[решено] Прошу помощи. AVZ, HiJackThis, RSIT не скачиваются, не запускаются и т.п.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Прошу помощи. AVZ, HiJackThis, RSIT не скачиваются, не запускаются и т.п.

Уважаемые коллеги!
Прошу помощи в лечении компьютера. Началось все с того, что процесс services.exe грузит процессор на 40-100%. В процессе установления причин выясняется, что не открываются сайты антивирусов, не открываются сайты AVZ, HiJackThis и RTIS. Скачал по иным ссылкам, программы все равно не запускаются. Безопасный режим не работает (синий экран с уведомлением об отсутствии dll). В обычном режиме CureIt вредоносных программ не обнаружил. Логи смог сделать только с помощью ComboFix - прикрепил.
Заранее огромное спасибо за любую помощь!

Vittaliy, Привет. :)

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

KillAll::



File::

c:\windows\system32\c58b4232.exe

c:\windows\system32\jimqjd.exe



Driver::



Folder::



Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"14336:TCP"=-



FileLook::



DirLook::



Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Код:

ComboFix 10-11-23.04 - Admin 24.11.2010  12:34:00.2.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1251.7.1049.18.767.333 [GMT 3:00]

Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe

Command switches used :: c:\documents and settings\Admin\Рабочий стол\CFScript.txt

AV: Symantec Endpoint Protection *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

FW: Symantec Endpoint Protection *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}



FILE ::

"c:\windows\system32\c58b4232.exe"

"c:\windows\system32\jimqjd.exe"

.



(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.



C:\1.tmp

C:\2.tmp

C:\3.tmp

C:\4.tmp

C:\5.tmp

C:\6.tmp

c:\windows\system32\jimqjd.exe



.

(((((((((((((((((((((((((   Files Created from 2010-10-24 to 2010-11-24  )))))))))))))))))))))))))))))))

.



2010-11-24 09:34 . 2010-11-24 09:34        --------        d-----w-        c:\program files\Common Files\b006b9b3

2010-11-23 16:43 . 2010-11-23 16:43        11706        ----a-w-        C:\cc_20101123_194337.reg

2010-11-23 16:38 . 2010-11-23 16:38        5655040        ----a-w-        C:\knopka.com

2010-11-23 16:26 . 2010-03-19 07:18        171344        ----a-w-        C:\KK.exe

2010-11-23 14:32 . 2010-11-23 15:26        --------        d-----w-        c:\documents and settings\Admin\DoctorWeb

2010-11-23 08:06 . 2010-11-23 08:31        --------        d-----w-        c:\documents and settings\Admin\Application Data\VSO

2010-11-23 07:58 . 2010-11-23 07:58        --------        d-----w-        c:\program files\VSO

2010-11-22 14:23 . 2010-11-23 07:19        --------        d-----w-        c:\windows\Folder32

2010-11-08 08:41 . 2010-11-08 08:41        --------        d-----w-        c:\program files\Common Files\Java

2010-11-08 08:40 . 2010-09-15 01:50        472808        ----a-w-        c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

2010-11-08 08:40 . 2010-09-15 01:50        472808        ----a-w-        c:\windows\system32\deployJava1.dll

2010-11-03 13:19 . 2010-11-03 13:19        --------        d-----w-        c:\documents and settings\All Users\Application Data\regid.1986-12.com.adobe



.

((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-23 16:26 . 2010-11-23 16:26        164289        ----a-w-        C:\kk.zip

2010-10-06 16:07 . 2010-09-14 06:37        16400        ----a-w-        c:\windows\system32\drivers\LNonPnP.sys

2010-09-16 06:40 . 2010-09-16 06:40        29708        ----a-w-        C:\cc_20100916_104004.reg

2010-09-14 23:29 . 2010-04-04 10:41        73728        ----a-w-        c:\windows\system32\javacpl.cpl

2010-09-14 06:38 . 2010-09-14 06:38        53248        ----a-r-        c:\documents and settings\Admin\Application Data\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe

2010-09-10 19:32 . 2008-06-19 20:12        167936        ----a-w-        c:\windows\system32\drivers\WpsHelper.sys

.



(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2010-02-16 8944968]



[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]

[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]

[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]

[HKEY_CLASSES_ROOT\Yandex.Toolbar]



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2010-02-16 8944968]



[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]

[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]

[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]

[HKEY_CLASSES_ROOT\Yandex.Toolbar]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2008-08-14 115560]

"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-06-26 1311312]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-04-24 30208]

"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"IE8_01"="shell32" [X]

"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-04-24 128512]

"IE8_02"="advpack.dll" [2009-04-24 128512]



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)



[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMConfigurePrograms"= 1 (0x1)



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2010-05-06 09:29        64592        ----a-w-        c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccEvtMgr]

@="Service"



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ccSetMgr]

@="Service"



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Symantec Antivirus]

@="Service"



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

2010-09-22 14:11        640440        ----a-w-        c:\program files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Acrobat Speed Launcher]

2010-09-23 00:42        38840        ----a-w-        c:\program files\Adobe\Acrobat 9.0\Acrobat\acrobat_sl.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-09-20 19:07        932288        ----a-w-        c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-09-23 00:47        35760        ----a-w-        c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bonus.SSR.FR10]

2010-01-18 09:12        941320        ----a-w-        c:\program files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2010-07-21 11:53        141608        ----a-w-        c:\program files\iTunes\iTunesHelper.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-08-10 01:15        421888        ----a-w-        c:\program files\QuickTime\QTTask.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USBAntiVirus.exe]

2008-06-09 22:06        1257984        ----a-w-        c:\program files\USBAntiVirus\USBAntiVirus.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VistaIcon]

2008-01-02 10:52        132096        ----a-w-        c:\program files\VistaDriveIcon\VistaDrv.exe



[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

"UpdatesOverride"=dword:00000001

"AntiVirusOverride"=dword:00000001



[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\IEPro\\MiniDM.exe"=



R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.04.2010 13:41 721904]

R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [14.09.2010 9:36 10448]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [27.05.2010 10:06 102448]

S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [12.01.2008 17:32 23888]

.

Contents of the 'Scheduled Tasks' folder



2010-09-15 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:50]

.

.

------- Supplementary Scan -------

.

uStart Page = about:blank

uInternet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

uInternet Settings,ProxyOverride = *.local

IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000

IE: Добавить к существующему PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Добавить содержимое по ссылке в существующий файл PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Преобразовать в Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Преобразовать содержимое по ссылке в PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

TCP: {E8189956-835C-4965-BAB4-D49AA400B7A5} = 83.220.35.98,83.220.43.42

FF - ProfilePath - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\byk96i7h.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.ru/

.

- - - - ORPHANS REMOVED - - - -



Toolbar-ITBar7Position - (no file)







**************************************************************************



catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-11-24 12:48

Windows 5.1.2600 Service Pack 3 NTFS



scanning hidden processes ...  



scanning hidden autostart entries ... 



scanning hidden files ...  



scan completed successfully

hidden files: 0



**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------



[HKEY_USERS\S-1-5-21-1715567821-1767777339-1606980848-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,64,79,fe,b2,e8,51,e5,4d,a0,32,29,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,52,54,69,8b,ba,bd,3a,48,a7,db,4b,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,52,54,69,8b,ba,bd,3a,48,a7,db,4b,\

.

--------------------- DLLs Loaded Under Running Processes ---------------------



- - - - - - - > 'winlogon.exe'(940)

c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll

c:\windows\system32\cscui.dll



- - - - - - - > 'explorer.exe'(964)

c:\windows\system32\SHDOCVW.dll

c:\windows\system32\COMRes.dll

c:\windows\System32\cscui.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\msi.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

c:\windows\system32\NETSHELL.dll

.

------------------------ Other Running Processes ------------------------

.

c:\program files\Symantec\Symantec Endpoint Protection\Smc.exe

c:\program files\Common Files\Symantec Shared\ccSvcHst.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Symantec\Symantec Endpoint Protection\Rtvscan.exe

c:\program files\Symantec\Symantec Endpoint Protection\SmcGui.exe

c:\windows\SOUNDMAN.EXE

c:\program files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE

.

**************************************************************************

.

Completion time: 2010-11-24  12:57:43 - machine was rebooted

ComboFix-quarantined-files.txt  2010-11-24 09:57

ComboFix2.txt  2010-11-23 16:00



Pre-Run: 8*314*957*824 байт свободно

Post-Run: 8*268*500*992 байт свободно



- - End Of File - - 5A82A8D4ABC876F52FBA5392EA42EBBA



==

Спасибо!

Смените все пароли

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::



Driver::



Folder::

c:\program files\Common Files\b006b9b3



Registry::



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Благодарю за оперативную поддержку!
Новый отчет прикреплен:

если более проблем не наблюдается то
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Combofix деинсталлировал. ok
OTCleanIt скачал и запустил. ok
Malwarebytes Anti-Malware скачал, установил, обновил, провел Full scan. Выкладываю лог:

Удалите вcё что нашел MBAM

Смените все важные пароли!!!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой [url="http://www.freedrweb.com/cureit/"]Dr.Web Cureit[/URL

Коллеги! С Вашей помощью удалось достичь определенных успехов!

Все, что нашел МВАМ удалено.
Предыдущие точки восстановления удалил.
Новую точку восстановления создал.
ATF Cleaner запустил, все как написано нажал.

Результат на настоящий момент - процессор в нормальном состоянии. Загрузка 0-7%. Все сайты открываются, все программы запускаются и функционируют.

Какие-либо действия еще предпринимать?

==
PS Спасибо всем откликнувшимся за помощь! Какие-то кнопки типа "Спасибо" здесь нажимать можно, а то очень хочется всех поблагодарить?

Цитата:

Цитата Vittaliy

Какие-то кнопки типа "Спасибо" здесь нажимать можно, а то очень хочется всех поблагодарить? »

Не забывайте отмечать тему решённой - Отметить решенной. Мы рады что помогли вам. Удачи и чистого интернета. :)