Домашний ПК
машина тормозит и странно себя ведет: блокируються сайты антивирусных программ, процесс Opera остаеться активным даже после закрытия браузера, часто в opera не работает окно выбора пути (после нажатия на "открыть" или "сохранить" ничего не происходит), окно Internet explorer появляеться только после второго запуска браузера.
Сканирование CureIt и Kaspersky Virus removal tool не помогли, ровно как и сканирование KidoKiller'ом

логи

user1212, Выполните рекомендации.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\yxxqu4b.exe,\\?\globalr oot\systemroot\system32\n7r6abk.exe,


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\','');
QuarantineFile('\\?\globalroot\systemroot\system32\n7r6abk.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5003298383-9300882897-907112103-5759\nissan.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-5003298383-9300882897-907112103-5759\nissan.exe');
DeleteFile('\\?\globalroot\systemroot\system32\n7r6abk.exe');
DeleteFile('\\');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).
[hr]
После чего скачайте AVZ (http://www.forum.oszone.net/post-1330223-4.html) и сделайте логи скрипты.

Ответ:
n7r6abk.exe - Trojan.Win32.Scar.btuw

This file is detected by the latest antivirus databases.

Best regards, Kaspersky Lab



F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\yxxqu4b.exe,\\?\globalr oot\systemroot\system32\n7r6abk.exe

будучи fixed, эта строка при повторном сканировании появляеться вновь, т.е., как я понял, троян моментально восстанваливает этот файл

user1212, здравствуйте.

Удалите в МВАМ следущие строки:

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено папок:
C:\Documents and Settings\Администратор\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Program Files\VVSN (Adware.WhenU) -> No action taken.
C:\Program Files\VVSN\URL1 (Adware.WhenU) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.


Затем повторите логи МВАМ, AVZ, HijackThis. Что с проблемой?

Обновить базы avz не удалось, т.к. сайты антивирусных программ все еще заблокированы
использую AVZ версии 4.32 от 21.08.2009, дата сборки всех баз AVZ 21.08.2009

кстати, в папке windows\system32\drivers\etc нет файла hosts, есть только файл lmhosts. это тот же файл?

opera вроде-бы стала работать нормально

user1212, скачайте AVZ отсюда (http://virusnet.info/forum/downloads.php?do=file&id=12). Затем сделайте с помощью него новые логи.

спасибо, sanek_freeman, но "Сервис iFolder приостановлен следователями 3-й СЧ ГСУ при ГУВД Москвы."))

но "Сервис iFolder приостановлен следователями »
user1212, Вот АВЗ (http://depositfiles.com/files/4n40icqh7) базы сегодняшние(только что обновил.) скачать извлечь из архива и запустить АВЗ.

спасибо, iskander-k

Логи выложены старые

извиняюсь, перепутал папки

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteRepair(20);
RebootWindows(true);
end.

огромное спасибо, проблема решена

Установите Internet Explorer 8 (http://www.microsoft.com/rus/windows/internet-explorer/default.aspx)
Установите Adobe Acrobat 9.3 (www.adobe.com/products/acrobat/) или удалите старый

так и сделаю
всем спасибо за помощь!