Небольшие странности

Здравствуйте!

Особо страшных проблем на компе, вроде, нет. Есть две странности:

1. Не могу зайти на почту Yahoo - пишет "страница не найдена", хотя с другого компа захожу без проблем.
2. Постоянно подвисает аська - если есть сообщение, отправленное в мое отсутствие.

Просканировал систему и курит, и каспером - ничего. Прогонял и АВЗ и ГМЕР - ничего страшного не нашли (АВЗ ругнулся на какой-то файл *.msi, но это, похоже, от Йоты). Если не трудно, посмотрите, плиз, логи, нет ли какой заразы?

Вроде, сделал все по правилам.

Заранее, большое спасибо.

еще - забыл: в списке процессов иногда появляется еще один iexplorer, хотя открыт только один...

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
DeleteService('rk_remover');
QuarantineFile('C:\WINDOWS\system32\Drivers\LBeepKE.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\KMWDFilter.SYS','');
QuarantineFile('C:\DOCUME~1\8175~1\LOCALS~1\Temp\mbr.sys','');
QuarantineFile('C:\WINDOWS\system32\ramdmm.dll','');
DeleteFile('C:\DOCUME~1\8175~1\LOCALS~1\Temp\mbr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_DeleteSvc('rk_remover');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Повторите логи.

Скрипт выполнил. Карантин выслал, логи прикрепляю.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: ramdmm - ramdmm.dll (file missing)
[/CODE]
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- [URL="http://virusinfo.info/showthread.php?t=7660"]Очистите[/URL] файл [B]hosts[/B].
- Повторите в точности действия, описанные в пп.2 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Пофиксил "O20 - Winlogon Notify: ramdmm - ramdmm.dll (file missing)",
но после перезагрузки эта строчка опять появляется.

Bonjour, вроде бы, давно уже удалил. На всякий случай выполнил скрипт в АВЗ.

Чистил с помощью АВЗ - появились две красные строчки:

>>>Для удаления файла C:\Documents and Settings\Рах\Local Settings\History\History.IE5\MSHist012009082420090825\index.dat необходима перезагрузка
>>>Для удаления файла C:\Documents and Settings\Рах\Cookies\index.dat необходима перезагрузка
ffff

После перезагрузки опять то же самое.

Файл hosts удалось очистить только вручную - скрипт в АВЗ не помог.

Логи по п.п. 2-3 прилагаю.

На всякий случай проверил - почта Yahoo так и не открывается

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: ramdmm - C:\WINDOWS\
[/CODE]
Сделайте очистку системы этим: [url]http://virusinfo.info/showpost.php?p=435039&postcount=2[/url] , установите ClearAll.
Если после перезагрузки будут сомнения - повторите логи по п. 2 и 3 Диагностики.

Строчку
"O20 - Winlogon Notify: ramdmm - C:\WINDOWS\"
пофиксил, но, после перезагрузки она опять появляется - может быть, я что-то не так делаю? (запускаю HijackThis, нажимаю скан, потом ставлю галочку напротив этой строчки и нажимаю Fix. После этого перегружаю комп.)

Страшно ли это? Кстати, эта строчка не имеет отношения к Рам-Диску, который у меня установлен?

С почтой Yahoo вообще странно: когда работаю, как обычно, через Вай-Фай роутер - не открывается. Но если подключаюсь через Йоту - все нормально. Не могли они заблочить мой IP?

На всякий случай, опять высылаю логи.

забыл еще одну странность - из трея пропал значок центра безопасности Винды

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]

[QUOTE=Allroad;454926]Кстати, эта строчка не имеет отношения к Рам-Диску, который у меня установлен?[/QUOTE]Нет.

[QUOTE=Allroad;454926]
забыл еще одну странность - из трея пропал значок центра безопасности Винды[/QUOTE]А у меня его там и не было никогда :)

[QUOTE]ramdmm[/QUOTE] пощите по реестру (АВЗ/Сервис/Поиск в реестре), если найдете - удалите ключ.
Потом -[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ExecuteRepair(7);
RebootWindows(true);
end.[/CODE]

АВЗ нашла несколько ключей - удалять все?

сделал лог ГМЕР

Строчку
O20 - Winlogon Notify: ramdmm - C:\WINDOWS\
опять пофиксил. Ключи все удалил, скрипт выполнил.

После перезагрузки:
Все ключи опять на месте, строчка тоже.

[QUOTE=Allroad;454947]сделал лог ГМЕР[/QUOTE]Вы на кнопку SCAN нажимали?

На кнопку Scan, вроде, нажимал. На всякий случай, переделал лог ГМЕР. Теперь нажал на Scan 100%.

Ничего подозрительного.
Сделайте все новые логи по правилам (gmer не надо).

Логи готовы.

C:\WINDOWS\Installer\1cacddf.msi - пришлите по правилам (приложение 2 и 3).

Карантин выслал. Мне казалось, что это файл от Йоты. По крайней мере, он появился у меня вместе с ней.

[QUOTE=Allroad;455158]Мне казалось, что это файл от Йоты. [/QUOTE]Возможно, по крайней мере он чистый.:)

Сделайте еще лог МБАМ [url]http://www.malwarebytes.org/mbam-download.php[/url]

Выполните скрипт, компьютер перезагрузится.
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После перезагрузки повторите логи.

Сделал лог MBAM, выкладываю:

Malwarebytes' Anti-Malware 1.40
Версия базы данных: 2691
Windows 5.1.2600 Service Pack 3
25.08.2009 5:31:12
mbam-log-2009-08-25 (05-31-12).txt
Тип проверки: Полная (C:\|D:\|E:\|M:\|)
Проверено объектов: 263367
Прошло времени: 44 minute(s), 35 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ramdmm (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\ramdma.sys (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\ramdma.sys (Trojan.Goldun) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
C:\WINDOWS\system32\ramdma.sys (Trojan.Goldun) -> Quarantined and deleted successfully.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Кстати, когда перешел по ссылке для скачивания MBAM, сначала не разобрался и скачал какой-то CyberDefender, запустил его, думая, что он и есть MBAN, и он нашел у меня несколько вирусов. Правда, просит купить, чтобы продолжить. Не знаете, стоит ли ему доверять или снести его?

Раз просит денег - сносите.

Уже снес:)

Логи от АВЗ с загруженным драйвером расширенного мониторинга. И логи от Хайджек - после MBAM исчезла строчка О20...

Чисто. Проблемы еще остались?

Спасибо большое всем за оказанную помощь! Результат такой:

1. перестало выскакивать окошко с предложением проверить легитимность Винды (я об этом даже не писал, думал что это - следствие происхождения моей Винды)

2. Почта Yahoo так и не открывается при моем обычном соединении, но думаю, что комп тут не причем, так как при соединении через Йоту все нормально. Наверное или роутер глючит, или заблочили мой IP (жена недавно подхватила какую-то заразу, возможно, ее комп использовался для спам-рассылок).

Думаю, тему можно закрывать.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]