Проблемы в работе компа.

Уважаемые хелперы, прошу помочь в лечении компа. Не первый раз к Вам обращаюсь и знаю как работает система. Но в этот раз случай особо тяжелый. Маккафа нашла троян в кэше Lando!rootkit. Судя по симптомам он блокирует запуск многих программ (Даунлоад мастер, AVZ и прочие). Я не могу запустить проги, чтобы согласно установленным правилам выложить логи. Dr.Web нашел еще spoolsv.exe но боюсь что это не все. Комп стал выключаться 10-12 минут, хотя раньше эта процедура занимала у него до 1,5 минут.
Жена фрилансер и ей без компа никак. Прошу Вас помогите. По факту лечения помогу вэбманями вашему ресурсу.

Попробуйте полимофорным авз сделать логи(ссылка в подписи).

запустился.
сейчас поставлю на проверку.

предоставляю логи

Перечислил помощь сайту - 3 wmz
Прошу, помогите избавиться от троянов

Отключить восстановление системы, защитное По
Выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe','');
QuarantineFile('C:\WINDOWS\BR040286.exe','');
QuarantineFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp','');
DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин загрузить по красной ссылке. Логи попробовать сделать обычным авз(предварительно, обновив базы).

обычный авз не запускается, сделаю полиморфным.

логи после выполнения скрипта

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\DOCUME~1\8485~1\LOCALS~1\Temp\ios.tmp');
DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(12);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[B]Смените все пароли[/B]. Они могли попасть к злоумышленникам.

Сделайте новые логи

после того как провел предложенные вами манипуляции запустилась обычная АВЗ (базы обновил). логи выполнены с ее помощью. новый файл карантина не был создан. чувствую что проблема еще не решена, но уже лучше. начал запускаться даунлоад мастер.

[QUOTE='Кромвель;642208']новый файл карантина не был создан[/QUOTE]Он и не должен был создаться. Это была лишняя рекомендация ;)

Пофиксите в HiJack
[CODE]O20 - AppInit_DLLs: winmm.dll[/CODE]Больше ничего плохого

Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Установите [url="www.adobe.com/products/acrobat/"]Adobe Acrobat 9.3[/url] или удалите старый

профиксил. предоставляю логи. установил IE 8. Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого :(. скажите обязательно сносить старую версию? просто она нужна в работе.
прошу предоставить рекомендации.

[QUOTE='Кромвель;642280']скажите обязательно сносить старую версию? просто она нужна в работе.[/QUOTE]На свой страх и риск можете пользоваться. Или найти бесплатный аналог

Логи чистые

[QUOTE='Кромвель;642280']Акробат ридер по вашей ссылке не нашел чтобы скачать бесплатно. Купить - дорого . скажите обязательно сносить старую версию? просто она нужна в работе. [/QUOTE]
Качайте--[URL="http://get.adobe.com/reader/otherversions/"]http://get.adobe.com/reader/otherversions/[/URL]

установил рекомендованныу версию 9.3 Акробат ридера. Старый не сносил. Спасибо вам за помощь, уважаемые хэлперы. Прошу вас ответить однозначно - лечение закончено? Можна включать восстановление системы, снести DrWeb, установить Маккафу?

[QUOTE='thyrex;642295']Логи чистые [/QUOTE]
Если проблем нет, включайте восстановление системы.

выключается комп по прежнему долго. поставил Маккафу и она после запуска пишет что блокирует кучу приложений:

23.05.2010 17:42:25 Blocked by port blocking rule C:\Program Files\WebMoney Agent\wmagent.exe Common Maximum Protection:Prevent HTTP communication 212.158.173.189:443
23.05.2010 17:42:28 Blocked by Access Protection rule РОР\Даша C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.wid Anti-virus Maximum Protection:Prevent alteration of all file extension registrations Action blocked : Write
23.05.2010 17:42:35 Blocked by Access Protection rule РОР\Даша C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Performance\Error Count Common Standard Protection:Protect network settings Action blocked : Delete
23.05.2010 17:44:16 Blocked by Access Protection rule РОР\Даша C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk Anti-virus Maximum Protection:Protect phonebook files from password and email address stealers Action blocked : Read
23.05.2010 17:44:54 Blocked by Access Protection rule РОР\Даша C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe \REGISTRY\MACHINE\SOFTWARE\Classes\.wid Anti-virus Maximum Protection:Prevent alteration of all file extension registrations Action blocked : Write


это опасно? я установил в ней максимальную защиту. меня смущает BTTray.exe. я последние пол года никакого програмного обеспечения или драйверов дополнительных не устанавливал, и таких сообщений Маккафа не выдавала. также она блокировала ios.tmp и у меня на его счет тоже были подозрения. судя по скриптам мы его убили.
Обратите пож .внимание на эти файлы.

Похоже, что не добили зловреда.
Скачайте и запустите эту утилиту--[URL="http://support.kaspersky.ru/viruses/solutions?qid=208636943"]http://support.kaspersky.ru/viruses/solutions?qid=208636943[/URL]
Сделайте комплект логов, + сделайте лог MBAM

выполнил все рекомендации. МВАМ нашел трояны. предоставляю логи.

1.удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
[/CODE]

2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;

все выполнил. вот логи.

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('\\?\globalroot\systemroot\system32\OgmbYW7.exe');
DeleteFile('%system32%\OgmbYW7.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Сделайте новый лог virusinfo_syscheck.zip

логи.

Что с проблемой?
Рекомендую обновить Mozilla Firefox 3.5 до Mozilla Firefox 3.6.3
Сменить все пароли!

пока сложно сказать. поработаю денек отпишусь.

Уважаемые хэлперы, большое Вам спасибо за помощь! Система работает нормально. Маккафа не блокирует никаких файлов и приложений.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\docume~1\8485~1\locals~1\temp\ios.tmp - [B]Trojan-PSW.Win32.Kates.fu[/B] ( NOD32: Win32/Daonol.CP trojan, AVAST4: Win32:Kates-BF [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]