Помогите вычистить комп от заразы!

Вот этот лог Аваста!

И видно-как часто это всё сейчас боком вылазит...

LiveCD! Похоже на файловый вирус. После LiveCD просканируйте AVPTool, а потом Куреитом (др.Веб)

Уже делаю!

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Проверку AVPTool и CureIt -обе из-под LiveCD запускать? Закачал LiveCD от Dr.Web-с него и собираюсь начать-правильно?

[QUOTE='Вдадимир;532165']Закачал LiveCD от Dr.Web-с него и собираюсь начать-правильно? [/QUOTE] Да. Остальные утилиты в обычном режиме запускать.

Кстати, в Warning.log никак не отражены моменты, когда Аваст! перехватывал интернет-чевей и надо было выбирать: ии нажимать "ничего не делать" или вытаскивать кабель и перегружать комп-насколько это опасно?

Файрволл отсекал бы этих не прошенных гостей:) [URL="http://www.matousec.com/projects/proactive-security-challenge/results.php"]Посмотрите[/URL] на тесты и выберите тот, который Вам по душе.

Скачал я у Др.Веба LiveCD, записал диск, переставил в Биосе загрузку с ДВД и попытался загрузить с него больной комп-помелькал чёрный экран и пошла загрузка с винта! Тогда я повторил загрузку через клавишу F8-выпало окошко с списком дисководов для загрузки-выбрал СД-и ничерта! пошла загрузка с винта! Тогда я на другом компе переписал диск-создал загрузочный с помощю утилиты Win 7 64-bit-и попробовал с него загрузить больной комп-ВСЁ ТОЖЕ САМОЕ! Помелькал чёрный экран-и пошла загрузка с винта! Я недавно обновлял биос на обоих компах до последних версий с офиц. сайта ASUS (на больном материнка ADUS P5QL-EM, на втором P5Q3), может зловред как-то в БИОСЕ прописался?

[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]

Да шо ж за гадость я такую подцепил?! Дело в том, что у меня есть CD, с которого я раньше устанавливал Винду на оба компа: мультизагрузочный Reanimator с Win XP SP2 Professional образца 2005 года. Так при попытке с него грузится его меню открывается, но ни Др.Веб ни Волков Коммандер не запускаются (пишет что не найдена какая-то интервейсная карта и ещё что-то: я не успеваю заметить что именно)-только даёт возможность грузится с диска С:\ ... Что делать то?!!!

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Кстати-на втором компе Др.Веб КюреИт при быстрой проверке ничего не находит, а при полном сканировании-доходит до определённого места и выбивает в синий экран-идёт перезагрузка, и так несколько раз подряд. Я в БИОСе понизил частоты работы комплектующих (они у меня разогнаны не слабо...)-но один хрен-то же самое! Хотя тот же КюреИт на больном компе проходит без проблем полное сканирование-и ничего не происходит (и ничего не находит...)

Я в ШОКЕ!!! Посмотрите вложенный файл. Почему Avast!, AVPTool, Dr.Web CureIt, Norton Internet Security i AVZ не увидели всего ЭТОГО?!!! Что делать?

Даже после лечения PCTool-сом "озвучка" работы процессора и чтения/записи файлов не прекратилась. Что-то ещё в компе сидит-и это "что-то" PCTools тоже не видит...

Уточните, Вы LiveCD записывали как образ, а то были случаи, что просто записывали на диск и ничего не получалось.

Верно-я не правильно LiveCD записал, сейчас перепишу как образ и проверю. Хотя в результате сомневаюсь. Если не заработал мультизагрузочный диск, которым я четыре года успешно пользовался-то дело не в диске, а в том, что сидит в компе (я так догадываюсь...).

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Кстати-на втором компе PCTools тоже уже наколупал кучю зараженных файлов, тогда как Avast!, AVPTool, Dr.Web CureIt, Norton Internet Security i AVZ не увидели всего ЭТОГО... И это похоже не всё-надо ещё чем -то не менее эффективным, чем PCTools проверить, но чем-посоветуете? В Касперских-Веберах-Авастах я окончательно разочаровался...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

И ещё-что нибудь из перечисленного в последнем присланном мной файле может при обновлении в БИОС подписатся? Как это проверить?

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 49 минут[/I][/B][/color][/size]

После загрузки компа с LiveCD проведена проверка с Др.Веб-ничего не обнаружено. Озвучка процессов в компе осталась-что ещё можно сделать?

Попробуйте сделать лог комбофикса.

