Помогите удалить вирус.
 

На компе(windows7),антивирусы(с live cd,почти все известные) находят не менее 15 вирусов, но удалить их ни кто не может.Мышь с тачпадом, блокируется,диспетчер не может завершить не один процесс,msconfig не может редактировать автозапуск,[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run пуст.В safe mode тоже самое.Подскажите пожалуйста как быть.

Для начала пролечитесь CureIt со свежими базами в безопасном режиме, желательно, записанного на болванку или флешку, затем выполните рекомендации

Cureit с флешки ни чего не находит, HijackThis не устанавливается,пишет "Не удалось получить доступ к службе установщика windows Installer.Возможно,не установлен Windows Installer.Обратитесь за помощью в службу поддержки."

В общем-то и я тоже ничего не вижу
1.В вашем случае необходимо использовать Dr.Web LiveCD, очистит и полечит. Им проверялись? только записывать образ надо на заведомо чистой системе.

2. проверка целостности системных файлов. Вставить диск с дистрибутивом.
пуск - выплонить - вбить
нажать enter

3.Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

1.Dr.Web использовал
2.Вбиваю "sfc.exe /scannow",ничего не происходит.
И еще,поставил бесплатного Касперского,после загрузки системы,вылазит UAC,спрашивает,можно ли Касперскому внести изменения.Так вот,при любом ответе,после нажатия,экран темнеет раза в два.И так и остается темнее.

C:\ComboFix.txt

Ну как ваши дела?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Я наверное так не смогу сделать,у меня же мышка не работает,все стрелочками.Кстати после ComboFix,начал работать msconfig и можно управлять автозапуском,и я вроде вижу прописание вируса,убираю галочку,но она опять появляется после перезагрузки.А так как окошко конфигурации системы маленькое и не работает мышка я не могу точно посмотреть его название и место расположение.

А мышь у вас не работает потому что ключик реестра заблочен зловредом
давайте так попробуем

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Сделал как вы сказали,но прога подвисает и все.

Попробуйте загрузиться в режиме "чистой загрузки"
пуск - выполнить - msconfig
На вкладке Общие выберите параметр Выборочный запуск.
|
В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки.
|
На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все.
|
Нажмите Применить - OK и - Перезапустить.

В таком режиме мышь должна бы работать и попробуйте выполнить скрипт Combofix

Мышь не работает))).После перезагрузки службы опять включены.

Твик реестра выполнить сможете?

А поподробней можно,как это?

подробнее обязательно, только чуть позже..
пробуем выполнить скрипт для OTM by OldTimer в безопасном режиме.
Если не поможет, бум думать.. и подготовьте ERD Commander

В безопасном режиме тоже самое.Есть Live CD с ERD Commander 5.0(XP/2003) ; ERD Commander 6.0(Vista/2008) ; ERD Commander 6.5(Win7/2008 R2)

грузимся с подходящей ERD Commander, запускаем erd regedit,
ищем через поиск по слову startupfolder в разделе HKLM и удаляем
[HKLM\~\startupfolder\C:^Users^E-Machines^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ЎЎЎЎЎЎ.lnk]

ищем и правим права к ключам
[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\PCW\Security]
найти раздел - в левом окне выделить, потом правой кнопкой - разрешения (permissions)
откроется окно " безопасность (security)"
"группы или пользователи" нажать кнопку "добавить"
дальше "дополнительно" выбрать себя, нажать ок, и дать себе права на полный доступ

находим файлы по ранее записанному пути и удаляем
c:\windows\system32\XP-D41D8CD9.EXE
c:\users\E-Machines\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk
c:\windows\pss\ЎЎЎЎЎЎ.lnk

загружаемся с операционки

Это удалил,но рядом есть еще [HKLM\~\startupfolder\C:^Users^E-Machines^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^setup 9.0.0722_09.02.2011. Может тоже грохнуть не нравится оно мне? И где находим файлы по ранее записанному пути?

