Помогите пожалуйста!

нод32 выдаёт сообщение о том что адрес заблокирован через каждые 5 мин. и ссылка на айпи адрес 91.207.4.146/spm/.......
сам нод32 вирусов не обнаруживает:(
решила почистить avz4 и получила следующее

[code]1. Поиск RootKit и программ, перехватывающих функции API
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
>>>> Подозрение на маскировку файла процесса: c:\windows\explorer.exe:userini.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08B520)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80562520
KiST = 804E48D0 (284)
Функция NtOpenProcess (7A) перехвачена (80581702->81BE5CB0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtOpenThread (80) перехвачена (805E1941->81BE60D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtSuspendProcess (FD) перехвачена (80637717->81BE66D0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtSuspendThread (FE) перехвачена (80637633->81BE64F0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtTerminateProcess (101) перехвачена (8058E695->81BE5EE0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Функция NtTerminateThread (102) перехвачена (805838E7->81BE6310), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика уже нейтрализован
Проверено функций: 284, перехвачено: 6, восстановлено: 6
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 001450D8
Disable callback OK
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 52
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
c:\windows\explorer.exe:userini.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Количество загруженных модулей: 502
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 8 TCP портов и 14 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> Подозрение на маскировку ключа реестра службы\драйвера "hksktqthp"
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена[/code]

надеюсь только на вас, спасибо!

Да, зловред виден, но -
Нам нужны логи по правилам:
[url]http://virusinfo.info/showthread.php?t=1235[/url]

Сделайте пожалуйста и приложите в теме.

[QUOTE=Nikkollo;589668]Да, зловред виден, но -
Нам нужны логи по правилам:
[url]http://virusinfo.info/showthread.php?t=1235[/url]

Сделайте пожалуйста и приложите в теме.[/QUOTE]

добавила

Да не этот. Я же дал вам ссылку выше на правила.
(базы AVZ там обновить не забудьте).

Надеюсь на этот раз то

этот вирус удаляет информацию обо мне на моей стр. в контакте,дублирует одни и теже фразы по 50 раз в информации о себе....что делааааать?!:dash1::sos:

virusinfo_cure.zip уберите из вложений!

[B]Отключите Восстановление системы.[/B]
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Пофиксите в HijackThis:
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
[/CODE]

Выполните скрипт в AVZ:
[CODE]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030306.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030246.exe:userini.exe:$DATA','');
QuarantineFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0029373.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\014D4.tmp','');
DeleteFile('C:\WINDOWS\system32\014D4.tmp');
DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0029373.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030246.exe:userini.exe:$DATA');
DeleteFile('C:\System Volume Information\_restore{507A5157-E87A-48F6-AB47-2A89D457C19D}\RP67\A0030306.exe:userini.exe:$DATA');
DeleteService('mofgeymf');
AddToLog(inttostr(BC_ServiceKill('hksktqthp')) );
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
[url]http://virusinfo.info/showthread.php?t=40118[/url]
и приложите его в теме.

Файл avz_log.txt из папки AVZ приложите в теме.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".


не могу прислать, пишет
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Значит не надо.

Слелайте остальные логи и приложите в теме.

Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
[url]http://virusinfo.info/showthread.php?t=40118[/url]
и приложите его в теме.

вот это вобще не могу сделать, ни в какую,из-за gmer зависает компьютер, пыталась раз 5...:(((

в общем ничего не меняется,не смотря на то что выполнила несколько скриптов, но т.к. система категорически отказалась делать лог gmer, наверно что-то пытаться деалть уже бесполезно:(

Попробуйте сделать лог gmer при отключенном антивирусе.

Это ваша настройка проски?
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru[/CODE]

[QUOTE=Nikkollo;590201]Попробуйте сделать лог gmer при отключенном антивирусе.

Это ваша настройка проски?
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru[/CODE][/QUOTE]

если бы я знала как определить-моя или не моя?:(

мне фраза настройка прокси ни о чем не говорит:(

Пофиксите, всё равно прокси не используется.

Попробывала сделать лог gmer при отключенном антивирусе.
Сканировала систему больше 3х часов в итоге компьютер выключился,сам включился и появилось окно-система восстановлена после серьезной ошибки:(

Выполните в AVZ скрипт из файла [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите к этой теме файл avz_log.txt из под-папки [b]log[/b].

выполнила

Установите Adobe Acrobat Reader 9.3 или удалите старый.
[QUOTE='helen87;590020']этот вирус удаляет информацию обо мне на моей стр. в контакте[/QUOTE]Пароль для входа в "контакт" поменяйте.
Какие остались проблемы?

ну я сама это в логе прочитала;)

всё равно какая-то фигня творится:(в общем создам логи по правилам и приложу, перехватчик какой-то не убрался...:O

какая-то фигня теперь: когда вставляешь флешку не появляется окно автозапуска-какое действие следует выполнить?:(пробывала свойства-автозапуск, не помогло:(
ещё перед запуском виндоус: черный экран и синее окно, выполнить скрипт,и так иероглифы,квадратики какие то, и ОК, жму ОК и только тогда запускается...

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
ExecuteRepair(6);
DeleteService('nod32p');
SetServiceStart('nod32p', 4);
DeleteService('mofgeymf');
QuarantineFile('C:\WINDOWS\system32\014D4.tmp','');
DeleteFile('C:\WINDOWS\system32\014D4.tmp');
DeleteFile('C:\WINDOWS\system32\nod32p.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Если не поможет, скажите, в синем окне имена файлов есть?