Помогите!

Здравствуйте,
недавно на другом компьютере обнаружил файл (сам, так как антивирус avast не находил его), который пытался создать ошибки в explorer.exe и в drwtsn32.exe с помощью входа на 2 сайта без моего ведома (их выдавал как опасные антивирус), вскоре я занес эти 2 сайта в запрещенные в антивирусе и попытался удалить файл, но после нескольких секунд он "возрождался", оставляя при себе дату создания.Далее я не знал что делать и отправил файл в карантин и в лабораторию аваста. Продолжил сидеть в компьютере, так как ничего, вроде, не происходило. Однако при одном из включений компьютера не загружается ничего (просто черный экран и курсор), не работает диспетчер задач, даже в безопасном режиме.
Я в растерянности от безысходности надеюсь, что кто-нибудь поможет.

Уважаемый(ая) [B]retype[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[URL="http://virusinfo.info/content.php?r=136-pravila"][B]Правила[/B][/URL] Раздел [B]Диагностика[/B] пункты 1-4 [QUOTE] (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)- всего должно быть 3 лога.[/QUOTE] [QUOTE]...и отправил файл в карантин и в лабораторию...[/QUOTE] Проверьте файл на [url]https://www.virustotal.com/[/url]. результат проверки (ссылку) выложите в этой теме

Я бы проверил, но кроме черного экрана с курсором ничего нет.

ctrl + Alt + delete если срабатывают, вызовите через диспетчер задач explorer.exe (C:\Windows\explorer.exe) Далее как обычно.
P.S. В диспетчере задач "Приложения" - "Новая задача" - "Обзор" C:\Windows\explorer.exe

Я же еще в самом начале написал, что диспетчер задач не работает даже в безопасном режиме.

Скачайте программу uVS,[url]http://soft.oszone.net/program/8729/...s_Sniffer_uVS/[/url] или тут [url]http://dsrt.dyndns.org/[/url] распакуйте из архива, запишщите её на флешку. Загрузитесь с любого CD диска Live CD, mini XP или аналогичных с воткнутой в компьютер флешкой. После загрузки эмулятора ОС, через её интерфейс, зайдите на флешку в папку с программой uVS, запустите файл start.exe. В открывшемся меню программы выберети пункт "Выбрать каталог Windows ..." , далее выберите системный диск на котором находится ваша операционная система, на диске с ОС выбрать папку Windows - Ok, жмем Enter. В меню открывшейся программы, выбрать пункт "Файл" - "Сохранить полный образ автозапуска" сохраните его на флешку. Полученный образ в нормальном режиме с исправного компьютера загрузите в эту тему

[ATTACH]367781[/ATTACH] Добавил в архив, так как не получается загрузить обычный.

[b]retype[/b],
Скопируйте ниже написанный скрипт
[CODE];uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.6797020703895584.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.6797020703895584.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\НИКИТКА\РОМА\МУСОР\MINECRAFT[P] 1.2.5\MINECRAFT[P].EXE
zoo %SystemRoot%\APPPATCH\XOUXFJV.EXE
delall %SystemRoot%\APPPATCH\XOUXFJV.EXE
zoo %SystemRoot%\INF\UNREGMP2.EXE
czoo
regt 12
deltmp
delnfr
restart[/CODE]
Теперь снова запустите uVS под текущим пользователем,нажмите "скрипт" - "выполнить скрипт находящийся в буфере обмена" - "ок" .

+ после перезагрузки,в папке с утилитой,будет создан карантин,залейте на обменник и ссылку мне в лс!

Как называется папка с карантином? Есть 3 папки: Doc(с инструкциями), SHA(с url.txt) и ZOO(пустая).

[b]retype[/b], Она и должна быть пустая, в самой папке утилиты должен быть файл типа "ZOO_2012-06-25_21-39-26.7z"
такой имеется?

Нет.

[b]retype[/b], Странно..

Выполните такой скрипт

[CODE];uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\НИКИТКА\РОМА\МУСОР\MINECRAFT[P] 1.2.5\MINECRAFT[P].EXE
zoo %SystemRoot%\APPPATCH\XOUXFJV.EXE
zoo %SystemRoot%\INF\UNREGMP2.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.6797020703895584.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.6797020703895584.EXE
delall %SystemRoot%\APPPATCH\XOUXFJV.EXE
regt 12
deltmp
delnfr
restart[/CODE]

После перезагрузки зайдите в папку "ZOO" (в папке uVS),и запакуйте содержимое папки и выложите на обменник(ссылку в лс)

Опять нету... После ввода скрипта происходит его выполнение, дальше программа сама закрывается. В папке uVS появляется отчет (текстовый файл), но не появляется в папке ZOO ничего.

[b]retype[/b], сделайте свежий лог uVS и в безопасном режиме компьютер тоже не грузится?

С Live cd я не пробовал, а с жесткого диска в безопасном режиме тот же черный экран с курсором, но по углам написано Безопасный режим. Вот лог [ATTACH]367884[/ATTACH] .

[b]retype[/b], выполните скрипт uVS

[CODE];uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.6797020703895584.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.6797020703895584.EXE
zoo %SystemRoot%\APPPATCH\XOUXFJV.EXE
delall %SystemRoot%\APPPATCH\XOUXFJV.EXE
zoo L:\AUTORUN.EXE
delall L:\AUTORUN.EXE
zoo J:\SETUP.EXE
delall J:\SETUP.EXE
regt 1
regt 12[/CODE]

Попробуйте загрузить компьютер в режиме командной строки, потом наберите explorer.exe , либо в безопасном режиме [B]диспетчер задач - новая задача - explorer.exe[/B] Должен будет запуститься проводник, после чего логи по правилам.
Похоже на следы от винблокера.

Можете сказать, как запустить компьютер в режиме командной строки? В безопасном режиме, при запуске с жесткого диска, тот же самый черный экран и не запускается диспетчер задач(я же написал в начале, но после попыток до обращения на сайт я не пытался ещё запускать компьютер без mini xp, с mini xp я и не пробовал запускать компьютер в безопасном режиме). Файл 0.6797... и является винлокером, но я с ним собственноручно разобрался, а следы, по-видимому, остались. Задолго до этого был другой винлокер(с ним я тоже разобрался, назывался он по-другому): следы обоих остались в msconfig'e во вкладке автозапуск(почти по 10 строк каждого), а вот xouxfjv и доставляет скорее всего эти проблемы.При запуске скрипта в этот раз не вылетела программа, создался новый отчет, но не создался карантин в папке ZOO.

[URL="http://windows.microsoft.com/ru-RU/windows-vista/Advanced-startup-options-including-safe-mode"][B]Расширенные варианты загрузки (включая безопасный режим)[/B][/URL] 4-й в списке

До вашего сообщения я попробовал запуститься с жёсткого диска, дало выбор режима, я выбрал "Безопасный режим с поддержкой командной строки", но получил черный экран с курсором, без возможности запустить диспетчер задач.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Кстати, я наткнулся на человека с той же проблемой, но у меня все более запущено: [URL="http://virusinfo.info/showthread.php?t=121814&p=898070#post898070"]http://virusinfo.info/showthread.php?t=121814&p=898070#post898070[/URL] . К тому же, кроме сайта на который жалуется он, у меня был другой(если надо бутет, могу и сказать), у него так же жаловался аваст.

[quote="retype;898128"]но получил черный экран с курсором, без возможности запустить диспетчер задач.[/quote]
Что за "черный экран"? Командная строка? Попробуйте набрать там explorer и нажать enter.

[ATTACH=CONFIG]368192[/ATTACH] Так же как и на скрине, найденном мною (я просто в паинте изменил), тоесть, ничего (командной строки тоже нет).

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Я к вам с хорошими новостями! Отправил файл xoxufjv в корзину через miniXP, он не возродился! Скоро будут логи от avz и hijackthis. К интернету не подключаю: боюсь.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[ATTACH]368221[/ATTACH][ATTACH]368222[/ATTACH][ATTACH]368223[/ATTACH]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Создался еще карантин avz, прислать как запрошенный?

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\apppatch\xouxfjv.exe','');
QuarantineFile('C:\Documents and Settings\Admin\0.6797020703895584.exe','');
DeleteFile('C:\Documents and Settings\Admin\0.6797020703895584.exe');
DeleteFile('C:\WINDOWS\apppatch\xouxfjv.exe');
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

[B]Обновите базы AVZ [/B]

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Ошибка загрузки: данный файл уже был загружен(карантин). Можете сказать, как обновить базы avz? Скорее всего у меня обновленныё базы... Кстати у меня не перезагрузился компьютер автоматически, сделал это вручную.

[QUOTE]Внимание !!! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE] Из вашего лога, там же и мини инструкция (Файл/Обновление баз)

[ATTACH]368238[/ATTACH][ATTACH]368239[/ATTACH]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

А вот с карантином не получилось.

базы так и не обновили ;)

что с проблемой ?

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Avz нашел "множественные уязвимости в Sun Java JDK и JRE (32-разрядная версия)" и сказал: "Деинсталлируйте старую версию и установите новую"(дав ссылку). Сделал, как сказано. С проблемой, скорее всего, все хорошо, ничего не беспокоит.Я обновлял avz...