Virus Removal Tool - setup_9.0.0.722_09.02.2011_22-10 - это ваша утилита от каспера, грохать не надо есть проводник?
– в окне Welcome to ERD Commander выберите свою ОС –> OK; когда загрузится Рабочий Стол, дважды щелкните значок My Computer;
– в окне ERD Commander Explorer раскройте диск, на котором установлена ОС (как правило, C:\);
и ищем по пути в папках указанные файлы зловредов

Нажимаю кнопку добавить,открывается окно ''Выбрать пользователя или группу'' "Имя объекта". Что там вписать?

свою учетную запись указать, как вы свою учетную запись назвали...

Комп не мой,не знаю

что у вас там есть, какие группы / пользователи?
дайте права любому из пользователей...

Все,система,NETWORK SERVICE,Администраторы,Пользователи,Гости. Может eMachines? Это же ноут.Может он сам так обозвался?Открываю проводник там eMashines(C) и Boot(X:) Так я понимаю что в поле "имя объекта" можно вписать eMashines?

Выберите команду Пуск >Панель управления и в разделе Учетные записи пользователей и семейная безопасность щелкните на ссылке Добавление и удаление учетных записей пользователей. - там указаны учетки..
давайте права любому из пользователей, потом заканчивайте с коммандером, перезагрузка.
если мышь не появилась, опять грузимся с коммандера и удаляем эти ветки.. И

применяем твик реестра:
скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

"Не удается импортировать ..... Указанный файл не является файлом данных реестра.Возможен импорт только двоичных файлов данных реестра"
Кстати из
c:\windows\system32\XP-D41D8CD9.EXE
c:\users\E-Machines\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ЎЎЎЎЎЎ.lnk
c:\windows\pss\ЎЎЎЎЎЎ.lnk
нашел только последний.

потерялся заголовок. Вот так попробуйте:

Блин,опять выдает "Не удается импортировать.... Ошибка при доступе к реестру"

пожалуйста через редактор реестра найдите эти ветки:

[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
и
[HKEY_LOCAL_MACHINE\system\ControlSet004\Control\PCW\Security]
выделите, нажмите файл - экспорт. сохраните под любым именем с расширением .txt
файлы выложите сюда

HKEY_LOCAL_MACHINE\system\ControlSet004\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings пожалуйста. А "HKEY_LOCAL_MACHINE\system\ControlSet004\Control\PCW\Security"при экспорте пишет :"Указанная ветвь не существует.Проверьте правильность задания пути"

Скопируйте в блокнот, сохраните с расширением reg и добавьте:

Попробуйте загрузиться с жесткого диска, проверьте, будет ли работать мышь

Опять пишет "Не удается импортировать.......Ошибка при доступе к реестру."

AVZ - Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

затем пробуем выполнить твик реестра еще раз

Только что решил подключить его к инету,подключил,он начал качать системные обновления,перегрузился и начала работать мышь. Подскажите пожалуйста как это понимать,надолго ли это и что мне делать дальше?

Рано обрадовался,после следующей перезагрузки появился BSoD и в обычном режиме теперь не грузится

ошибка сетевого драйвера

В безопасном режиме загрузиться можете?

Да загружал,сделал откат системы,все заработало и мышь продолжает работать.НО,поставил aviru,без мыши не мог,она не может запустить ни одну свою службу,даже обновится не может.

логи придётся повторить

AVZ

HijackThis не пойму что хочет.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
hosts00.log прикрепите к теме

Путь к файлу hosts =>
C:\Windows\System32\drivers\etc\hosts

Пуск - выполнить в поле открыть впишите:
откроется файл hosts/ В нем нужно будет оставить только:
Исключение - комментарии и строки добавленные туда вами (если есть). всё остальное удалить. Файл сохранить с именем hosts (без расширения) и перезагрузиться.
после этого подготовить логи RSIT

у вас симантек, касперский и теперь еще и авира-адская смесь.
Оставьте один антивирус, остальные деинсталлируйте.

Там так и есть,только пробел больше 127.0.0.1 localhost между цифрами и словом localhost

это не имеет значения. maniy77 посмотрит ваши логи и ответит вам.

Сейчас глянул,сумантек только онлайн бекап,а касперский,так утилита,не полноценный,я думаю не должна пока помешать.

Проверьте файлы на virustotal.com
ссылку на результат проверки сюда приведите

в автозагрузке висит rdpclip, программа знакома?

Давайте новый лог Combofix

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

http://www.virustotal.com/file-scan/...1ef-1297869311
Напомню,комп не мой.Вот что нашел в инете http://forum.ixbt.com/topic.cgi?id=7:30455
Еще мне не нравится одна строка в автозапуске,убираю галочку,а она после перезагрузки,снова появляется.Скрин прилагается.И кстати,на скрине видно,полупрозрачные файлы на рабочем столе,которые появились,то ли после первого запуска ComboFix,то ли после HijackThis.Что это может быть?

легальный файл rdpclip.exe должен находится в C:\Windows\system32\ (Microsoft RDP Clip Monitor Application)
чем она вам не нравится? Не нужно ее трогать.
Через меню любой папки - сервис - свойства папки - вид - отметьте "не показывать скрытые файлы и папки" Их не будет видно.

Ну как самочувствие? Что еще беспокоит кроме мыши и папок?))

какой у вас версии IE? Рекомендую IE8 . Обновление обязательно, даже если не пользуетесь!

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Затем
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Беспокоит avira,не может запустить свои модули.

Удалите в Malwarebytes' Anti-Malware

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Если хотите безпроблемно пользоваться avira, вот это дело
удаляем из системы!
После этого запускаем модули антивируса.. Неудача?-сносим и устанавливаем заново

В том то и дело, что из системы удалил касперыча. А при установке заново avira, появляется синий экран,и приходится откатывать систему. sfc.exe /scannow не работает.

Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump).

При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме.

скачайте из вложения утилиту для удаления Продуктов ЛК, драйвера вижу неудаленные, и только потом повторная установка авиры

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected[*] нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Сделал как вы сказали,опять установил avira,что бы вызвать синий экран,вызвал,папка minidump не появилась.Удалил утилитой удаления,все по прежнему,появляется синий экран.

причина та же - ошибка сетевого драйвера. Драйвера NDIS обеспечивают взаимодействие сетевых протоколов верхних уровней (таких как TCP\IP) c нижестоящими протоколами сетевого оборудования (сетевые карты) для возможности пересылки данных по сети.
Тип подключения к сети у вас какой?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Проверяем и зачищаем следы:
Удаляем папку Kaspersky Lab по адресу C:\Program Files\Kaspersky Lab\
При некорректном удалении/использовании NDIS 6 Filter переходит в такой режим работы, который может привести к нестабильной работе всей операционной системы (например, к падению в "синий экран").
В сетевых подключениях в свойствах на вкладке "общие" проверяем наличие установленного драйвера Kaspersky Anti-Virus NDIS 6 Filter.
Если присутствует-удаляем.
В диспетчере устройств в свойствах сетевой карты смотрим наличие галки "отключать для экономии энергии". Если присутствует-снимаем.
Перезагрузка.
Далее, что с дровами на сетевую? когда обновлялись, родные?

В догонку:
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

AVPTool деинсталируйте.

Информация(инструкция) для удаления продуктов Касперского http://support.kaspersky.ru/faq/?qid=208635705

Вроде все не нужное посносил и avira заодно ))),поставил Microsoft Security Essentials,обновил дрова.

вы пользовались Информацией(инструкцией) для удаления продуктов Касперского, которую дал вам akok?
а мой скрипт для ComboFix вы выполняли?
у вас не зачищен ни Каспер ни Авира.
Смотрим внимательно и выполняем! http://forum.oszone.net/thread-148474.html
а IE вы обновили?

Постарался получше почистить.Ваш выполнял.Обновил.

Как самочувствие?

Деинсталлируйте Malwarebytes' Anti-Malware - программа предназначена для временного пользования во время лечения.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Очистите зараженную и создайте новую контрольную точку восстановления:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендую:
- не работать за компьютером с правами администратора
- в Internet Explorer (рекомедуется IE8 ) отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- не устанавливать на ПК два и более антивирусных ПО.

Спасибо всем откликнувшимся.
А я ее на своем компьютере,держу в паре с avira,вроде вместе нормально уживаются.Скажите пожалуйста какой антивирус вы используете у себя на компе?