Букет вирусов

Здравствуйте,

Помогите, пожалуйста, избавиться от странностей на компьютере.

Они начали проявлять себя после того как домой была принесена подозрительная флешка. Стоял антивирус avast. Он определил, что на флешке есть подозрительный файл. Название начиналось со слова recycler, затем длинное сочетание символов. В тот момент внимание на это не обратили, поскольку доверяли владельцу флешки. После этого на всех флешках и дисках, которые мы формотировали на компьютере появлялся подобный файл (recycler), а также autorun.inf. Avast перестал обновляться - пришлось его удалить. Пропобовали установить другие антивирусы, но ничего не получилось. Либо не можем открыть сайты антивирусных программ либо не запускается файл установки антивируса.
Удалось просканировать компьютер с помощью диска mini cd drweb. Он обнаружил три вируса: Trojan.killFiles.990, Win32.HLLW.Shadow.bases и DLOADER.Trojan. В каких файлах они были внимание не обратили. А файлы удалили с помощю того же mini cd drweb. Однако после этого изменений не произошло. Удалось установить антивирус Avira, но у него не обновлялась база и не запускалась система защиты. На флешки также продолжает копироваться recycler. Когда начались все эти беды с вирусами, также перестали запускаться некоторые из уже ранее установленных программ - никакой реакции на нажатие exe файла.

Следуя вашим инструкциям, в безопасном режиме drweb cureit ничего не нашел. А AVP tool не смогли скачать - ссылка не работала.
AVZ не запустился. Также не заработал и полиморфный AVZ.
Удалось установить и запустить HiJackThis - лог приложен.

Спасибо.

Проверьтесь [url]http://support.kaspersky.ru/viruses/solutions?qid=208636943[/url]

А что делать, если данный сайт не работает? т.е. не открываются ссылки, ничего не скачивается?

Brothers13

Утилита во вложении

thyrex,
программа что-то отсканировала, удалила 1 файлик и 1 запись в реестре, как сделать лог или записать все - не знали, поэтому не записали.. после этого вроде все заработало! и сайты, и программа avz - даже антивирус avira удалось скачать и установить...
теперь нужно логи из avz сделать?

вот логи

Все пароли смените как можно быстрее

Пофиксите в Hijack
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O20 - AppInit_DLLs: winmm.dll[/CODE]

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]gmer[/URL]

thyrex,
а пароли нужно менять все в Интернете или в windows и почте (thebat!) - тоже?

Новые логи приложены.
А еще после чистки компьютера от вирусов avz, утилитой kateskiller, обнаружилась новая проблема при загрузке флешок, дисков и подключении usb (сканер и т.п.) - скрин в приложении (1.jpg)

Сохраните текст ниже как cleanup.bat в ту же папку, где находится wepqdzbw.exe (gmer)

[CODE]wepqdzbw.exe -del service ssngwbx
wepqdzbw.exe -del file "C:\WINDOWS\system32\dmpczd.dll"
wepqdzbw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ssngwbx"
wepqdzbw.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ssngwbx"
wepqdzbw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ssngwbx"
wepqdzbw.exe -reboot[/CODE]

И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer

текстовый файл с таким названием не стал запускаться и что-то делать, поэтому сделали так как указано в инструкции в форуме для [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL].
Вот новый лог gmer

[QUOTE='Brothers13;555920']текстовый файл с таким названием не стал запускаться и что-то делать[/QUOTE]
При сохранении надо выбирать "Тип файла--Все файлы"
В логе чисто, зачистим кое-что, выполните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('3041d03e-fd4b-44e0-b742-2d9b88305f98');
DeleteFilemask('C:\Program Files\AskBarDis','*.*', true);
DeleteDirectory('C:\Program Files\AskBarDis');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Что с проблемой?

скрипт выполнили в avz. изменений с возникновением ошибки не произошло - возникает при включении флешки (диска) и при отключении.

Посмотрите в Диспетчере устройств, если появилось новое оборудование--удалите его, затем обновите конфигурацию оборудования.

И вот это попробуйте

Выполните скрипт в AVZ
[code]begin
ExecuteREpair(19);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

К сожалению, после указанных действий ничего не изменилось...:unsure:

Сделайте лог MBAM.

лог приложен

Удалите в MBAM
[CODE]Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{be83c3b6-0f77-436c-88b1-a56124a743cb} (Password.Stealer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{be83c3b6-0f77-436c-88b1-a56124a743cb} (Password.Stealer) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
[/CODE]
Сделайте лог MBAM

Выполните следующее:
1. кнопка Пуск - Выполнить ввести cmd нажать Enter;
2. ввести chkdsk c: /r /f нажать Enter. Выскочит сообщение вида:"Невозможно выполнить команду chkdsk ......"
Нажмите клавишу Y;
3. введите exit затем нажать Enter;
4. перезагрузите ПК, во время перезагрузки будет выполнена проверка и исправление ошибок.

сделали все, как написано. Лог приложен.
После этого правда ничего не изменилось, однако проблему похоже нашли - после удаления утилитки panda usb vaccine - ошибка исчезла :0)

подскажите еще пожалуйста какие пароли нужно менять? только в интернете? или в thebat тоже?
больше по логам никаких проблем не видно?

[QUOTE='Brothers13;558089']подскажите еще пожалуйста какие пароли нужно менять? только в интернете? или в thebat тоже?[/QUOTE]
Для надежности смените все пароли.
Еще вызывает сомнение данный файл C:\Program Files\WebMoney Advisor\[B]tbhelper.dll[/B]
Вот что написано по этому плагину[QUOTE][URL="Создается впечатление, что помимо заявленного функционала, WebMoney Advisor также выполняет роль шпиона. Я вобщем не против использования в статистике логов моих перемещений, но если об этом не заявлено открыто, то наводит на нехорошие мысли. Каспер постоянно ругается на попытку отправки конфиденциальной информации, а браузер сильно тормозит."]Создается впечатление, что помимо заявленного функционала, WebMoney Advisor также выполняет роль шпиона. Я вобщем не против использования в статистике логов моих перемещений, но если об этом не заявлено открыто, то наводит на нехорошие мысли. Каспер постоянно ругается на попытку отправки конфиденциальной информации, а браузер сильно тормозит.[/URL]
[URL="http://wmadvisor.blogspot.com/2008/04/webmoney-advisor.html"]http://wmadvisor.blogspot.com/2008/04/webmoney-advisor.html[/URL][/QUOTE]
Лучше удалить.