разве не устанавливали?
С этим вопросом можно в раздел Microsoft Windows XP, вирусов нет.
Можете выполнить, на свой риск в AVZ - файл - восстановление системы - п.10 или применить твик реестра
Сохраните как saferestore.reg и примените, не забудьте выполнить сохранение реестра с помощью ERUNT
Можете их оставить или удалить (что-то через установку/удаление программ, напр. HijackThis, MBAM)
Часть из них полезные и не занимают места в памяти (HijackThis,RSIT, MBAM, ERUNT), базы MBAM можете иногда обновлять и сканировать систему, то же самое с AVZ. SDFix можете удалить.
Можно вообще не использовать антивирус и система останется чистой :) К примеру, поставить HIPS типа DefenseWall (платный), настроить систему, не работать с правами администратора. По выбору антивируса - каждый выбирает по себе, см. тесты антивирусов, читайте статьи, посмотрите например здесь или здесь
Этот вопрос лучше задать Олегу Зайцеву здесь, т.к. при использовании AVZGuard (вкл. длительное время) некоторые программы могут начать работать некорректно, имхо лучше использовать HIPS и ограничение прав пользователя (не работать под админом)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista", рекомендации здесь и здесь

Многоуважаемый Pili ! Спасибо вам огромное за помощь и за детализированный ответ! Я до кучи ещё просканил и так и в сэйфе спайботом, ну и сверху всё это залакировал по вашему совету SP3 Вроде всё летает, тьфу тьфу тьфу. Ещё раз огромнейшее вам спасибо!!!!! В сэйф после этого пока не перегружался, пока всё остальное тестю. Флайлинк пашет как папа карла, проц- 5-7% эксплорер больше косяков не метает, вроде всё пучком, тему можно закрывать как "решённую". ОГРОМНОЕ СПАСИБО, вы мне очень помогли!

С огромным уважением,
tooler

tooler, Пожалуйста :) Обращайтесь, если возникнут проблемы, будем рады помочь.
Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил