Вирус nissan.exe

Добрый день!
При загрузке компьютера и при подключении к интернету появляется фаерфокс и ещё какие-то процессы. На флэшках создаются файл autorun.inf и и другие файлы. В диспетчере висит процесс nissan.exe. Перестал перезагружаться компьютер - только кнопкой.
Чистил и каспером и вэбом - оба нашли по парочке вирусов.
Заранее спасибо.

Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-7147979724-0406718650-614793610-0697\nissan.exe','');
QuarantineFile('C:\Documents and Settings\ОЛЕГ\ОЛЕГ.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-7147979724-0406718650-614793610-0697\nissan.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте еще такой лог:
[url]http://virusinfo.info/showthread.php?t=40118[/url]


Сделайте новые логи.

файл карантина загрузил.
при выполнении логов выскакивало сообщение, что програмки, выполняющие проверку повреждены, причём все 3.
перезагрузка снова не выполняется.

убрал gmer с диска С и сообщение об ошибке больше не выскакивает/

[size="1"][color="#666686"][B][I]Добавлено через 45 минут[/I][/B][/color][/size]

после принудительной перегрузки выводит сообщение: RCINT failure. String table ID not found. 42 at line 41.
пару раз нажимаю эскейт и загружается с правами пользователя.

[size="1"][color="#666686"][B][I]Добавлено через 49 минут[/I][/B][/color][/size]

[size="1"][color="#666686"][B][I]Добавлено через 1 час 13 минут[/I][/B][/color][/size]

уже не работает диспетчер и не включается перезагрузка.

Просканируйте ПК Куреитом (др.Веб), затем AVPTool. После сканирования сделайте новые логи.

спасибо!
проверил обеими антивирусами и был обнаружен всего один вирус.
в awz обнаружена подмена диспетчера задач и подозрение на троян в файле ntshrui.dll
комп перегружается только кнопкой, диспетчер задач невозможно вызвать.
с помощью диспетчера awz обнаружил два подозрительных(для меня) процесса - winlogon.exe и logonui.exe
сделал новые логи.

после принудительной перегрузки продолжает выводить сообщение: RCINT failure. String table ID not found. 42 at line 41

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\ayt69onr.SYS','');
QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
QuarantineFile('c:\windows\system32\logonui.exe','');
QuarantineFile('C:\WINDOWS\SystemRoot\C:\WINDOWS\System32\svchost.exe','');
QuarantineFile('C:\Documents and Settings\ОЛЕГ\ОЛЕГ.exe','');
BC_ImportAll;
Executerepair(6);
Executerepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteSysClean;
BC_Activate;
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.

+ к [B]shapel[/B]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится l8d7vtp3.exe (gmer)
[CODE]l8d7vtp3.exe -del service hsdhbuk
l8d7vtp3.exe -del service vfxiww
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vfxiww"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\hsdhbuk"
l8d7vtp3.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\vfxiww"
l8d7vtp3.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

[B]shapel[/B], карантин загружен.

Карантин чистый, сделайте контрольный лог Gmer.

создал cleanup.bat и компьютер перегрузился.
сделал лог gmer.
при сканировании и awz, и gmer выскакивает сообщение, что экзешный файл выполняемой программы повреждён - мол, выполните проверку скандиском для исправления.
при перезагрузке осталась ошибка RCINT failure. String table ID not found. 42 at line 41.
спасибо Вам!

Логи-то где?

извините, был превышен лимит мегабайт на загрузку, удалил ненужные и залил.

В логе gmer чисто

лог gmer в безопасном сделал, но сохранить не смог - не хватает экрана и не видна кнопка сейва))) разрешение не меняется и прога не растягивается(((

с nissan.exe мы разобрались и диспетчер появился, спасибо.

но комп не перезагружается, уже и не помагает cleanup.bat. и ошибка при загрузке осталась - RCINT failure. String table ID not found. 42 at line 41.
ещё будут предложения?

в чём ещё может быть проблема?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 53 минуты[/I][/B][/color][/size]

диспетчер снова не работает...

Сделайте комплект логов, + лог MBAM.

спасибо Вам за терпение!
провёл полную проверку каспером и вэбом с максимальными настройками - обнаружено около 130 зловредов, причём почти все с одним именем(вирус Virus.Win32.Neshta.а), но в разных папках и файлах.
сделал новые логи.
MBAM обнаружил больше 20 заражений, из них Worm.Autorun самый распостранённый.
с нетерпением жду ответа:)

кстати, есть ли скрипт для avz на перезагрузку компа?...а то от принудительных перезагрузок кнопкой появляются ошибки о повреждённых файлах.

Удалите в MBAM следующее:
[CODE]Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\firstinstallflag (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.
C:\RECYCLER\S-1-5-21-4994939827-8660285897-319514478-2373\nissan.exe (Worm.Autorun.B) -> No action taken.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\internet.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
C:\Documents and Settings\ОЛЕГ\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
[/CODE]
Сделайте контрольный лог MBAM.

после удаления файлов MBAM попросил подтвердить перезагрузку для завершения удаления, но перезагрузка не произошла и пришлось кнопкой.
ошибка при загрузке осталась - RCINT failure. String table ID not found. 42 at line 41.
выключение и перезагрузка не происходят.

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Инстал\FineReader\FineReader Pro v9\fix_fr_9_NoPE.exe','');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).

спасибо!
карантин выслал.
две проблемы ещё в силе.
подозрителен процесс logonui.exe. он, и эти две проблемы, появились после загрузки в безопасном режиме(для теста gmer) и выбора учётной записи(из администратора и имени пользователя) пользователя.
как это может быть связано?

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

ой беда! последний скрипт стёр все ссылки во всех браузерах...(((

[QUOTE='pomasannik1;543421']ой беда! последний скрипт стёр все ссылки во всех браузерах...((( [/QUOTE]
Это я виноват, надо было предупредить, чтобы сделать резервные копии.
Извините за причиненные неудобства. Файл который Вы прислали отправлен на анализ.
Ждем вердикта.

да ладно, бывает)
жду с нетерпением!

[size="1"][color="#666686"][B][I]Добавлено через 51 минуту[/I][/B][/color][/size]

процесс logonui.exe появляется только после того, как я пытаюсь выполнить перезагрузку или выключение.
может вирус повредил учётную запись?

Файл чистый.
[QUOTE]процесс logonui.exe появляется только после того, как я пытаюсь выполнить перезагрузку или выключение.
может вирус повредил учётную запись? [/QUOTE][QUOTE][COLOR=#000000][/COLOR] Если активен новый стиль экрана приветствия, то для его отображения запускается [COLOR=#000000]процесс[/COLOR] "logonui.exe". [/QUOTE]
Что с проблемой?

всё по прежнему...

[QUOTE=shapel;544367] Если активен новый стиль экрана приветствия, то для его отображения запускается процесс "logonui.exe".[/QUOTE]

то есть, если стиль экрана старый, то "logonui.exe" не должен появляться?
а возможно ли убить\удалить этот процесс?

Попробуйте такой вариант: Пуск-- Панель управления--Учетные записи пользователей--Изменение входа пользователей в
систему--Использовать страницу приветствия (отмечаем)--Применение параметров.

проверил, уже отмечено(((

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 43 минуты[/I][/B][/color][/size]

может создать новую учётную запись и удалить старые?
и влияют ли учётные записи на перезагрузку?

Опишите подробнее проблему.

ок.

1. не выключается и не перезагружается комп, ни из меню Пуск, ни из диспетчера - только кнопками на системнике.
комп никак не реагирует, только после попытки перезагрузки\выключения в диспетчере появляется процесс "logonui.exe".

2. при загрузке Виндовса всё нормально до момента появления приветствия Виндовса(до момента, когда нужно выбрать под какой учётной записью заходить).

затем появляется окошко "RCINT failure. String table ID not found. 42 at line 41", после нажатия эскейта или энтера 10 раз выскакивает окошко учётной записи пользователя(в данном случае ОЛЕГ), которая без пароля - нажимаю Ок и всё загружается.

3. при попытке смены учётной записи пользователя через диспетчер то же самое - выскакивает ошибка RCINT.

эти проблемы появились после загрузки в безопасном режиме(для теста gmer) и выбора учётной записи(из администратора и имени пользователя ОЛЕГ) пользователя ОЛЕГ.
до этого Виндовс загружался автоматически, не предлагая выбрать учётную запись. все проблемы начались после безопасного режима.
спасибо!

Попробуйте такой варинт:
вставляетев CD-ROM инсталляционный диск с операционной системой.
Запускаете из командной строки: Пуск-Выполнить-cmd - sfc /scannow

к сожалению сейчас нет в наличии этого диска...
а что выполняет эта комманда? ничего не повредит\удалит в данных?
нельзя для этого воспользоваться диском аварийного восстановления доктора Вэба?

Исправляет найденные ошибки.

нужен диск именно от этого виндовса? или подойдёт любой XP-шный?

обнаружил ещё проблемы:
- создал новую учётную запись и попробовал зайти под ней - не вышло. при загрузке Виндовс не даёт выбрать из нескольких учётных записей, просто выскакивает ошибка, а затем старая учётная запись;

- попробовал поменять пользователя из пуска - появилось окошко учётной записи, ввёл имя и пароль, но после нажатия Ок снова выскочила старая учётная запись;

- зашёл в панель управления в учётные записи - нет ни новой созданной, ни старой Гость. как они удалились?

*ещё раз проверил все диски двумя антивирусами(чисто);
*исправил системные ошибки диска С встроенной служебной программой;
*сделал новые логи AWZ, Hijackthis и MBAM;
*при попытке сделать лог Gmer сообщает об ошибке "error 0x0000061: отказано в доступе".

посмотрите пожалуйста!

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.[/CODE]
Скачайте LiveCD и запишите как образ на диск. Просканируйте ПК.
Попробуйте сделать лог Gmer, а также сделайте логи АВЗ.
Скачивать и записывать LiveCD надо на чистом ПК.

1.LiveCD скачать с сайта доктора Вэба? просканировать антивирусами?
2.если записать как образ, будет ли потом распознан виндовсом?

[QUOTE=pomasannik1;545457]1.LiveCD скачать с сайта доктора Вэба? просканировать антивирусами?
2.если записать как образ, будет ли потом распознан виндовсом?[/QUOTE]
1. Да, в LiveCD есть сканер (антивирус);
2. Вставляете диск в CD-ROM и загружаетесь, предварительно в БИОСе выбрать загрузку с CD-ROM. Виндовсом не будет распознан, т.к. Вы загрузитесь с портативной ОС.

компьютер нужно отсканировать антивирусами(сделать чистым ПК) и записать LiveCD, чтобы потом с помощью этого LiveCD исправить ситуацию с учётными записями и перезагрузкой?
или скачать LiveCD, чтобы уже им просканировать комп?
извините за ботство)))