Не получается с КомбоФиксом-то же самое: стартует, перегружает комп, во время перезагрузки выполняет какието операции-и выбивает в синий экран! Каждый раз последнее, что Комбофикс сообщает перед ошибкой, это "Deleting files..."

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Пробую сейчас ещё Comodo Int. Sec. скачать-может он ещё что накопает на моём компе... Если нет-придётся оставлять как есть. У меня идеи кончились. Музыку правда не послушаешь, а работать с такой озвучкой-чтож, придётся...

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 33 минуты[/I][/B][/color][/size]

Что я ещё делал в последнее время-купил и установил настольный микрофон "Gembird"-дешовый, и кабель у него не экранированный, тонкий-может эта озвучка процессов в компе-его заслуга, и я зря Вам голову морочю?

[QUOTE='Вдадимир;533053']Что я ещё делал в последнее время-купил и установил настольный микрофон "Gembird"-дешовый, и кабель у него не экранированный, тонкий-может эта озвучка процессов в компе-его заслуга, и я зря Вам голову морочю? [/QUOTE]
Отключите микрофон, похоже это он виноват.

Похоже-таки он, тгда получается всё? Клиент здоров? Ура! Как я должен Вас отблагодарить?

[QUOTE=Вдадимир;533258]Похоже-таки он, тгда получается всё? Клиент здоров? Ура! Как я должен Вас отблагодарить?[/QUOTE]
Если Вам не трудно, то так [URL]http://virusinfo.info/showthread.php?t=3519[/URL]

Можете посоветовать людей, кто в редактировании БИОСа толк знает? Хочю попытаться поменять зависимость оборотов корпусных кулеров от температуры-надо что бы кулеры при более низких температурах бодее высокие обооты держали...

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Или это надо делать с какоё-либо периодичностью?

[QUOTE='Вдадимир;533265']Или это надо делать с какоё-либо периодичностью? [/QUOTE]Необязательно. Можете, например, сегодня сделать. Следующий раз через пару месяцев. Как Вам удобнее.

Уже поблагодарил с помощью СМС-копилки, и ещё с AVZ сейчас лог сделаю.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Кстати-после обработки PCTools комп с CD грузится начал-как со свежезаписанного, так и со старого... А до этого всю прошедшую неделю не мог.

Спасибо! Если что, обращайтесь.

Проблемы не закончились!!! Отключения микрофона ничего не дали-постороння озвучка процессков в компе не закончилась. Установил и прогнал полное сканирование ещё и с пом. Comodo I-net Security (после обновления баз)-он тоже нашёл 43 зараженных файла-но проблемка не устранена! Есть идеи?

[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]

А-у, меня кто-нибудь слышит?

Сделайте комплект логов, будем искать!

Уже делаю!

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Не могу скачать обновление AVZ-выдаёт ошибку (файл повреждён, не может быть загружен с указанного пути...) Что делать?

[QUOTE='Вдадимир;533582']Не могу скачать обновление AVZ-выдаёт ошибку (файл повреждён, не может быть загружен с указанного пути...) Что делать? [/QUOTE]
Еще раз попробуйте, если не получится, тогда делайте логи без обновления.
Сделайте также лог Gmer и MBAM.

"Ошибка в ходе автом. обновления-Ошибка загр. файла с описанием обновления avpupd.zip с [URL]http://www.z-oleg.com/secur/avz_up/[/URL][21.0002EFD]". Делаю логи на базах десятидневной давности...

1. Логи-какие смог-сделал.
2. Сканирование Gmer не удалось-та же беда что и с ComboFix6 в начале сканирования выбивает в синий экран с тем же сообщением: Bed_Pool_Header. Повторное сканирование после перезагрузки-тоже самое-синий экран.
3. "Озвучка" работы процессора и пересылки/получения данных с винта/на винт начинается, как и раньше сразу при загрузке Виндовс-когда ещё чёрный экран.
4. Всё это наводит на мысль, что зловред получил прямое управление железом моего компа (через Бут-сектор или БИОС), и как только любая программа подбирается к нему-блокирует всё вплоть до синего экрана (ComboFix, gmer).
5. Записал на диктофон эту озвучку-она не большая (60 Кв)-могу прислать. Можно?
6. В этот раз, выпольняя П.2 Диагностики я кроме браузера запустил ещё Скайп, Аську и Outlook-программы, которые тоже активно общаются с И-нетом и могут вирус спровоцировать проявить себя. Правильно?

Да-совсем забыл! Когда в первый раз производилось сканирование MBAM-когда дошло до файла Thishijekinstall.exe, компьютер повис-да так что когда я нажал на кнопку резет он выключился но не перезапустился. При повторных нажатиях кнопок "reset" и Power"-тоже не запустился! запуск удался только после выключения питания и обновления установок БИОСА! На ЭТОЙ материнке я считал такое невозможным! Объясняю-этот комп у меня 1,5 года. И вначале-при нажождении оптимальных настроек БИОСа естественно задавались "запредельные" установки-но ВСЕГДА "мать" перегружалась через Резет и Пауэр-и через кнопку F1 была возможность исправить установки БИОСА!.. Может у меня точно БИОС зараженный или модифицированный вирусом?

[QUOTE='Вдадимир;533747']Записал на диктофон эту озвучку-она не большая (60 Кв)-могу прислать. Можно?[/QUOTE]
Пришлите.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\FsUsbExService.Exe','');
QuarantineFile('d:\program files\asus\ai suite\ainap\ainap.exe','');
QuarantineFile('c:\windows\system32\fsusbexservice.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]

А также файл с "озвучкой" вкладываю в это сообщение-как она меня достала за две недели-эта "музыка"!!!

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Кстати-набдюдаю через Диспетчер задач Виндовз, что в последнее время процессор до 90% нагружается при загрузке и при переходе от задачи к задаче по времени -до 1-2 минут...-и это IC2 Duo E8400 3.23 Ghz! Такого тоже раньше небыло. Нагрузки при подобных ерундовых задачах были до 40-50% и то на пару секунд.

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Почемуто файл со звуком не закачался...

[QUOTE='Вдадимир;533823']Почемуто файл со звуком не закачался... [/QUOTE]
Упакуйте в архив zip и закачайте.
[QUOTE]Кстати-набдюдаю через Диспетчер задач Виндовз, что в последнее время процессор до 90% нагружается при загрузке и при переходе от задачи к задаче по времени -до 1-2 минут[/QUOTE]
Предполагаю что это из-за TuneUp Software. Рекомендую оставить Avast4 и COMODO Internet Security, остальной защитный софт удалите.

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[B]T[/B][B]hishijekinstall.exe [/B]- найдите и пришлите файл для анализа!
Как искать см. здесь [URL]http://virusinfo.info/showthread.php?t=4567[/URL]

Ещё раз попытаюсь прислать звуковой файл-он упакован в архив virusinfo_ozvuchka.zip

[color=red]Moderated: карантин в теме - моветон. Есть красная ссылка для загрузки.[/color]

Thishijekinstall.exe -я или не правильно Вам его "обозвал" или его уже нет на диске. есть два похожих файла: Hijack Thisinstaller.exe в папке Downloads, где хранятся закачанные файлы, и второй Hijack Thisinstaller[1].exe в какойто непонятно названной папке, относящейся к Internet Explorer в Local Settings

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Post Edited

--------------------------------------------------------------------------------

Здравствуйте, Вдадимир,

Созданное вами сообщение, в нижеуказанной теме, было отредактировано:

================================================== =======================
Сообщение: Ещё раз попытаюсь прислать звуковой файл-он упакован в архив...
Тема: Помогите вычистить комп от заразы!
Причина: убрал подозрительные файлы
================================================== ========================

Это автоматически посланное сообщение, пожалуйста, не отвечайте на него.

С уважением,
администрация VirusInfo
Как же мне Вам их прислать?

Владимир,
есть сильное подозрение, что эта так называемая "озвучка" не софтовая, а аппаратная проблема. На вскидку могу предположить, что это происходит из-за подсохших электролитических конденсаторов в цепях питания звуковой платы. Наверно не ошибусь, если предположу, что она у вас интегрирована на материнскую плату.
Чтобы проверить эту версию, советую приобрести любую, самую простую и самую дешёвую PCI звуковую плату.
После её физической установки в PCI-слот нужно будет установить с прилагаемого диска драйвера и переключить виндовс на работу с ней. Колонки разумеется надо тоже будет переключить в неё.
После этого надо будет послушать, осталась эта озвучка или изчезла. Если она исчезнет, то можно всё так и оставить и дальше использовать эту новую звуковушку.
А если не изчезнет, то тогда надо будет обращаться в сервис-центр.

[QUOTE=Вдадимир;534020]Как же мне Вам их прислать?[/QUOTE]
По правилам.

