Комьютер заражён!

Как я понял в мой компьютер попал вирус Sality.at , после этого диспетчер выключился и в антивирусник не мог зайти ( выкидовала) , после того как я смог включить диспетчер задач я по завершал пару процессов и антивирусник начал работать ( мой антивирусник : Avira AntiVir Personal ) и я начал проводить проверку он нашёл более 50 вирус => перезапустил РС и сново проверил и опять вирусы но уже более 20 Ну и в результате после нескольких таких попыток Авира лучше не стало, компьютер стал медленее , интернет работает после включения РС около 5-10 минут, .exe не открывает или открывает но потом ошибку выдаёт.
Жду ответа, прошу как можно быстрей...

Уважаемый(ая) [B]арман174[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
O2 - BHO: Mario Forever Toolbar - {707db484-2428-402d-afb5-d85b387544c7} - C:\Program Files\Mario_Forever\tbMari.dll (file missing)
O3 - Toolbar: Mario Forever Toolbar - {707db484-2428-402d-afb5-d85b387544c7} - C:\Program Files\Mario_Forever\tbMari.dll (file missing)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\ICQ7.5\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\ICQ7.5\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\x');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(10);
ExecuteRepair(17);
BC_DeleteSvc('amsint32');
BC_ServiceKill('pmegfghyx');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=117147[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Пофиксите в HijackThis не получилось... выдаёт ошибку ия решил сделать по частям , сделал первые две строки и после этого он остальное не нашл чтоб я галочку поставил,
Скрипт в AVZ сделал.
PC до сих пор не исправен.

Логи AVZ старые

Прошу прошения, вот новое.

Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(6);
ExecuteRepair(10);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).

Какие проблемы остались?

Заметных разниц не видно, компьютер по прежнему медленно работает. и интернет выключается

up uuuppp прошу о помощи...

В логах больше ничего плохого не видно.

жаль=( что не получилось помочь , но по прежнему интернет работает только 5-10 мин после включения и притормаживает компьютер, И ошибки выдает=( Но всё равно спасибо за попытку(

[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].

ожидаю ответа

[URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM[/URL]:
[CODE]HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Application Data\archsoft (Trojan.Agent) -> Действие не было предпринято.

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\70YFNK78\gvzqh[1].gif (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\70YFNK78\jvmhyz[1].jpg (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\70YFNK78\ltzq[1].jpg (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\70YFNK78\ruwzawz[1].bmp (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CAWWQMSM\azovuk[1].gif (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\CAWWQMSM\ddtpwj[1].gif (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KMJOMHKO\wehmfmup[1].bmp (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\KMJOMHKO\xkar[1].gif (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MC0LCNLA\ecsxla[1].bmp (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MC0LCNLA\tall[1].jpg (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\MC0LCNLA\xwzlpcn[1].jpg (Extension.Mismatch) -> Действие не было предпринято.

C:\Documents and Settings\Admin\Application Data\archsoft\rubashka.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\a.htm (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\bander.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\dir.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\dot.gif (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\logo.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\logo2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\scroll.css (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\wfont.ttf (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\xsendexe.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel2.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel3.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel4.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel5.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel6.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel7.png (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\archsoft\_todel8.png (Trojan.Agent) -> Действие не было предпринято.[/CODE]

[B]D:\ЗАРА\Fruit Ninja HD\TDU.exe[/B] знакомо?

ну да вроде бы знакомо .
Большое спасибо что теперь вроде бы не выключается...
но компьютер очень медленно работает с чем это связанно? и плюс когда перезагрузил компьютер Перед приветствием но после загрузки вышла какая то ошибка странная я нажал ОК и вошёл в систему...

[quote="арман174;872293"]вышла какая то ошибка странная я нажал ОК и вошёл в систему...[/quote]
один раз вышла или теперь всегда выходит?

Повторите MBAM.

Всех благодарю за то что помогали я вообщем доволен и уверен если бы ещё старался смогли бы восстановить компьютер, но решил упростить себе задачу и пере установил винду,
Всем Спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\x - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow.based, BitDefender: Win32.Worm.Downadup.Gen, NOD32: Win32/Conficker.AL worm, AVAST4: Win32:Confi [Wrm] )[/LIST][/LIST]