Рекламный вирус

Такая ситуация..
Сидел в инете, выскочило что-то про Java, после этого появился баннер требующий смс для активации File Downloader. Интернет был заблокирован, с помощью get3 баннер удалось убрать, интернет заработал. Но теперь загрузка системы происходит странно. После окончания загрузки приходится ждать 3-4 минуты, пока в процессах не появится файл jgs.exe, убиваю его через IceSword, только после этого удаётся запустить какие-то программы, в том числе и соединение с интернетом. Без убийства это процесса запустить ничего не получается. Файл этот видимо связан с Java, но я пока её не удалял с ПК. Сделал логи через АВЗ, хайджек был установлен давно, работал, сейчас при нажатии на его файл просто нет никакой реакции. Не помогает переименование файла, скачивал вашу версию замаскированную, запускал с флешки, вообще никак не реагирует на нажатие на исполняемый файл, что опять же очень странно.
Что-то можно тут сделать? Логи авз прилагаю...

Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7023DE86-FAF5-4E26-94AC-C32C740270B0}');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.

Лог HijackThis сделайте.

Скрипт выполнил, HijackThis по прежнему не реагирует на нажатие на исполняемый файл,jgs.exe также приходится убивать, ничего не помогает, ума не приложу, что можно сделать :(

[quote]jgs.exe также приходится убивать, ничего не помогает, ума не приложу, что можно сделать[/quote]
Чем он вам не понравился ?

Сделайте логи avz..

Вообще да, убивать его необязательно, но пока этот файл не появится в процессах, не получается ничего запустить. Даже при нажатии на ярлычок соединения с инетом, ничего не происходит. Минуты через три загружается jgs.exe и всё начинает работать, кроме хайджека..

Попробуйте эту утилиту:
[url]http://www.veldhuizen.speedxs.nl/winsockxpfix.exe[/url].
Запустить и нажать [B]Fix[/B]. По окончании ее работы будет перезагрузка.
После этого при необходимости введите заново настройки сетевых подключений.

Нет, господа, это всё не то..
Есть какие-то ещё варианты запустить Хайджек? Переименования не помогают..Ситуация сейчас такая:
Во-первых, загрузка винды происходит странно, появляется рабочий стол, запустить ничего нельзя, например, нажатия на ярлыки и файлы ни к чему не приводят. Проходит минут 5, что-то видимо догружается, после этого можно работать.
Во-вторых, некоторые exe файлы не хотят запускаться, после нажатия на них никакой реакции не наблюдается. Речь как раз и идёт про программу HijackThis, но сегодня установил одну игру, с ней такая же ерунда, нажимаю на файл, реакции ноль. Переименования, смена расширений никак не помогают. Проблема именно с хайджеком и игрой. Всё остальное работает нормально. Сейчас стоит антивирус Панда, винда обновлена.
Очень хотелось бы выложить логи нормальные, но работает только АВЗ.

Господа, совсем никаких идей нету?
Может сделать лог АВЗ + ещё какой-нить программы? Не работает хайджек и игрушка, в которую очень хочется поиграть, да и загрузка долгая напрягает, так что хочется проблемку как-то решить...

Приложите файл drv.sys в каталоге, откуда Вы запускали get3 в новом сообщении.

попытался присоединить сам файл, пишет "некорректный файл", потому пришлось его заархивировать

Файл drv.sys переименуйте в [B]NDISWAN.SYS[/B] и замените в
C:\WINDOWS\system32\DRIVERS\NDISWAN.SYS
Лучше это сделать из под LiveCD

[QUOTE=shapel;548755]Файл drv.sys переименуйте в [B]NDISWAN.SYS[/B] и замените в
C:\WINDOWS\system32\DRIVERS\NDISWAN.SYS
Лучше это сделать из под LiveCD[/QUOTE]
LiveCD обязательно? или есть шанс что и с обычной заменой пройдёт?

[QUOTE='Tipster;548760']LiveCD обязательно? или есть шанс что и с обычной заменой пройдёт? [/QUOTE] Пробуйте с обычной заменой.

заменил...что теперь?

Ок. А теперь посмотрите, все ли в порядке? Если нет, сделайте новые логи. Будем искать причину.

Спасибо, что помогаете, но к сожалению ничего не изменилось. Думал на файловый вирус, но почему тогда не запускается только Хайджек и одна игрушка. Ну и с загрузкой проблемы. Все остальные программы работают нормально.
Прилагаю новые логи авз, может хоть что-то получится сделать

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(1);
Executerepair(6);
Executerepair(12);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]
Пробуйте сделать лог Hijack

выполнил, загрузка такая же, исполняемый файл Хайджека на клики не реагирует никак...
есть ещё какие-то мысли? (

[QUOTE]...хайджек был установлен давно, работал, сейчас при нажатии на его файл просто нет никакой реакции.[/QUOTE]
Скачайте свежий Hijack.