Палыч-постараюсь так и сделать, тем более что у меня где-то валяется ещё Creative на шине PCI щобразца ещё 1998 года-тогда у меня ещё Pentium 100 MHz был... Но не хочется верить что на материнке АSUS P5QL-EM, выпущенной в сентябре 2008 года с полимерными твёрдыми конденсаторами -они УЖЕ могли пересохнуть... Тем более, что на этом компе разгон компонентов ерундовый-всего 8% от номинала (шины PCI-E, PCI) не разогнаны вообще никак...

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Карантин закачал снова-но уже по красной ссылке. А как файл со звуком (запакованный в архив zip) прислать по запросу? Тоже через красную ссылку?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Все комплектующие своих компов я выбирал сам и покупал "с нуля" через И-нет-магазины, все были в оригиальных запечатанных упаковках, на все есть документы-поэтому уверен в дате выпуска... Собирал и настраивал тоже сам, как и все предыдущие свои компы (начиная ещё с "Поиска", 1993 год...)

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Да и совпадение во времени появления на моём компе целой толпы вирусов и "озвучки", явное неравнодушие каких-то программ к БИОСу и бут-сектору диска наводит на мысль, что "железо" здесь не причём...

О! Так Вы опытный пользователь. Это хорошо.
Меня тоже настораживает такое совпадение по времени заражения компа и появления импульсных помех в звуке.
Но тем не менее, я всё-таки советую на время для проверки воткнуть в комп любую другую заведомо исправную звуковушку и проверить наличие этих самых импульсных помех.
Если даже они и останутся, то это ничего. Как говорят в науке, отрицательный результат это тоже результат.

Может, немного и опытный -но только в "железе" (регулярно изучал новые выпуски "Аппаратные средства РС"), но в программной среде-лузер. Поэтому очень нуждаюсь в помощи Вашего сайта. Сегодня уже заметил-за пол-дня через Скайп и Аську пока ни один троян и червь не попытался залезть. Зато с аккаунтов моих партнёров (без их ведома) толпами присылаются ссылки с разными "заманухами" открыть ссылочку-намного больше чем обычно. Я кому могу-сообщаю чтоб поменяли пароли и не открывали этих ссылок-они все с вирусами. Например: [11:05:39] ramazi: [url]http://89.25.51.59:42013/it/Ukraine/ramazi?i=Vladimir&l=uk&t=b[/url]
[11:05:39] ramazi: [14:20:13] ramazi: [url]http://88-222-202-108.meganet.lt:28267/ramazi/volodja2911/19721129?i=volodja2911&l=uk&t=r[/url] [14:20:30] ramazi: [url]http://78-59-45-57.static.zebra.lt:20786/19721129/Vladimir/it?i=volodja2911&l=uk&t=e[/url] [url]http://88.216.96.141:21589/ramazi/it/volodja2911?i=Vladimir&l=uk&t=b[/url]
[14:30:48] ramazi: [url]http://85.217.212.170:15988/19721129/Vladimir/Ukraine?i=ramazi&l=uk&t=r[/url]
[14:35:51] ramazi: [url]http://78-60-147-2.static.zebra.lt:20936/Ukraine/it/19721129?i=Vladimir&l=uk&t=e[/url]
[14:40:53] ramazi: [url]http://84-32-113-146.aji.lt:29755/19721129/ramazi/Ukraine?i=Vladimir&l=uk&t=b[/url] И это всё только с одного аккаунта...

[size="1"][color="#666686"][B][I]Добавлено через 53 секунды[/I][/B][/color][/size]

Есть лекарство от этого?

От дождя - только плащ или зонтик.

Добрый день! Появилась новая (точнее старая-но ранее не удалённая) зараза: вирус Backdoor.Win32.PcClient. @88561940. Эта зараза цепляется к разным *.dll файлам в папке C:\WINDOWS\system32. Ранее при неоднократных проверках Ваша утилита AVZ обнаруживала файлы с подозрением на такой вирус-но не подтверждалось. Comodo Internet Security после очередного обновления начал успешно отлавливать файлы, зараженные вирусом-но только удаляет или помещает в карантин, НЕ лечит. И как правило после блокирования таких библиотек система становится не работоспособной. Как отцепить эту гадость?

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Даже после помещения в карантин зараженных файлов после перезагрузки зараженными оказываются новые файлы из той же папки C:\WINDOWS\system32. Что заметил-этот вирус Backdoor.Win32.PcClient. @88561940 максимально активен при запуске системы и при входе в Интернет-потом уже бездействует...

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 10 минут[/I][/B][/color][/size]

И ещё постоянно обнаруживается, удаляется и при повторном сканировании снова обнаруживается вирус Trojan-Generic