подскажите пожалуйста, что случилось у меня, скрины прилагаются. (и вот эти окошки последовательно появляются через каждые две секунды. Точнее первый потом уже не появляется, идут два- system32.exe обнаружена ошибка, и второй сразу за первым предупреждение NOD32 о трояне

serg4271, Здравствуйте. Сделайте пожалуйста логи по правилам

serg4271, похоже вы словили общеизвестную "проблему 01.01.2070", обратите внимание на год. Вам на подготовку логов
HellFire_MZ, уж лучше сразу отправлять на выполнение правил оказания помощи

год как раз Вы указали правильно, счас внимательно проштудирую правила

Ну я вроди сделал три лога по правилам, только возможно я смазал картинку(до этого я вручную удалил sysmgr.exe, svcrt2.dll и ключ реестра для sysmgr.exe, погорячился так сказать, думал поможет). Очень жду ответа.впрочем эти файлы вновь образовались, я посмотрел

serg4271, Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows
Запустите AVZ, d меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Если не проверяли систему с помощью cureit и AVPTool, рекомендую проверить.
Сделайте новые логи.

Pili,

Здравствуйте, Вы знаете, сделал всё в точности следуя Вашим рекомендациям- улучшений никаких, (в смысле постоянно чередуются окошки с ошибкой system32, появляются сист.файлы в темп папке),сейчас запустил AVPTool- думаю проверка закончится около часа ночи, уже 250 зловредов удалил, я сегодня всё доделаю, отправлю логи, Вы если не трудно завтра посмотрите, а я вечерком после работы продолжу.

на второй странице написал

Написал serg4271 письмо в РМ, чтобы сообщил

Это пятизначная цифра,каждый раз новая,с расширением .sys весом 4кб, в док и сетт.,в локальной, в темп

Все те же спутники system.exe

Pili,

Блин! Большое спасибо, вроди бы справился с Вашей помощью, (я ещё раз выполнил скрипт),правда чуть-чуть вручную пришлось подчистить- но всё дурное пропало- система работает нормально. Ещё раз большущее спасибо(или куда-то надо кнопочку нажать "спасибо"? я просто не в курсе)

уже нажал

serg4271, логи повторите для контроля.

Pili,
обязательно, только домой с работы вернусь

Pili,

Добрый вечер. Передаю полученные после удачного лечения ОС логи. Ожидаю Вашего резюме

serg4271, Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Я сейчас всё сделаю, просто интересно: что-то осталось(?) или для профилактики(?). Я сканировал недавно VRTools- чисто

Pili,
первый лог:

Malwarebytes' Anti-Malware 1.34
Версия базы данных: 1817
Windows 5.1.2600 Service Pack 2

04.03.2009 21:48:58
mbam-log-2009-03-04 (21-48-58).txt

Тип проверки: Полная (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Проверено объектов: 168876
Прошло времени: 20 minute(s), 56 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS.0\system32\drivers\etc\services (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

остальное по мене выполнения

C:\WINDOWS.0\system\svhost.exe по логам AVZ, хотя это м.б. только упоминание в реестре осталось.

забыл AVZ лог прикрепить в первое сообщение. Кстати, после окончания всех операций выскочило окно, ошибка system32, приложение будет закрыто, отправить отчёт

serg4271, логи чистые. Проблемы ещё наблюдаются?

как я уже писал в предыдущем сообщении - выскочило окно-ошибка system32, сейчас только обратил внимание- время показывает 4:31, 01.01.2070 год. Что делать? Гнать всё по новой? Ужасно жалко, я уже вчера ночью акронисом образ сделал

Да уж, тяжелый случай :( Логи, как я понимаю, были сделаны до ошибки? Тогда думаю стоит их повторить. Для начала AVZ (с включенным AVZPM) и HiJack
Сдается мне авторы "проблемы 2070" свое детище развивают...

сделать всю процедуру по сей момент или пока только вчерашнюю?(да, ошибка выскочила, когда я закрыл последнюю программу проверки

поехало

Вчера ночью кроме svhost (или остатков от него - мусора в реестре) у вас ничего зловредного в логах больше не было.
Логи утилит показывают верное время
и
И не меняется? Вы встроенный брандмауэр включали перед выполнением скрипта и созданием логов? В правилах написано - включите брандмауэр или отключите сеть. Если нет - возможно снова заразились. Была также рекомендация установить SP3 и все обновления, но вы это проигнорировали, боюсь что после нового лечения вы сразу снова заразитесь (патчи не установлены, у вас какая-то сборка)
Если время снова сбивается после переустановки, проверимся другими методами. Скачайте cureit на чистой системе, распакуйте и запишите на флешку или CD. Поменяйте время в биосе, загрузитесь с загрузочного диска и запустите cureit (_start.exe), проведите полную проверку системы.
Отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению.
Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Сделайте также новый лог hijackthis

ну обновления я ночью ставил, сервис пак 3 не успел, брандмауэр не включил, к сожалению. Сейчас систему так заколбасило, что я решил вернуть её акронисом в положение 1:40 сегодняшней ночи(после первых скриптов, когда всё нормализовалось). Может ещё раз первым способом попробовать?

