здраствуте не заходит на майкрософтские сайты и на антивирусные сайты но я скачал все программы и не пойму что мне надо делать с начала ( проверил на AVZ нашол файл в Windows\system 32\>>>>>>> Net-worm.win32.kido.ih) что делать дальше подскажите пожалуйста

Прочтите правила (http://forum.oszone.net/thread-98169.html) как можно внимательнее и прикрепите файл hijackthis.zip и файлы virusinfo_syscure.zip и virusinfo_syscheck.zip из каталога AVZ\LOG

Выполните дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и прикрепите к сообщению.

прикрепил два файла один hijackthis а второй из проверки AVZ, при попытке сканирования программы GMER компьютер зависает

Нужны
файлы virusinfo_syscure.zip и virusinfo_syscheck.zip »

Пофиксите в HiJack
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe cagj.mmo jrffo
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\peJiMCx.exe,D:\WINDOWS\ system32\services.exe,\\?\globalroot\systemroot\system32\YHjGpES.exe,\\?\globalroot\systemroot\syste m32\rfkOzRq.exe,\\?\globalroot\systemroot\system32\2X0L0Cm.exe,
O2 - BHO: MS Media Module - {95DCAFE6-7DAC-D3F8-F793-4A6F2121AF0B} - %SYSTEMDRIVE%\aiK0e7FubY6gs.dll (file missing)Перезагрузитесь и сделайте новый лог HiJack

У вас кидо открытым текстом>>> Подозрение на маскировку ключа реестра службы\драйвера "bhwbenh"
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

вот нашол все зделал а вы оперативно работаете извините что так долго помогал удалять банер

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)
gmer.exe -del service bhwbenh
gmer.exe -del file "D:\WINDOWS\system32\ihkoshx.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bhwbenh"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bhwbenh"
gmer.exe -rebootИ запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

перезагрузился сделал новый лог включил интернет зашол в браузер браузер не загрузился все зависло появился синий экран с иероглифами пришлось нажать ресет кидаю лог и делаю ещё раз

зделал еще один лог ничего не обнаружил

Этот лог в порядке

Теперь предоставьте новые логи HiJack, virusinfo_syscheck.zip, virusinfo_syscure.zip

перезагрузился вылезла ошибка NT authority с кодом ошибки 1073741819

первый файл до перезагрузки второй после перезагрузки

все зделал но почемуто первый файл не получился virusinfo_syscure.zip а второй получился

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
DeleteFile('D:\aiK0e7FubY6gs.dll');
DelBHO('{95DCAFE6-7DAC-D3F8-F793-4A6F2121AF0B}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Попробуйте обновить базы AVZ

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SetAVZPMStatus(true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Повторите логи.

после первого скрипта вылезла ошибка NT authority с кодом 1073741819 иду на второй скрипт

вот зделал

Пофиксите в HiJack
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\peJiMCx.exe,D:\WINDOWS\ system32\services.exe,\\?\globalroot\systemroot\system32\YHjGpES.exe,\\?\globalroot\systemroot\syste m32\rfkOzRq.exe,\\?\globalroot\systemroot\system32\2X0L0Cm.exe,


Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\rfkOzRq.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\peJiMCx.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\YHjGpES.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\2X0L0Cm.exe','');
QuarantineFile('D:\WINDOWS\System32\netprotocol.dll','');
QuarantineFile('D:\Program Files\plugin.exe','');
DeleteFile('D:\Program Files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('D:\WINDOWS\System32\netprotocol.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','Serv iceDll');
DeleteFile('\\?\globalroot\systemroot\system32\2X0L0Cm.exe');
DeleteFile('\\?\globalroot\systemroot\system32\YHjGpES.exe');
DeleteFile('\\?\globalroot\systemroot\system32\peJiMCx.exe');
DeleteFile('\\?\globalroot\systemroot\system32\rfkOzRq.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

2X0L0Cm.exe - Trojan-Dropper.Win32.Agent.bmdn
netprotocol.dll - Trojan-Downloader.Win32.Piker.bvz
peJiMCx.exe - Trojan.Win32.Qhost.mnm
rfkOzRq.exe - Trojan.Win32.Agent.dhhx
YHjGpES.exe - Trojan.Win32.Qhost.mna

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini,
CSManager.exe

Файлы в процессе обработки.

wmenc.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

логи готовы

Garrick, здравствуйте.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\burnlib.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\enc_vorbis.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_crasher.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ff.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_jumpex.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ml.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_orgler.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_tray.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_cdda.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_dshow.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_flac.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_linein.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_midi.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mod.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mp3.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_vorbis.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wav.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wm.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_autotag.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_dash.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_impex.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_local.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_nowplaying.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_online.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_orb.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_playlists.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_wire.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\out_ds.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_ipod.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_p4s.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_avs.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_milk2.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_nsfs.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winamp.lng','');
QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winampa.lng','');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\burnlib.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\enc_vorbis.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_crasher.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ff.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_jumpex.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ml.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_orgler.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_tray.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_cdda.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_dshow.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_flac.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_linein.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_midi.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mod.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mp3.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_vorbis.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wav.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wm.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_autotag.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_dash.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_impex.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_local.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_nowplaying.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_online.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_orb.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_playlists.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_wire.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\out_ds.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_ipod.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_p4s.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_avs.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_milk2.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_nsfs.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winamp.lng');
DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winampa.lng');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://malwarebytes.gt500.org/mbam-rules.exe).

После этого повторите логи. Проблемы остались?

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

2X0L0Cm.exe - Trojan-Dropper.Win32.Agent.bmdn
netprotocol.dll - Trojan-Downloader.Win32.Piker.bvz
peJiMCx.exe - Trojan.Win32.Qhost.mnm
rfkOzRq.exe - Trojan.Win32.Agent.dhhx
YHjGpES.exe - Trojan.Win32.Qhost.mna

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini,
bcqr00013.ini,
bcqr00014.ini,
bcqr00015.ini,
bcqr00016.ini,
bcqr00017.ini,
bcqr00018.ini,
bcqr00019.ini,
bcqr00020.ini,
bcqr00021.ini,
bcqr00022.ini,
bcqr00023.ini,
bcqr00024.ini,
bcqr00025.ini,
bcqr00026.ini,
bcqr00027.ini,
bcqr00028.ini,
bcqr00029.ini,
bcqr00030.ini,
bcqr00031.ini,
bcqr00032.ini,
bcqr00033.ini,
bcqr00034.ini,
bcqr00035.ini,
bcqr00036.ini,
bcqr00037.ini,
bcqr00038.ini,
bcqr00039.ini,
bcqr00040.ini,
bcqr00041.ini,
bcqr00042.ini,
bcqr00043.ini,
bcqr00044.ini,
bcqr00045.ini,
bcqr00046.ini,
bcqr00047.ini,
bcqr00048.ini,
bcqr00049.ini,
bcqr00050.ini,
bcqr00051.ini,
bcqr00052.ini,
bcqr00053.ini,
bcqr00054.ini,
bcqr00055.ini,
bcqr00056.ini,
bcqr00057.ini,
bcqr00058.ini,
bcqr00059.ini,
bcqr00060.ini,
bcqr00061.ini,
bcqr00062.ini,
bcqr00063.ini,
bcqr00064.ini,
bcqr00065.ini,
bcqr00066.ini,
bcqr00067.ini,
bcqr00068.ini,
bcqr00069.ini,
bcqr00070.ini,
CSManager.exe

Файлы в процессе обработки.

wmenc.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского