Вчера начал замечать стандартный звук ошибки Винды (без каких либо окошечек и уведомлений, просто звук) после которого в диспетчере нарисовывается процесс IEXPLORE.EXE (именно большими буквами) и активно размножается (доходил до 3). Потом я заметил что и Opera так же начала множить процессы (доходило до 5). В принципе оперативы не сильно много жрут (кроме основного процесса оперы - я сижу исключительно с неё, а инэтоэксплорер не запускаю никогда) но напрягает их появление. Ещё заметил что процесс System после загрузки скачкообразно подвисал до 40% но быстро сам отходил. Раннее ничего подобного небыло, из ПО ставил за последнее время (дня три ещё назад) Neospy - утилита для контроля компа, её AVZ в карантин прибрал.
Блокировка обновления Винды - эту хрень заметил позжее в AVZ, исправил. Эффекта Ноль.
з.ы. Файлы ИЕ сносил нафиг и влил с абсолютно чистой системы. Непомогло, хотя они хоть не так быстро плодится помоему стали.
з.ы.2 Запускает эти процессы кажется винлогон. именно он не давал обновить файлы ие.

з.ы.3 Да и ещё вот - снес нафиг все что было в папке ИЕ. Теперь с таким же звуком ошибки вылазиет второй процесс оперы...

LonelyUA, здравствуйте.

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('StarWindServiceAE.sys','');
DeleteFile('StarWindServiceAE.sys');
DeleteService('StarWindServiceAE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(13);
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.

Если ваш провайдер не Ukrainian Mobile Communications или вам не знакомы данные DNS-адреса (80.255.64.23; 80.255.64.24), то:

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

O17 - HKLM\System\CCS\Services\Tcpip\..\{7A3724B4-686C-4B81-A242-5EBACE3AF9CC}: NameServer = 80.255.64.23 80.255.64.24


Плюс к этому сделайте:
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://malwarebytes.gt500.org/mbam-rules.exe).

Проблемы остались?

Большое спасибо за советы!
1) Скрипты в AVZ выполнил, UMS - мой провайдер поэтому хайджек не трогал.
2) В карантине AVZ было пару файликов .ini, я их отправил касперским, но сомневаюсь что это совсем то (разве там не предполагаемый вир должен быть?)
3) MBAM Установил, обновил, просканировал, нашел пару ключей реестра и 4 файлика, почистил.

В общем вроде бы ничего левого не запускается но иногда без всякой причины подвисает процесс System.exe до 40-50%, безсистематично так сам же и отвисает. Может это изза Доктора Веба+Оутпост+МВАМ? Я вроде бы оставил только Оутпсот включенным... Тем более что раньше оутпост и док вроде бы работали благополучно.

В карантине AVZ было пару файликов .ini, я их отправил касперским, но сомневаюсь что это совсем то (разве там не предполагаемый вир должен быть?) »
AVZ переименовывает файлы карантина в файлы с расширением *.ini. Так и должно быть. Подождем ответа из ЛК.
MBAM Установил, обновил, просканировал, нашел пару ключей реестра и 4 файлика, почистил. »
Почему лог не выложили?
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
В общем вроде бы ничего левого не запускается но иногда без всякой причины подвисает процесс System.exe до 40-50%, безсистематично так сам же и отвисает. Может это изза Доктора Веба+Оутпост+МВАМ? Я вроде бы оставил только Оутпсот включенным... Тем более что раньше оутпост и док вроде бы работали благополучно. »
Быть может... Повторите логи AVZ и HijackThis.

Вот выкладываю логи.
Про МВАМовский лог забыл, простите, не дочитал. Вот он. Правда реестр и три файла я удалял со второго раза.
А ответа от касперских все нет. Все же боюсь в архиве не совсем то что надо. два .ини файла по 128 байт...ну вам виднее

Malwarebytes' Anti-Malware 1.44
Версия базы данных: 3683
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

03.02.2010 16:48:00
mbam-log-2010-02-03 (16-48-00).txt

Тип проверки: Полная (D:\|E:\|)
Проверено объектов: 184078
Прошло времени: 24 minute(s), 38 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 4

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Not selected for removal.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
D:\Documents and Settings\Lonely\Рабочий стол\NET\#Download NET#\Программы\portable_necessary\Portable NS.exe (Trojan.Downloader) -> Not selected for removal.
D:\Program Files\Total commander XCV Edition\Plugins\exe\SFX Tool\Upack.exe (Malware.Packer) -> Not selected for removal.
D:\Program Files\DrWeb\infected.!!!\vozacka.exe.618A5E33 (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{CFE68BE3-E689-4A4D-B3C4-798A5D3141FF}\RP2\A0000080.exe (Backdoor.Agent) -> Not selected for removal.

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Not selected for removal. »Заражено файлов:
D:\System Volume Information\_restore{CFE68BE3-E689-4A4D-B3C4-798A5D3141FF}\RP2\A0000080.exe (Backdoor.Agent) -> Not selected for removal. »
Почему не удалили эти ключи и файл с помощью МВАМ? Обязательно сделайте это.

А так по логам чисто. Проблемы наблюдаются?

Правда реестр и три файла я удалял со второго раза. »
Просто это самый первый лог, я решил по одному файлу сносить а те проверить пока, а МВАМ взял да и закрыл список угроз после первого удаления одного файла... Короче я второй раз просканировал, выискал этих зловредов и снес нафиг.
Проблем уже пожалуй нет. Вчера system.exe успешно повесил систему, и я снёс нафиг Доктора вэба. Вроде перестал виснуть, наверно и правду Док с МВАМ несдружился.. ну и фиг с ним. Процессы браузеров не вылазиют и не размножаются.

СПАСИБО БОЛЬШОЕ!