Pili,

вообщем, пока восстановил ОС в рабочее состояние ставлю сервис пак 3 с обновлениями и вопрос: делать ли Вашу последнюю рекомендацию, если пока(!) ничего не наблюдается. Очень жду ответа хотя бы завтра, сегодня уже поздновато

Начните с AVZ (с включенным AVZPM) и HiJack. Это самое быстрое пока, пожалуй

thyrannosaurus,

счас всё опять проделал, проверил заодно VRTool- всё чисто, как у младенца, gmer -ом тоже на рудкиты проверил -ничего не вижу

В правилах написано , что перед созданием логов
И пост 16, описано все поп порядку, после МВАМ рекомендовано установить все обновления и только потом делать логи
Не ответили на вопрос:
Делайте новые логи по правилам.

Pili,
сервис пак 3 установил, плюс все обновления, вечером прогоню всё ещё раз по порядку.(на данный момент ОС работает без сбоев). Извините за невнимательность

P.S. время показывает правильно

P.P.S. У меня был установлен интерфейс Виста, установка SP3 частично его нарушила, вернув "родные" XP файлы. Я могу безболезненно вернуть Виста интерфейс не нарушая безопасности ОС?

Правильно сделала )
Не рекомендую заменять оригинальные системные файлы.

Пожалуйста вот три первых лога, согласно правил

P.S. Посмотрел по логу hijackthis там опять C:\WINDOWS.0\system\svhost.exe, но вручную его не нашёл

Выполните скрипт, который вам дал Pili в посте №16

так и должно быть, если вы восстановили систему на момент до скрипта из поста 16
Выполните в AVZ скрипт
Сделайте для контроля новый лог hijackthis

Что из этого не нужно?
Рекомендую по минимуму отключить

O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS.0\system\svhost.exe (file missing)
Потому serg4271 его и не нашел

сделал, вроде чисто

службы сейчас отключу

Ну и что, служба вредоносная осталась, кроме того иногда запись (file missing) не говорит о том, что файла нет, напр. в случаях, когда hijack не может увидеть файл в связи с тем что зловред (руткит) блокирует доступ, пользователь через юзермоде также не увидит этот файл, здесь правда другой случай, по логам руткита не видно, просто остался мусор в реестре.

serg4271, По логам чисто.
Что насчет служб и безопасности?

службы отключил, а где эти три пункта по Безопасности(как-то никогда не вникал) ??
точнее 1 и 2-й пункт
Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя


этот пункт нашёл:к ПК разрешен доступ анонимного пользователя- а если у меня торрент и DC-сеть, расшаривать и т .д.???

Pili

Ладно, с этими пунктами как- нибудь разрулю. Всё работает отлично. СПАСИБО. Тему закрывать или вы сами закроете?

serg4271, хм.. я так и не понял по вашему ответу хотите вы отключать, то что рекомендовал или нет, в общем если хотите отключить, выполните скрипт
Если по протоколу netbois предоставляете доступ, то лучше предоставлять доступ определенным пользователей и ставить пароль, на торрент и DC не должно повлиять, т.к. эти программы не используют netbios порты.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

Спасибо, анонимного пользователя тогда отключаю, а вот на счёт прав администратора даже не знаю- привык уже, да и боязно- так я могу что хочу, а без прав админа... не знаю(Internet Explorer не использую уже очень давно, пользую FireFox, плагины сейчас поставлю). Мне кажется, что уже можно закрывать тему. Спасибо за помощь

Скриптом права админа не убираются :) Я чего бояться? Создайте пользователя без прав администратора и работайте под ним, когда надо будет что-то установить, можно или зайти с правами администратора или запустить задачу от имени администратора, это существенно уменьшит риск заражения (имхо, защитит лучше, чем наличие антивируса) Почитайте книги (ссылки выше), там все хорошо описано. По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел защита компьютерных систем.

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил