[Котяра]

basken, попробуйте запустить дефрагментацию командой dfrg.msc. Есть ли место на диске?
Ваш компьютер заражен вирусом HideLogon.
Пофиксить в HijackThis:

Код:

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe

Также похоже, что rpcc.exe - вирус. Такого файла в стандартной ОС нет. Пофиксите:

Код:

O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe

Итак, Вам нужно пофиксить строки:

Код:

O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe

Что значит пофиксить:

Цитата:

Если вас попросили «пофиксить в HijackThis», запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

[basken]

Цитата Котяра:

попробуйте запустить дефрагментацию командой dfrg.msc. Есть ли место на диске? »

Не запускается, место на диске есть ~ 14 GB

Цитата Котяра:

O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe »

Пофиксил

Перезагрузил машину, проблема все еще осталась

[Котяра]

basken, а как в безопасном режиме? F8 при загрузке и выберите Safe Mode (Безопасный режим)?

[Pili]

basken, здравствуйте.

FlashGet и AskTBar (C:\Program Files\AskTBar) удалите через установку/удаление программ
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Ipis\ip_is.exe','');
 QuarantineFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE','');
 QuarantineFile('C:\WINXP\system32\cabine.dll','');
 QuarantineFile('msansspc.dll','');
 QuarantineFile('C:\WINXP\system32\rpcc.exe','');
 QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINXP\system32\USER32.dll','');
 QuarantineFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL','');
 DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
 DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe');
 DeleteFile('C:\WINXP\system32\rpcc.exe');
 DeleteFile('msansspc.dll');
 DeleteFile('C:\ WINDOWS\system32\msansspc.dll');
 DeleteFile('C:\WINXP\system32\cabine.dll');
 DelBHO('{0AC8EAFD-3213-491B-AD20-DAF118D55AEA}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите HijackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {0AC8EAFD-3213-491B-AD20-DAF118D55AEA} - C:\WINXP\system32\cabine.dll (file missing)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O4 - HKLM\..\Run: [WindowsHive] C:\WINXP\system32\rpcc.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe

Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[basken]

Цитата Котяра:

basken, а как в безопасном режиме? F8 при загрузке и выберите Safe Mode (Безопасный режим)? »

В сейфмоде так же грузится

Цитата Pili:

AskTBar (C:\Program Files\AskTBar) »

Не хочет удалятся через установку/удаление программ - ругается, из-за того что были удалены некоторые файлы AVZ c:\program files\asktbar\bar\1.bin\asktbar.dll

В ручную удалить AskTBar, или создать пустые файлы с нужными именами и удалить через установку/удаление программ?

[basken]

Цитата Pili:

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему »

Отправил файл на указаный ящик

Цитата Pili:

Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, »

По первым двум ссылкам - файлы скачать нельзя, по последней скачал но не ставится... запустил exe-файл и ничего не происходит. Может есть еще место откуда можно выкачать Malwarebytes ?

[basken]

Цитата Pili:

Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. »

Установить Malwarebytes не удалось - при запуске ехе не выполняется установка программы(не появляется никаких установочных окон) ((

Новые логи прикрепил, может по ним что то будет видно

[Pili]

basken, C:\WINXP\system32\USER32.dll - Trojan.Win32.Patched.bb по касперскому.
PAGEPR~1.EXE - здесь ушел в вирлаб на исследование., остальные в карантин не попали. C:\PROGRA~1\NETPRO~1\PAGEPR~1\ - рекомендую удалить, если файл окажется чистым, можете потом снова поставить.
С помощью AVPTool и cureit полную проверку системы проводили? Если нет - проверьте. Установочный диск имеется? Выполните восстановление системных файлов Пуск - выполнить - cmd.exe - sfc /scannow потребуется установочный диск, или по крайней мере замените user32.dll на чистый.
AskTBar надо было удалять до скрипта, как было написано в посте по порядку.
Ссылки на Malwarebytes' Anti-Malware проверил - работающие.

[basken]

Цитата Pili:

basken, C:\WINXP\system32\USER32.dll - Trojan.Win32.Patched.bb по касперскому. PAGEPR~1.EXE - здесь ушел в вирлаб на исследование., остальные в карантин не попали. C:\PROGRA~1\NETPRO~1\PAGEPR~1\ - рекомендую удалить, если файл окажется чистым, можете потом снова поставить. С помощью AVPTool и cureit полную проверку системы проводили? Если нет - проверьте. Установочный диск имеется? Выполните восстановление системных файлов Пуск - выполнить - cmd.exe - sfc /scannow потребуется установочный диск, или по крайней мере замените user32.dll на чистый. AskTBar надо было удалять до скрипта, как было написано в посте по порядку. Ссылки на Malwarebytes' Anti-Malware проверил - работающие. »

Восстоновил системные файлы

Проверка CureIT обнаружила таких зверей.

Цитата:

tdssqawi.sys c:\winxp\system32\drivers BackDoor.Tdss.29 TDSS5ef5.tmp C:\Documents and Settings\1\Local Settings\Temp Trojan.Starter.896 TDSSkrtj.dll C:\WINXP\system32 BackDoor.Tdss.22 TDSSkvcw.dll C:\WINXP\system32 BackDoor.Tdss.29 TDSSogon.dll C:\WINXP\system32 BackDoor.Tdss.30 TDSSqcie.dll C:\WINXP\system32 BackDoor.Tdss.21

После удаления этих, файлов и перезагрузки начали нормально окрываться ссылки (ранее писал что не открываются ссылки - на Malwarebytes' Anti-Malware, AVZ, аHijackThis, CureIT - теперь стали загружаться нормально. Кстати программа Anti-Malware также установилась нормально (ранее не хотела ставится)!!!)


После проверки AVTTool, еще нашлись

Цитата:

удалено: троянская программа Trojan.Win32.Patched.dy (модификация) Файл: C:\Documents and Settings\1\DoctorWeb\Quarantine\TDSS5ef5.tmp удалено: троянская программа Packed.Win32.Krap.d Файл: C:\Documents and Settings\1\Local Settings\Temp\TDSS5ea7.tmp

Malwarebytes' Anti-Malware нашла следующие штуки

Цитата:

Заражено ключей реестра: HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\VideoAXObject.Chl (Trojan.Zlob) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Security Tools (Trojan.Zlob) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts (Trojan.Downloader) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video AX Object (Trojan.Zlob) -> No action taken. Заражено значений реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\bgpinit_dlls (Spyware.Agent.H) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken. Заражено файлов: C:\WINXP\system32\TDSSqnsy.dll (Rootkit.Agent) -> No action taken. C:\WINXP\system32\TDSStsrp.log (Trojan.TDSS) -> No action taken.

Новые логи прицепил.


Pili, огромное спасибо за помощь!!!!

Дефрагментация очистка диска выполняется уже нормально!


Что еще могли эти вирусы сделать кроме блокирования дефрагментации, установки некоторого софта, блокирования определенных веб-страниц? Может они "дыр" наоткрывали в системе, как проверить?

Ребята, посоветуйте какие действия еще необходимо предпринять для снижения возможного заражения машины от всякой "нечести" и повышения её безопасности - ... может порты какие то позакрывать, службы отключить там, софт поставить? Буду благодарен за реккомендации!!!