не могу избавиться от вирусов

[amig0]

Здравствуйте! При загрузке Windows XP после включения интернета, Nod32 начинает ругаться (скрины во вложениях). никогда не сталкивался с подобным. очищал/удалял в окошке действия (в зависимости от вируса).также появляется окошко "сайт заблокирован". до его появления долго грузятся сайты. сканировал Nod32, AVZ, CurreIt и hijackthis. перезагружал комп в надежде что поможет это все.... Не помогает. Я уже не знаю что делать. помогите, пожалуйста!

[Шапельский Александр]

Выполнить скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-2846909538-3725560046-548004188-4394\wmfcgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('c:\windows\system32\upd32.exe','');
 TerminateProcessByName('c:\windows\system32\upd32.exe');
 QuarantineFile('c:\windows\system32\umdmgr.exe','');
 TerminateProcessByName('c:\windows\system32\umdmgr.exe');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\235.exe','');
 TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\235.exe');
 QuarantineFile('c:\docume~1\9335~1\locals~1\temp\759.exe','');
 TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\759.exe');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\759.exe');
 DeleteFile('c:\docume~1\9335~1\locals~1\temp\235.exe');
 DeleteFile('c:\windows\system32\umdmgr.exe');
 DeleteFile('c:\windows\system32\upd32.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-2846909538-3725560046-548004188-4394\wmfcgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upd32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','449');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','090');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','246');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','214');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','733');
DeleteFilemask('c:\docume~1\9335~1\locals~1\temp','*.*',true);
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[amig0]

все сделал как вы сказали. вот новые логи, карантин отправлен. Спасибо большое!!! помогло!! кстати, интересно, откуда все эти вирусы могли взяться???

[V_Bond]

выполните скрипт

Код:

begin
 QuarantineFile('H:\autorun.inf','');
end.

пришлите карантин согласно приложения 3 правил

[amig0]

снова повторилась проблема((((( все то же самое(.
сегодня вечером опять появились окошки с предупреждениями и не хочет искать google. он пишет
"Приносим свои извинения...

... но ваш запрос похож на запросы, автоматически рассылаемые компьютерным вирусом или вредоносным программным обеспечением. В целях защиты наших пользователей мы не можем обработать ваш запрос немедленно. "
ввожу картинку - то же самое. вчера вечером гугл тоже не рабил. а уже сегодня и окошки появились.
помогите, пожалуйста!!
если хотите, могу прислать журнал Nod32

[Шапельский Александр]

Сделайте комплект логов, + логи MBAM и Gmer

[amig0]

a что это зa прогрaммы и гдe их взять? и кaк в них сдeлaть логи?

[thyrex]

a что это зa прогрaммы и гдe их взять? и кaк в них сдeлaть логи?

gmer
MBAM

[amig0]

вот запрошенные логи. есть подозрения на wshost32.exe.
я где-то читал, что он генерирует jjdrive32.exe(который тоже периодически появляется), заражает explorer.exe и svchost.exe. еще какие-то странные процессы lsass.exe, csrss.exe, smss.exe. по-видимому, из-за них все тормозит (например, игра Секрет да винчи лагает, но когда нод выдает угрозу, я отключаю вирусы - игра после разворачивания начинает летать)
вот наверно и этим можно объяснить недавние лаги рывками вов при выделении цели.... поцессы появляются сразу после включения интернета и пытаются соединиться с адресами, но нод блокирует запрашиваемые ими сайты.
Очень прошу вашей помощи.... помогите вернуть нормальную работу компьютера и избавиться от наглого вируса!!!

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\umdmgr.exe');
 TerminateProcessByName('c:\windows\jjdrive32.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\WINDOWS\system32\upd32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-3925716030-2917065135-020434186-8530\wmfcgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
 DeleteFile('C:\WINDOWS\jjdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-3925716030-2917065135-020434186-8530\wmfcgr.exe');
 DeleteFile('C:\WINDOWS\system32\upd32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upd32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rad90425.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','radA0E8D.tmp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFilemask('C:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
 BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM

[amig0]

AVZ выдает ошибку "undeclared identifier:'DeleteFilemsk' в позиции 25:14"

[Шапельский Александр]

Скрипт поправил.

[amig0]

карантин прислал. вирусов пока не наблюдается. только при загрузке винды появились два процесса .exe без всего, просто .exe. посмотрел позже - они исчезли. пока спасибо))) завтра пришлю новый лог MBAM.

[Шапельский Александр]

завтра пришлю новый лог MBAM.

Остальные логи тоже пришлите.

[amig0]

ааа. только что нод выдал окошко с угрозой:
объект http://cry.tantoun.org/61.exe
модифицированный Win32/Injector.ASB троянская программа
обнаружена угроза при попытке доступа в интернет следующим приложением:
C:\WINDOWS\system32\svchost.exe

похоже что svchost.exe заражен?

[Шапельский Александр]

ааа. только что нод выдал окошко с угрозой:
объект http://cry.tantoun.org/61.exe
модифицированный Win32/Injector.ASB троянская программа
обнаружена угроза при попытке доступа в интернет следующим приложением:
C:\WINDOWS\system32\svchost.exe

похоже что svchost.exe заражен?

Мне нужны логи, чтобы проверить.

Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Сделайте лог MBAM

Сделайте необходимые логи.

[amig0]

сегодня запустил компьютер, и опять они! те же самые вирусы!!! вот новые логи. на всякий случай прикрепил журнал Nod32. Может следует поставить заплатки на винду? или что-то еще?

[Шапельский Александр]

Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\WINDOWS\system32\.exe','');
 QuarantineFile('C:\WINDOWS\system32\upd32.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-5390719963-9051372126-572935010-1194\wmfcgr.exe','');
 QuarantineFile('C:\WINDOWS\system32\wshost32.exe','');
 QuarantineFile('C:\WINDOWS\jjdrive32.exe','');
 TerminateProcessByName('C:\WINDOWS\jjdrive32.exe');
 TerminateProcessByName('C:\WINDOWS\system32\.exe');
 TerminateProcessByName('C:\WINDOWS\system32\upd32.exe');
 DeleteFile('C:\WINDOWS\jjdrive32.exe');
 DeleteFile('C:\WINDOWS\system32\wshost32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-5390719963-9051372126-572935010-1194\wmfcgr.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wshost32');
 DeleteFile('C:\WINDOWS\system32\upd32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upd32');
 DeleteFile('C:\WINDOWS\system32\.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
DeleteFilemask('C:\Documents and Settings\Администратор\Local Settings\Temp','*.*',true);
DeleteFilemask('CC:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
Executerepair(11);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

Сделайте лог MBAM.

[amig0]

Сeгодня aнтивирь обновился и обнaружил зaрaжeнныe taskmgr.exe, notepad.exe (NOTEPAD.EXE). Тeпeрь нe зaпускaeтся диспeтчeр зaдaч и блокнот((( при зaпускe кaкого-либо тeкстового фaйлa сообщeниe: ''откaзaно в доступe к пути или устройству. Возможно у вaс нeт прaв для доступa к фaйлу'', a нод ругается на NOTEPAD.EXE. Логи пришлю позже. Сейчас сканирую комп нодом. Винду переустанавливать не хочу.. Надо раздобыть новый диспетчер задач и блокнот

[amig0]

вирусы уже начали экзешники игр жрать(((((. новые логи. обратите внимание на журнал нода. скачал новый taskmgr.exe. но нод и на него ругается... помогите!! очень нужна помощь!!!!!