Подцепил троян

[Mark2]

Добрый вечер,

После скачивания файла Word начались проблемы -

1) В процессах мелькает роут.ехе
1) Падает Firefox;
2) Internet explorer иногда отображается с пробелом вместо строки адреса
3) Все тормозит, особенно в начале, при запуске Firefox.
3) Не могу прикрепить никакой файл к какому письму.
4) AVZ, HiJack - не запускаются. При наведении курсора мыши на эти файлы или папки все на секунду пропадает и появляется вновь, уже без этих файлов/папок на экране, просто рабочий стол (перезапускается explorer?)
5) Свежезагруженные CureIT не может запустится. Старый (39 дней назад обновление) не находит ничего. Сайт для загрузки AVP пропадает как в пункте 4.
6) Периодически вылетает браузер, при заходе на определенные страницы. Например на тему "Браузер не запускается..." в этом форуме.

Помогите пожалуйста. Что делать?

Ps. По моим подозрениям троян (или что это?) реагирует на определенные слова в браузере, типа Кас?%:рский, АВЗ, Хайджек и тд. Поэтому, не исключено что если в
этой теме будет использованы подобные слова троян не позвлит мне ее болше смотреть...

[thyrex]

Сделайте лог ComboFix

[Mark2]

Combofix блокируется, не запускается даже после переименования.

[Mark2]

Удалось установить и проверить все ESET NOD32

Нашел 5 угроз, удалил, проблемы уменьшились, удалось запустить AVZ. После перезагрузки все проьлемы вернулись. ESET NOD блокируется. Удаление и новая установка ESET NOD не помогает, запуск ESET NOD по прежнему блокируется. Почему получилось установить и проверить в первый раз без понятия.

Прилагаю логи ESET NOD Лог АВЗ бесследно исчез из папки АВЗ после перезагрузки.

[thyrex]

Пробуйте сделать логи AVZ в безопасном режиме с поддержкой командной строки, запустив его с ключом ag=y

[Mark2]

Получилось сделать логи предварительно вырубив explorer.exe в диспетчере задач. Видимо проблема в нем. Приложил к этому сообщению. Может этого достаточно?

Как запустить утилиты из командной строки в безопасном режиме? Записать путь к файлу на бумажке а потом ввести в командную строку? Как запустить файл "с ключом"?

[Mark2]

Сделал логи в безопасном режиме через команду выполнить в Диспетчере задач, без ключа, так как не знаю как запустить с ключом.

Приобщить к делу не могу, так как функция эта отключилась. Так же как и функция приложить какой-нибудь файл к письму.

[Mark2]

Удалось сделать логи АВЗ и Комбофикс (предварительно закрыв explorer.exe в диспетчере задач), заработала функция прикрепить файл. Некоторые логи АВЗ просто пропадают из папки (или не создаются). Прикрепляю последние сделанные логи (то что удалось сделать и сохранить).

[polword]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
d:\windows\system32\kslqhik.exe
d:\documents and settings\Марк\Главное меню\Программы\Автозагрузка\chkntfs.exe
d:\windows\pss\chkntfs.exeStartup

Driver::

NetSvc::

Folder::
d:\program files\Common Files\931E275Da

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="d:\windows\system32\userinit.exe,"
[-HKLM\~\startupfolder\D:^Documents and Settings^Марк^Главное меню^Программы^Автозагрузка^chkntfs.exe]

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Mark2]

Методом перетаскивания сделать не получилось (блокируется). Сделал через диспетчер задач (Ваш скрипт - Открыть с помощью - Комбофикс), с предварительным отключением explorer. После ребута заработал ESET NOD. Меньше тормозов. Пока не знаю, все ли в порядке - но вроде проблемы ушли. Прилагаю лог Комбофикс.

[Mark2]

На всякий случай сделал логи АВЗ. Взгляните, пожалуйста, все чисто?

[polword]

В логах подозрительного нет.
- Удалите ComboFix

[Mark2]

Сделал. Так же сделал новую учетную запись без прав администратора, теперь буду работать из нее.

Пароли везде менять не нужно?

[Mark2]

Несмотря на лечение видимо что-то осталось. Возможно занес новое. На съемном диске все папки превритились в ярлыки, прописан путь F:\rieonim.scr Поскольку этот самый rieonim был только что удален антивирусом ESET NOD все ярлыки (мои бывшие папки) недействуют. Количество свободного пространства на внешнем диске не изменилось, однако свои файлы из папок найти не могу. С файлами, которые лежат в корневой папке внешнего диска все ок.

Прилагаю логи АВЗ.

Помогите пожалуйста

[V_Bond]

лог ComboFix сделайте

[Mark2]

Вроде помогло, спасибо. Вынес в отдельную тему.

http://virusinfo.info/showthread.php?t=92070