Помогите долечить

Всем добрый вечер!

Основные симптомы:
1. Не пускает на антивирусные сайты (удивительно, но сюда пустил).
2. При запуске любого браузера Предупреждает о каком-то просроченном сертификате, постоянно спрашивает принять или отклонить.
3. Не могу прогнать из c:\Documents and Settings\Admin\Application Data файл 1.exe, он-же висит в автозапуске и после удаления записи она восстанавливается.
Короче, ктото всё это генерачит, а вот кто, выяснить не могу.

Спасибо.

Уважаемый(ая) [B]Alexey_75[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=4905]- Системное восстановление[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\1.exe');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
QuarantineFileF('C:\Windows\','svchost.exe', true,'',0 ,0);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Gcqkqq.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Daqkqn.exe','');
QuarantineFile('c:\documents and settings\admin\application data\1.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Gcqkqq.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\1.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Daqkqn.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gcqkqq');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','PService');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PService');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daqkqn');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wscsvc','Start', 2);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

Установите нормальную системную дату!

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])


- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

Файл сохранён как 120221_183937_Quarantine_4f43e4e95937a.zip
Размер файла 400342
MD5 925b5a2db09bf7114f537c6668c3b9d7

новые логи готовятся. На антивиры уже заходит. Всё равно просит подтвердить сертификаты. И появилась новая проблема. После выполнения скрипта лечения - пропала панель задач с треем. Её просто нет. Десктоп с содержимым на прежнем месте. explorer.exe тоже на месте.

Панель задач уже вернул на место.
готовится лог MBAM, затем сделаю RIST

Готов лог МВАМ, только сохранять он его не хочет! пришлось сделать printscreen.

RSIT лог готов.

+ [URL="http://virusinfo.info/showthread.php?t=115256"]сделайте лог RSIT [/URL] за последний месяц.

[size="1"][color="#666686"][B][I]Добавлено через 42 минуты[/I][/B][/color][/size]

real spy monitor сами устанавливали ? Что происходит при нажатие на кнопку сохранить отчёт ?
здесь его тоже нету ?
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

+ что за странная папка состоящая из одних нулей в программ файлс ? ;)

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
end;
end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]

[COLOR="#0000FF"]fystemRoot.log[/COLOR] из папки AVZ прикрепите
+ новый лог [COLOR="#0000FF"]virusinfo_syscheck.zip [/COLOR]

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

+ исправьте наконец дату в компьютере :)

real spy monitor не устанавливал.
при нажатии на "сохранить отчёт" открывается окно сохранения, но лога в виде блокнота просто нет. После "типа сохранения" по адресу его тоже нет.
в програм файлс папка с нулями - там линки к НТС-утилитам.
Ну отстают ровно на год, ничё страшного! Батарейку менял, видать, в БИОСЕ промахнулся. :)
ЗЫ: по прежнему запрашивает сертификаты.

2 regist, щас переделаю.
готово. в аттаче свежие.
правда, обещаного рестарта небыло :)

Перезагрузите компьютер и ещё раз повторите лог virusinfo_syscheck.zip

[quote="Alexey_75;870085"]Ну отстают ровно на год, ничё страшного! Батарейку менял, видать, в БИОСЕ промахнулся.
ЗЫ: по прежнему запрашивает сертификаты.[/quote]
проблема с сертификатами скорей всего была связана именно с неверной датой.

что сейчас с проблемой ?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

[quote="Alexey_75;870085"]real spy monitor не устанавливал.[/quote]
в установке удаление программ как понимаю его тоже нет? ;)
Если он установлен у вас против вашего согласия, то для его удаления

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Program Files\Real Spy Monitor','*', true,'',0 ,0);
DeleteFileMask('C:\Program Files\Real Spy Monitor','*',true);
DeleteDirectory('C:\Program Files\Real Spy Monitor');
ExecuteWizard('TSW',2,3,true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip[/color])

Да, я както не подумал.
Проблема с сертификатами была именно из-за времени.
Визуальных проблем больше нет.

Сделайте поиск в реестре следующего параметра

[CODE]C:\WINDOWS\C:\WINDOWS\System32\svchost.exe[/CODE]

ветки где он будет экспортируйте и прикрепите к своему сообщению.

в предыдущем посте написал скрипт для удаления Real Spy Monitor если он вам не нужен, но сначала попытайтесь удалить через установку удаление программ.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

ЗЫ. поиск в реестре удобно делать через AVZ:
Сервис - Поиск данных в реестре.

Поиск выполнил и так и так. Данных, удовлетворяющих условию, не обнаружено. просмотрено ключей over100К. :)
Real Spy Monitor без проблем удалился собственным унинсталлером.

Еще один поиск через AVZ сделайте
Поиск в реестре [B]wscsvc[/B]

Если найдется, то отметить, и нажать внизу кнопочку: создать reg-файл

Файл выложите сюда.

+ по скольку на вашем компьютере был установлен шпион, то рекомендую сменить все пароли.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\gcqkqq.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.7258096, AVAST4: Win32:Kryptik-HLV [Trj] )[*] c:\\documents and settings\\admin\\application data\\1.exe - [B]Trojan.Win32.Buzus.lahe[/B] ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.Generic.7258096, AVAST4: Win32:Kryptik-HLV [Trj] )[/LIST][/LIST]