В процессах появляются левые exe-шки.

Здравствуйте!
Была такая проблема, в процессах появлялись левые exe-шки, например три какие-то йифты и точка exe (281.exe), убиваешь его, через некоторое время опять такой же процесс, и уже другие три цифры точка exe. Или же появляется lsass.exe запущенный от имени пользователя, а не от SYSTEM, который не убивается, Винда говорит что он критический и поэтому убить нельзя. Или же также появляются левые процессы из бессмысленного набора букв, например userini.exe или 5jjfwvx.exe и подобные, которые после убивания снова возрождаются. НОД32 на них не обращает внимания.
Переставлял Винду XP с полным форматированием жёсткого диска, только вставил флэшку проверил НОДом, ничё тот не сказал, я левые файлы с флэшки удалил, которые были остатками вирусов...но...история сразу же повторилась...при выполнени воманды Пуск -> Выполнить и ввода msconfig в автозагрузке штук 8 процессов с бессмысленным набором букв и точка exe. Снимал галки с этих авторанов, и в обычном режиме, и в безопасном - безуспешно. Так же наткнулся на файл msgvn.exe с иконкой в виде красного сердечка, который не удаляется, есть подозрения что это Trojan.Downloader какой-то...в общем не знаюю...
В общем помогите чем можете, логи прилагаю.
Заранее спасибо за поддержку.

Здравствуйте.

Файл virusinfo_cure.zip уберите из вложений и загрузите его по красной ссылке вверху темы "Прислать запрошенный карантин".

Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Отключите Восстановление системы.
Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

-------------------------

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\v9riy6kqgrc.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\v71miit2ufa.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\tezufgh5yo.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\m861up0835n.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\klgbrxie.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\iyuvggbr.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\bgm323u5v2.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\75u3a81.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\70w1m86.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\5jjfvwx.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Application Data\ehgey.exe,C:\Documents and Settings\Hitman\msgvn.exe,explorer.exe,C:\RECYCLER\S-1-5-21-1266183363-8934788576-817575075-6741\yv8g67.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Application Data\ehgey.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\msident.dll','');
QuarantineFile('C:\WINDOWS\system32\inetres.dll','');
QuarantineFile('C:\WINDOWS\system32\acctres.dll','');
QuarantineFile('c:\docume~1\hitman\locals~1\temp\799.exe','');
QuarantineFile('c:\docume~1\hitman\locals~1\temp\654.exe','');
QuarantineFile('c:\docume~1\hitman\locals~1\temp\380.exe','');
DeleteFile('c:\docume~1\hitman\locals~1\temp\380.exe');
DeleteFile('c:\docume~1\hitman\locals~1\temp\654.exe');
DeleteFile('c:\docume~1\hitman\locals~1\temp\799.exe');
DeleteFile('C:\Documents and Settings\Hitman\Application Data\ehgey.exe');
DeleteFile('C:\Documents and Settings\Hitman\Application Data\ehgey.exe,C:\Documents and Settings\Hitman\msgvn.exe,explorer.exe,C:\RECYCLER\S-1-5-21-1266183363-8934788576-817575075-6741\yv8g67.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\5jjfvwx.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\70w1m86.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\75u3a81.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\bgm323u5v2.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\iyuvggbr.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\klgbrxie.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\m861up0835n.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\tezufgh5yo.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\v71miit2ufa.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка\v9riy6kqgrc.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
DeleteFile('C:\WINDOWS\system32\userini.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
BC_ImportAll;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.
(скрипт может выполняться несколько минут, дождитесь перезагрузки)
--------------------------

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

--------------------------
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите пункт "Диагностика" правил и приложите получившиеся логи в теме.

Карантин загрузил, не знаю куда он загрузился, не могу найти в данной теме, но страница написала, что файл успешно загружен под таким названием: 100820_194016_quarantine_4c6ea1e001ae5.zip
Логи после выполнения обоих скриптов приложил.
Заметно исчезли все левые процессы. Все. Но файл в C:\Documents and Settings\Hitman\msgvn.exe так и лежит...настораживает...
Ещё что-то делать?
Спасибо.
P.S.: Буквально сейчас ещё выскочило предупреждение от NOD32 4 на файл C:\WINDOWS\system32\Drivers\NDIS.sys и говорит что это Win32/Protector.Gen virus

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Hitman\msgvn.exe','');
QuarantineFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка-\70w1m86.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
DeleteFile('C:\Documents and Settings\Hitman\msgvn.exe');
DeleteFile('C:\Documents and Settings\Hitman\Главное меню\Программы\Автозагрузка-\70w1m86.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

C:\WINDOWS\system32\Drivers\NDIS.sys замените чистым с [B]дистрибутива[/B] [url]http://virusinfo.info/showthread.php?t=51654[/url]

Сделайте новые логи

Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]

Спасибо за ответ.
Значит так. Ваш скрипт выполнил, компьютер перезагрузился.
Затем попытался обновить файл карантина. Для этого я попытался выполнить скрипт из второго поста данной темы:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end
[/CODE]
AVZ написа мне сообщение "Скрипты выполнены без ошибок!". Но! В папке с AVZ файл quarantine.zip имеет [B]нулевой размер[/B], или если быть точным - 1кб, и при открыти данного архива файлов нет! То есть архив пуст.
Поэтому, думаю, нет смысла выкладывать пустой архив. Подскажите, пожалуйста, это нормально, что карантин пуст?
Так, дальше. Ну, логи AVZ и HIJackThis сделал, выложил.
Файл [B]C:\WINDOWS\system32\Drivers\NDIS.sys[/B] заменить чистым с дистрибутива не получается. Запускался с мультизагрузочного лиска, с которого ставил мою настоящую систему, заходил в консоль восстановления, делал всё по выше указанной инструкции.
Вводил [B]cd d:\i386[/B]
Затем [B]dir ndis.sy*[/B]
Консоль говорила, что файл такой не найден. Я и [B]ndis.sys[/B] писал и [B]ndis.sy_[/B]. Не помогает. Хотя на самом деле если открыть вставленный диск с системой через проводник, то в [B]D:\I386\[/B] лежит файл [B]NDIS.SY_[/B]. Не знаю, почему консоль говорит, что его нет. Помогите может что-то не так делаю?
[B]Лог полного сканирования MBAM[/B] выложил. Надеюсь, тот, так как по переходе в [B]Пуск -> Выполнить[/B] и вводе [B]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/B], данная папка пуста. Но я самостоятельно сгенерировал отчет в папку с программой, по оканчанию сканирования (было найдено 15 инфицированных объкектов). Надеюсь всё верно сделано.
Спасибо за ответ.

Эти файлы
[QUOTE]C:\WINDOWS\system32\Drivers\NDIS.sys
C:\WINDOWS\system32\Drivers\ntndis.sys
C:\WINDOWS\system32\ipsecndis.sys[/QUOTE]запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Скачайте файл из вложения, распакуйте и замените файл простым копированием, загрузившись с LiveCD

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Зараженные файлы:
C:\Documents and Settings\Hitman\Application Data\ehgey.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Hitman\Local Settings\History\History.IE5\MSHist012010082120100822\index.dat (Trojan.Ddox) -> No action taken.
C:\RECYCLER\S-1-5-21-789336058-448539723-299502267-1004\Dc1.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\pss\5jjfvwx.exeStartup (Trojan.Ddox) -> No action taken.
C:\WINDOWS\pss\75u3a81.exeStartup (Trojan.Ddox) -> No action taken.
C:\WINDOWS\pss\bgm323u5v2.exeStartup (BackDoor.Refroso) -> No action taken.
C:\WINDOWS\pss\dttekqqwhdi.exeStartup (Trojan.Ddox) -> No action taken.
C:\WINDOWS\pss\tezufgh5yo.exeStartup (BackDoor.Refroso) -> No action taken.
C:\WINDOWS\pss\v9riy6kqgrc.exeStartup (Trojan.Ddox) -> No action taken.
C:\WINDOWS\pss\x0joaqgrd.exeStartup (Trojan.Ddox) -> No action taken.
C:\Documents and Settings\Hitman\Application Data\chrtmp (Malware.Trace) -> No action taken.[/CODE]

После выполнения указаний от thyrex:
Выполните скрипт в AVZ отсюда:
[url]http://df.ru/~kad/ScanVuln.txt[/url]
Файл avz_log.txt из папки AVZ\LOG приложите в теме.
Откройте этот файл в блокноте, пройдитесь по всем указанным ссылкам и установите все обновления.

Значит так:
Вы просили прислать 3 файла, запакованные в архив с паролем [B]virus[/B]. К сожалению, или к счастью, я не могу прислать все 3, могу прислать [B]лишь 1 - NDIS.sys[/B]. Так как двух других файлов вуказанных директориях я просто напросто не обнаружил. Файлы отправлены в карантин по ссылке вверху данного топика.
Файл [B]ndis.sys[/B] из вложения скачал, распаковал, скопировал с заменой данный файл в .[B]..\system32\drivers[/B] стандартными средствами (без Live CD). Заменился успешно. Но! Сразу же после этого действия NOD32 заругался на вирус ndis.sys, но уже не в папке [B]drivers[/B], а в папке [B]dllcache[/B]/ Удалять предложил, но я удалять не стал, жду указаний. Попробовал конечно заменить [B]ndis.sys[/B] файлом из Вашего вложения, и в папке [B]dllcache[/B], но не вышло, выдал ошибку, запрещено.
В [B]MBAM[/B] совершил повторное полное сканирование, все указанные Вами файлы удалил, кроме одного, вот этого:
[CODE]C:\Documents and Settings\Hitman\Local Settings\History\History.IE5\MSHist012010082120100822\index.dat (Trojan.Ddox) -> No action taken.[/CODE]
Лог после удаления прилагаю.
Дальше. Скрипт [B]ScanVuln.txt[/B] выполнил, обновления, которые он предложил не знаю, ставить или нет...так как вот в данный момент у меня на компьютере [B]происходит Windows Update[/B] всех файлов общим объёмом 218 Mb. Мне кажется, что Windows Update обновит и все те пункты, которые были перечислены в файле [B]avz_log.txt[/B]
Вроде всё, жду дальнейших указаний.
Спасибо за ответ.

Файл в папке dllcache тоже заражен. Его можно удалить, а потом на его место скопировать файл из папки system32

[QUOTE='sc110;692254']Мне кажется, что Windows Update обновит и все те пункты,[/QUOTE]Только те, что относятся к Windows. Три последние придется обновлять самостоятельно

Хорошо. Значит я дождусь завершения [B]Windows Update[/B]. Затем выполню оставшиеся, не относящиеся к [B]Windows Update[/B] пункты самостоятельно, но уже завтра.
Странно, только что зашёл в [B].../system32/dllcache/[/B] проверил файл [B]ndis.sys[/B] NOD32-ом, вирусов не обнаружил, странное поведения НОДа, сначала ругался, а теперь уже и не находит вирусов.
Подскажите, что-то ещё нужно сделать?

Лучше файл заменить

Хорошо.
Скопировал файл [B]ndis.sys[/B] из [B].../system32/drivers[/B] в [B].../system32/dllcache[/B] с заменой.
Что-то ещё сделать нужно?
Спасибо.

Еще раз логи AVZ для контроля

Хорошо.
Завтра сделаю все логи AVZ, HIJackThis и наверно даже ещё раз присканируюсь MBAMом и тоже выложу логи.
Вот ещё один вопрос оффтоп. Не проигнорируйте, пожалуйста.
Какой на Ваш опытный взгляд самый надежный антивирус? У меня на данный момент стоит ESET NOD32 четвертой версии, бесплатная 30-дневная версия. Есть идея поставить вместо него ESET Smart Security четвертой версии, с бесплатным левым сервером обновлений. Но не знаю, будет ли от этого безопасность моего компьютера выше.
Спасибо.

[QUOTE='sc110;692327']Какой на Ваш опытный взгляд самый надежный антивирус?[/QUOTE]Ни один разработчик антивирусных решений не дает 100% гарантии защиты

Ну это то понятно. Но вопрос остается вопросом. Что лучше ставить? Например, что у Вас стоит?

У меня лицензионный KIS 2010

Сразу прошу прощения за задержку. Обещал логи ещё вчера, но не успел, занят был. Поэтому выкладываю сегодня.
Значит выкладываю два стандартных лога [B]AVZ[/B] и один [B]HIJackThis[/B].
Производил повторное полное сканирование посредством [B]MBAM[/B]. В результате сканирования вирусов не было найдено, лишь два недочета, к сожалению не успел сохранить отчёт, так как программа ни с того ни с сего выдала неизвестную мне ошибку на англ. языке и сама вышла. Помню, что один из недочетов. которые были ею выявлены, это то, что [B]отключено автоматическое обновление Windows[/B]. Я и вручную неплохо обновлю.
Также повторно выполнял скрипт [B]df.ru/~kad/ScanVuln.txt[/B]. В результате его выполнения [B]AVZ[/B] написал, что недочётов не найдено, а файл [B]avz_log.txt[/B] даже был не создан.
Поставил [B]ESET NOD32 Smart Security[/B] с халявным ключом до января следующего года, обновился до сегодняшней версии антивирусной базу сигнатур.
Жду результата и возможных дальнейших указаний.
Спасибо.

Отключите интернет.
Выгрузите/отключите антивирус/файрволл.

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\program files\mail.ru\guard\guardmailru.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Запустите/включите антивирус/файрволл.
Подключите интернет.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

У вас заблокирован в файле hosts сайт vkontakte. Сами блокировали?

[QUOTE='Nikkollo;693413']У вас заблокирован в файле hosts сайт vkontakte. Сами блокировали?[/QUOTE]
Да? Нет, я сам ничего не блокировал. Хм. Но в контакт я спокойно выхожу, без проблем и замечаний.
Щас пришлю карантин.
[B][U]P.S.: Карантин успешно отправил по ссылке вверху страницы.[/U][/B]
Жду дальнейших указаний.