Здравствуйте! Недавно заразился вирусом.
Началось все с запуска установки майскрософт оффиса при запуске системы. При очередном сносе процесса установки вылетела ошибка "Невозможно запустить jyky.fjo" - это был один из его файлов, который я вручную нашел и удалил. Так же антивирус нашел еще 3 - 4 файла в system32 и удалил их. Стоит антивирус Аваст - профессионал едитион. В хостах так же нашел кучу строк с адресами всех антивирусных сайтов, удалил. Но это не помогло. Сканил систему KidoKiller'ом - не помогло. Чистил реестр CCleaner'ом - не помогло. Что еще можно предпринять кроме переустановки винды?

Для начало вам надо проверить антивирусником помощнее , по типу Касперского и нода , но я лучше бы посоветовал касперского , запустить проверку руткитов и полное сканирования ПК , если не поможет , воспользуйтесь антивирусом AVG , он может помочь , но для начало посоветую каспера.

Что еще можно предпринять кроме переустановки винды? »
Выполните рекомендации (http://www.forum.oszone.net/post-717373-2.html) и прикрепите к следующему сообщению полученные логи.

2. Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

У меня не открываются эти ссылки, что даны в рекомендациях. Можно альтернативный источник?

Скачал всетаки эти программы, сделал все по инструкции. Сайты антивирусов всеравно не открываются. Вот файлы.

Ах да, др. вебом нашел какие то 5 троянов, AVZ вроде тоже штуки 4 нашел, но сайты как не открывались - так и не открываются.

Еще сделал логи комбофиксом по совету из другой темы...

El Caballero, Вот такие рекомендации получились. :)


Предварительные рекомендации перед лечением:

Отключите интернет и локальную сеть если таковая имеется.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.

Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.


* Как это сделать, подробно можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.


• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteRepair(1);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.


• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56943:TCP"=-

FileLook::

DirLook::



После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/CFScript.gif


Повторите логи и что с проблемой? Логи сделайте Полиморфной версией AVZ (http://ifolder.ru/13623748). У вас старая и базы не обновлены
База поcледний раз обновлялась 21.08.2009

Я не могу обновить AVZ, т.к. у меня заблокирован сайт, с которого он обновляется. Как мне его обновить каким либо другим способом?

El Caballero, Я вам её обновил и прикрепил в архиве, как скачаете, напишите, архив удалю, так как он ~5.5 МБ.

Скрипты выполняли, проблема я так понял, осталась?

Выполнял все, что написано тут http://www.forum.oszone.net/post-717373.html#post717373 - не помогло. Сейчас попробую это сделать заново с обновленным AVZ, и выполню то что вы сейчас написали.
Архив можете удалять - скачал.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteRepair(1);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения этого шага все исправилось, теперь нормально заходит на сайты антивирусов.
Вот логи AVZ с новыми базами.

Можно узнать, что это был за вирус и как он действовал?

Можно узнать, что это был за вирус и как он действовал? »Скорее всего помогла команда восстановления ExecuteRepair(20), просто эта команда появилась сравнительно недавно, буквально на днях, а старая версия AVZ её не имеет, но ту что я вам дал, там эта возможность уже присутствует. Вот и сработал скрипт. Это ещё один аргумент, чтобы пользоваться последними версиями программ в лечении. :)
В AVZ появилась новая фича - восстановление системы может вычищать статические маршруты (делая их бекап на всякий случай), а встроенное в AVZ средство резервного копирования - создавать резервную копию статических настроек. Необходимо это на случай, если зловред создает посторонние статические маршруты для блокировки антивирусных сайтов. Применять это следует по необходимости, скоро появится визард, который будет удалять явно зловредные маршруты в автоматическом режиме. Функционал появится в AVZ после обновления баз ...

По логам вредного ничего не вижу.

Хотел бы глянуть эту ветку реестра у вас
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicyМожете сделать так. Перейти в реестр, правой кнопкой щёлкнуть по пункту FirewallPolicy - экспортировать и сохранить куда-нибудь, откртыть сохранённый .reg файл в блокноте и скопировать сюда, оформив тегом код - #

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
"1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015"
"1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016"
"500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile]
"EnableFirewall"=dword:00000001
"DisableNotifications"=dword:00000000
"DoNotAllowExceptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Program Files\\uTorrent_1.6.1\\utorrent.exe"="D:\\Program Files\\uTorrent_1.6.1\\utorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\Opera\\opera.exe"="C:\\Program Files\\Opera\\opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"="C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard Profile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008"
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015"
"1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016"
"500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017"
"56943:TCP"="56943:TCP"
"5985:TCP"="5985:TCP:*:Disabled:Удаленное управление Windows "

El Caballero, Благодарю. :up: