Фильтры-блокировки на virusinfo и сайты антивирусов

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 2, true);
DeleteService('mlicekpi6aa3ywy');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\7.tmp','');
QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\4.tmp','');
DeleteFile('C:\WINDOWS\system32\System.exe');
DeleteFile('c:\windows\system32\fyttaquy.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\2204.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\3743911.exe');
DeleteFile('C:\Documents and Settings\User\Application Data\yftza.exe');
DeleteFile('C:\WINDOWS\system32\fyttaquy.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

Попробовал передать архив в "Прислать запрошенный карантин", как это описано в приложении 3, - справа в "Файл-Просмотр карантина" выбрал все мои 2 файла для архивации в virus.zip (оба имеют название "?"). Создался архив. Я его попробовал отослать - получил сообщение "Результат загрузки -
Ошибка загрузки. Данный файл уже был загружен".
Вконце концов как я потом выяснил архив оказался пустым (4 кб).

Новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip)

-[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\gouquiloh.exe');
StopService('eeufrvoo');
StopService('ddnxscjm');
DeleteService('eeufrvoo');
DeleteService('ddnxscjm');
BC_DeleteSvc('eeufrvoo');
BC_DeleteSvc('ddnxscjm');
DeleteFile('J:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\ConfDriver.exe');
DeleteFile('J:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\kogoo.exe');
DeleteFile('c:\windows\system32\gouquiloh.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\ddnxscjm.sys');
ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки:
- Сделайте лог полного сканирования [url="http://virusinfo.info/showthread.php?t=53070"]MBAM[/url].

Лог MBAM "mbam-log-2010-07-13 (16-35-31).txt"

О этом логе шла речь? (Я правильный лог отправил?)

Скажите, пожалуста, это проблема уже решена? Или этот случай настолько безнадежен? А то я незнаю, что делать, ответа уже жду 3 дня и не могу разобратся, решена ли моя проблема уже (но помоему вирусами на компе еще попахивает). Может мне всё же придется переустанавливать систему? Или это уже всё нормально с ней, просто нужно еще раз проверить на антивирусе?

1. удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Зараженные файлы:
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\1FE758E9 (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\20800E40 (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\2083383D (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\208A0C36 (Trojan.Downloader) -> No action taken.
C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine\20940A2B (Trojan.Downloader) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00141.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00143.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-08\avz00144.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-11\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.30\avz.4\Quarantine\2010-07-11\avz00021.dta (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\winsvncs.txt (Malware.Trace) -> No action taken.
[/CODE]

2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\SecTaskMan\userini.exe.q_Quarantine_804DA00_q','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\307083.exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM10.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM12.tmp ','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM13.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM14.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM16.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM7.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM8.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9A.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMA.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMB.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMC.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMD.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TME.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\~TMF.tmp','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\3YPCG7KP\update[1].exe','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I0GP359C\update[1].exe','');
QuarantineFile('C:\Program Files\Borland\Delphi7\Projects\Project1.exe ','');
QuarantineFile('C:\WINDOWS\system32\GreenFields.scr','');
QuarantineFile('C:\WINDOWS\system32\augy.vko','');
QuarantineFile('C:\WINDOWS\system32\wbem\grpconv.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv011278399986.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv021278400048.exe ','');
QuarantineFile('C:\WINDOWS\Temp\wpv091278399804.exe ','');
QuarantineFile('C:\WINDOWS\Temp\wpv091278400420.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv121278399629.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv151278399728.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv361278399382.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv401278399429.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv581278399510.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv661278399382.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv751278400473.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv771278399858.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv841278400146.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv911278400197.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv971278400097.exe','');
QuarantineFile('C:\WINDOWS\Temp\wpv151278400375.exe','');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\307083.exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM10.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM12.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM13.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM14.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM16.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM7.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM8.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TM9A.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMA.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMB.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMC.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMD.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TME.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\~TMF.tmp');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\3YPCG7KP\update[1].exe');
DeleteFile('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\I0GP359C\update[1].exe');
DeleteFileMask('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
DeleteFile('C:\WINDOWS\Temp\wpv011278399986.exe');
DeleteFile('C:\WINDOWS\Temp\wpv021278400048.exe');
DeleteFile('C:\WINDOWS\Temp\wpv091278399804.exe');
DeleteFile('C:\WINDOWS\Temp\wpv091278400420.exe');
DeleteFile('C:\WINDOWS\Temp\wpv121278399629.exe');
DeleteFile('C:\WINDOWS\Temp\wpv151278399728.exe');
DeleteFile('C:\WINDOWS\Temp\wpv361278399382.exe');
DeleteFile('C:\WINDOWS\Temp\wpv401278399429.exe');
DeleteFile('C:\WINDOWS\Temp\wpv581278399510.exe');
DeleteFile('C:\WINDOWS\Temp\wpv661278399382.exe');
DeleteFile('C:\WINDOWS\Temp\wpv751278400473.exe');
DeleteFile('C:\WINDOWS\Temp\wpv771278399858.exe');
DeleteFile('C:\WINDOWS\Temp\wpv841278400146.exe');
DeleteFile('C:\WINDOWS\Temp\wpv911278400197.exe');
DeleteFile('C:\WINDOWS\Temp\wpv971278400097.exe');
DeleteFile('C:\WINDOWS\Temp\wpv151278400375.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]

polword, большое Вам спасибо за указания! Всё проделал, как оговаривалось. Карантин выслал. Логи AVZ, Hijackthis и MBAM прилагаю (virusinfo_syscure.zip так как нигде не упоминался я не отправлял).

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
QuarantineFile('c:\windows\explorer.exe:userini.exe','');
DeleteService('eeufrvoo');
DeleteService('mlicekpi6aa3ywy');
QuarantineFile('C:\WINDOWS\system32\kipufazug.exe','');
QuarantineFile('C:\WINDOWS\system32\kogoo.exe','');
TerminateProcessByName('c:\windows\temp\wpv921278400048.exe');
QuarantineFile('c:\windows\temp\wpv921278400048.exe','');
TerminateProcessByName('c:\windows\system32\fyttaquy.exe');
QuarantineFile('c:\windows\system32\fyttaquy.exe','');
DeleteFile('c:\windows\system32\fyttaquy.exe');
DeleteFile('c:\windows\temp\wpv921278400048.exe');
DeleteFile('C:\WINDOWS\system32\kogoo.exe');
DeleteFile('C:\WINDOWS\system32\kipufazug.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','deri');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','fymor');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini');
DeleteFile('c:\windows\explorer.exe:userini.exe');
DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Удалите в МВАМ
[CODE]Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fymor (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Dropper) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\fyttaquy.exe (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\Temp\wpv921278400048.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\explorer.exe:userini.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\userini.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\All Users\Application Data\SecTaskMan\userini.exe.q_Quarantine_804DA00_q (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wbem\grpconv.exe (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.34\avz434\avz434\Quarantine\2010-07-16\avz00001.dta (Trojan.Dropper) -> No action taken.
D:\Programs\Защита компьютера\AVZ v.4.34\avz434\avz434\Quarantine\2010-07-16\avz00002.dta (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\User\Application Data\wiaservg.log (Malware.Trace) -> No action taken.[/CODE]Сделайте новые логи + лог МВАМ

Карантин выслал. Передаю все запрошенные логи:

Если ВКонтакте блокировали сами, тогда на выписку

Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый

Нет, я не умею блокировать вручную Вконтакте, кроме как скачать что-нибудь по ссылке со спама и потом активировать содержимое спама)))
Часто было на этой недели, что вконтакте не думал загружатся - тогда приходилось чистить Hosts или перезапускать Оперу.
Adobe Acrobat 9 я не качал (там по ссылке после регистрации писало что-то на английском, что мой браузер не совместим с этой программой), поэтому я лучше свой удалю. Помоему, Acrobat - это и есть Adobe Reader, вообщем я его косанул через "Установка и удаление программ".

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com[/CODE]

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Всё выполнил, как вы указывали.

[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]

теперь что нужно сделать, возможно логи?

Если в файле hosts не осталось лишних записей, то больше ничего не нужно

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый

в Hosts вроде порядок.
Пробовал удалить старый Adobe Acrobat 7 (через RegEdit) - всё удалило под чистую, кроме одного параметра "(По умолчанию)" типа Reg_SZ с адрессом С:/Program Files/Adobe/Acrobat 7.0/ActiveX/ . А ведь папки то С:/Program Files/Adobe/Acrobat 7.0/ уже нету..как оно может туда ссылатся? может пускай тот параметр уже остается, а то у меня не выходит его удалить. Параметр этот ведь не сильно подозрительный?

Он вообще не подозрительный.

У меня не отправляются в ответ сообщения((

какие и куда?