Версии 2.0.3 (Beta), 2.0.2 всё без толку. Кликаю на исполняемый файл, реакции никакой нет. Устанавливал кучу всяких утилит и антивирусов, всё работало, проблема только с Хайджеком и одной игрой.
Ещё что-то можно попробовать?

Сделайте лог MBAM

как оказалось, MBAM также не реагирует на просьбы запуститься..в безопасном режиме всё аналогично..
причём программа Spybot - Search & Destroy от них же работает
что-то ещё можно поделать, или только снос? просто не хотелось бы этого совсем

Делаем так: сканируем ПК Куреит (др.Веб), затем AVPTool. Потом пробуем сделать лог Hijack.

В итоге Куреит ничего не нашёл, AVPTool кое-что нашёл, что-то удалил, но изменений никаких не произошло..
Вот из отчёта AVPTool всё что касается каких-то вирусов, может хоть какую-то зацепку даст:

30.12.2009 12:34:41 Обнаружено: Trojan.BAT.Agent.vf C:\WINDOWS\system32\fjhdyfhsn.bat
30.12.2009 12:35:11 Обнаружено: Trojan.Win32.Patched.fr C:\WINDOWS\system32\sfcfiles.bak
30.12.2009 12:35:33 Невозможно удалить: Trojan.BAT.Agent.vf C:\WINDOWS\system32\fjhdyfhsn.bat Объект не найден
30.12.2009 12:35:37 Удалено: Trojan.Win32.Patched.fr C:\WINDOWS\system32\sfcfiles.bak

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Собственно говоря, нашёл ещё IceSword вот такие файлы:
C:\WINDOWS\ServicePackFiles\i386\sfcfiles.dll
C:\WINDOWS\$NtServicePackUninstall$\sfcfiles.dll
Подозреваю, что они тоже как то относятся к трояну?

Cделать лог Hijack сможете?

[QUOTE=shapel;549372]Cделать лог Hijack сможете?[/QUOTE]

нет..хайджек и MBAM не реагируют на просьбы запуститься..
через msconfig вижу что в автозагрузке сидит
[HKLM\~\startupfolder\C:^Documents and Settings^йцу^Главное меню^Программы^Автозагрузка^siszyd32.exe

Логи АВЗ сделайте.

сделал...

Отключите восстановление системы!
Выполните скрипт
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(1);
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.[/CODE]
Пробуйте сделать лог MBAM и Hijack

выполнил, толку нет, какая-то гадость висит видимо в памяти и упорно блокирует запуск

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\fjhdyfhsn.bat','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\system32\fjhdyfhsn.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Пробуйте сделать логи MBAM и Hijack

выполнил
карантин:
Файл сохранён как 091231_000429_virus_4b3bc05dd6b41.zip
к моему дикому сожалению просто, хайджек продолжает молчать в ответ на просьбы запуститься...

Карантин пуст. Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
Executerepair(12);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).

наверно, я вас уже достал, ну уж очень надо поправить здоровье ПК...
скрипт выполнил, изменений в работе нет
карантин прикрепил:
Файл сохранён как 091231_003702_virus_4b3bc7febece4.zip

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
CopyFile('C:\WINDOWS\ServicePackFiles\i386\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
RebootWindows(true);
end.[/CODE]
Пробуйте сделать логи MBAM и Hijack

сделано, изменений нет ((

[QUOTE='Tipster;549384']через msconfig вижу что в автозагрузке сидит
[HKLM\~\startupfolder\C:^Documents and Settings^йцу^Главное меню^Программы^Автозагрузка^siszyd32.exe[/QUOTE]
Попробуем убрать. Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('%Userprofile%\Главное меню\Программы\Автозагрузка\siszyd32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пробуйте сделать логи MBAM и Hijack

сделал, изменений нет, через msconfig всё равно вижу siszyd32.exe, правда галка снята, да и сам файл я найти не могу, удалял его IceSword какое-то время назад, но следы видимо остались...

Это только следы. Исправляются удалением записи в реестре. Где искать, увы, сейчас не подскажу

[QUOTE=thyrex;549632]Это только следы. Исправляются удалением записи в реестре. Где искать, увы, сейчас не подскажу[/QUOTE]
да я так понимаю, что для удаления следов надо запускать Хайджек, а это сделать никак не получается. любые антивирусные утилиты пожалуйста работают, но толку от них нет. А вот хайджек, мбам, да ещё я обнаружил WinSpy (хотел посмотреть им не прицепилось ли что-то к Winlogon) не реагируют никак..