Подозрение на вирусы
 

После суток работы компьютера(скачки с интернета) он обязательно зависает и приходиться перезагружать,может какой-то вирус. ВОТ сделал логи по правилам:

еще может это и не в эту тему , но выдает ошибку explorer.exe

santana109, BitComet деинсталлируйте (С:\Program Files\BitComet), а также Radmin и временно Outpost (чтобы не мешал)
C:\WINDOWS\system32\mstask.dll проверьте на virustotal.com
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте OTListIt2, сохраните на рабочий стол и запустите, поставьте галочку Scan All Users, LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.
Включите AVZM и повторите логи

радмин не установлен у меня
ничего не дало
Прикрепил логи OTListIt2.

вот это не понял как делать

вот лог Malwarebytes' Anti-Malwarе


Malwarebytes' Anti-Malware 1.33
Версия базы данных: 1659
Windows 5.1.2600 Service Pack 3

26.01.2009 11:47:18
mbam-log-2009-01-26 (11-47-18).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 69566
Прошло времени: 8 minute(s), 25 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)

c:\windows\system32\rserver30\newtstop.dll
А это тогда что? Сначала запустите combofix, после этого сделайте новые логи OTListIt2
Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер
Это есть в правилах, там где обновление баз AVZ
Если outpost удалите, включите встроенный брандмауэр windows и отключите в нем общий доступ к файлам и принтерам.

вот какую ошибку у меня выдало когда я пытался запустить ComboFi

santana109, Outpost деинсталлировали? Попробуйте запустить CF в безопасном режиме.

Все получилось вот логи:

Pili, после использования все этих программ появилось много ненужных файлов в частности от ComboFix,что с ними делать??
Вот например:

и ещё, нужно ли мне блокировать такие порты: 445 и 139 перекрыты.??и как это сделать в брандмауэре??

пока оставить.
в исключениях брандмауэра отключить общий доступ к файлам и принтерам.
Я уже вам давал аналогичные рекомендации здесь, если бы выполнили их, то не подхватили бы червя kido снова.
BitComet деинсталлируйте.
Настоятельно рекомендуем установить критическое обновление KB958644 установите все патчи см. пост 21 и все обновления - http://windowsupdate.microsoft.com
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.
файлы
c:\windows\system32\user32.dll
c:\windows\system32\ctfmon.exe
проверьте на virustotal.com

навсегда или на время проверки??просто он мне нужен
что именно из этого мне надо поставить?

santana109, на ваше усмотрение, почитайте здесь и здесь, можете bitcomet.exe и др. файлы из папки проверить на virustotal

Pili, - это обновления я установливал ранее.

вроде отключил

ничего не дало.

зато по этому файлу я прикрепил ниже информацию:
Антивирус Версия Обновление Результат
AhnLab-V3 - - -
AntiVir - - TR/Patched.BB.23
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
Comodo - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
McAfee+Artemis - - -
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - Trojan.Patched.BB.23
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Дополнительная информация
MD5: f7af57aa04ec029609f083c07e691e37
SHA1: 0b914818ec47390866b8044c7856b8d41f67634b
SHA256: 7dd4494e7433e9af0b90e87a75d067f285d37b30323a1480b40bd7ab21588699
SHA512: 8fbe5a228422dfc2f15f945f3b44ff94a7cc2e28baa4925baa5b6cb0ddd24fca3fbf529efe1a0ca1744f4f0c14ecce895b40 6b3be697a38f4362a83cebc3ec

ComboFix.exe, Gmer, DDS- сделал логи и прикрепил всё в одном архиве.

дело в том что программа Prevx CSI нашла 4 зараженных объекта, но для их удаления требуется ключ
пожалуста подскажите что поставить на скрине так как я не сильно разбираюсь.
зарание спасибо, жду ответа.

Там ещё есть утилиты, проверялись ими?
Выберите патч для вашей ОС Windows XP SP3, можете установить то, что предложит windowsupdate.microsoft.com
К сожалению на вашем скриншоте не все файлы видно, скопируйте лог Prevx CSI в текстовом виде в сообщение или удалите то что что нашел Prevx CSI вручную, предварительно проверив файлы на virustotal
по этому - это user32.dll? Запакуйте его с паролем virus и отправьте в вирлаб, рекомендую заменить этот файл, взяв его с чистой системы, а также ctfmon.exe и explorer.exe (возможно придется полностью делать восстановление системных файлов)
combofix не отработал, видимо оттого, что у вас outpost, я рекомендовал его временно деинсталлировать, как и radmin, по логам gmer и dds, от kido ничего не обнаружено, попробуйте деинсталлирвоать outpost и radmin, деинсталлируйтеBitComet.
посмотрите в ветке реестра (лучше с помощью IceSword) вкладка registry
HKLM\SYSTEM\CurrentControlSet\Services\eylgy
параметр Parameters@ServiceDll на какой файл указывает? Найдите этот файл (можно с помощью IceSword - вкладка file) и через п.к.м скопируйте этот файл куда-нибудь и удалите (через force delete), сам файл в архиве с паролем также можете отправить в вирлаб. см. дополнительно Краткое описание и инструкция по удалению от Microsoft, рекомендую провериться также утилитой Утилита KidoKiller
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Повторите логи combofix.

да проверял, ничего

я проверил вс файлы на virustotal.com, он чистый.

также ничего не дало.

его я деинсталировал но корректно или нет незнаю, боюсь хвосты пооставались

эти логи прикрепил

и прекрепил 2 разных лога
Pili, вроде все сделал правильно.Жду ответа.

Инструкции по расширенной деинсталляции и переустановке Outpost ...
Теперь combofix отработал.

это делали? dll нашли?
Выполните
Пуск - выполнить - cmd
Вставьте
файл C:\scan.txt прикрепите к сообщению.

Временно деинсталлируйте свой антивирус (потом заново установите), скачайте Avira AntiVir Personal, установите обновите базы (через интернет или можно скачать отдельно здесь и обновить вручную), проведите сканирование системы, логи проверки можете выложит в след. сообщение.
c:\windows\system32\user32.dll - вы похоже так и не заменили, поэтому если не замените, Avira может удалить этот файл.

пожалуста объясните подробней как это сделать у меня не получилось, вылезло черное окно и там иероглифы ,а дальше ничего.

а вручную просто удалить нельзя???

распакуйте и запустите вложенный файл, C:\scan.txt вложите в сообщение или скопируйте из него текст в след. сообщение.
Это системный файл, если удалите, могут быть проблемы, нужно заменить файл с дистрибутива или другой чистой системы или с помощью sfc /scannow

вот что получилось:

Том в устройстве C не имеет метки.
Серийный номер тома: 6441-6C84

Содержимое папки C:\windows\system32

santana109, скрытых файлов нет (т.е. файлов червя kido)
Жду логи проверки от Avira

такого пути там нет.
логи проверки авира прикреплю часов в 6 вечера

так может его у меня уже нет???

это конесно глупый вопрос, а можно не удалять аваст и поставить авиру так?

santana109, теперь конечно нет, combofix удалил зловредный сервис скриптом, рекомендация проверить была в посте 16 (в 13:20), т.е до того как отработал комбофикс (по логу в 20:24), можете попробовать поискать по всему реестру по ключ. слову "eylgy", м.б. найдете (не факт)

Возможны конфликты (и как следствие система будет тормозить)

понял, авиру поставлю и логи прикреплю

при проверки системы программой AntiAutorun. выдает что у меня три вируса , вот прикрепляю скрин:

santana109, В логах AVZ и остальных логах файлов autorun.inf не было. Flash Drive Disinfector использовали? Утилита создает папки autorun.inf на каждом диске, возможно AntiAutorun на эти папки ругается (кстати AVZ похоже тоже эти папки файлами считает), если не использовали - удалите с помощью AntiAutorunи и воспользуйтесь Flash Drive Disinfector, дополнительно отключите автозапуск - рекомендации уже давал вам здесь

Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

да использовал

а как мне почистить компьютер от "мусора" который оставили после себя разные утилиты??
вот логи GetSystemInfo (GSI):

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTMoveIt3 и нажмите “CleanUp!”

По логу GSI тоже ничего плохого.

вот вылажил логи авира:
Avira AntiVir Personal
Report file date: 28 января 2009 г. 22:27

Scanning for 1295221 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: Администратор
Computer name: MICROSOF-0A3BC3

Version information:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:05:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 07:21:26
AVSCAN.DLL : 8.1.4.0 40705 Bytes 26.05.2008 06:56:40
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 11:44:19
LUKERES.DLL : 8.1.4.0 12033 Bytes 26.05.2008 06:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14.01.2009 20:10:00
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23.01.2009 20:10:35
ANTIVIR3.VDF : 7.1.1.197 324608 Bytes 28.01.2009 20:10:47
Engineversion : 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 09:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 28.01.2009 20:11:36
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 14:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 12:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 28.01.2009 20:11:32
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 28.01.2009 20:11:25
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 28.01.2009 20:11:21
AEHELP.DLL : 8.1.2.0 119159 Bytes 28.01.2009 20:10:57
AEGEN.DLL : 8.1.1.10 323957 Bytes 28.01.2009 20:10:55
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 09:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 28.01.2009 20:10:50
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 09:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 07:40:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 08:28:01
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 11:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 10:26:40
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 07:29:23
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 11:27:49
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 16:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 11:49:40
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 11:05:10
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 12:48:07
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 12:34:37

Configuration settings for the scan:
Jobname..........................: ShlExt
Configuration file...............: C:\DOCUME~1\9335~1\LOCALS~1\Temp\2c767be3.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 28 января 2009 г. 22:27

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!


End of the scan: 28 января 2009 г. 22:34
Used time: 06:42 Minute(s)

The scan has been done completely.

2834 Scanning directories
158941 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
158939 Files not concerned
1011 Archives were scanned
2 Warnings
0 Notes

после преустановки антивирусов звук перестал работать вот скрин:

и еще хотел задать вопрос , вот у меня стоит avast 4.8 PRO, а зачем нужен avast SERVER?

За 7 мин. Avira у вас полностью проверила все диски? Вы полную проверку запускали?
Это проблема, не связанная с вирусами, попробуйте переустановить драйвера, воспользуйтесь поиском по форуму по ключ. слову "звук"
Видимо для серверов :)
Если всё ещё уверены, что ваши проблемы из-за вирусов (напоминаю, что по остальным логам чисто), можем продолжить проверку, например можете провериться с помощью F-Secure Online Scanner, далее можем продолжить проверку другими онлайн-сканерами...

думаю нет, польшое спасибо за помощь в решении проблемы.

santana109, пожалуйста :)
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы.
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил