Internet Explorer не открывает окна. KIS и AVZ не оновляется. Вообщем ...

Доброго дня

Уберите virusinfo_cure.zip из вложения!
не путайте карантин с нужными для анализа virusinfo_syscure.zip, virusinfo_syscheck.zip

проверьте на http://www.virustotal.com следующие файлы
ссылки на проверку сюда

E:\tlf_new\Win_Coder\BdeInst.dll
C:\WINDOWS\system32\drivers\dgderdrv.sys
C:\La2\system\npkycryp.sys

Вы делали проверку Combofix? приложите лог

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)
Обновляем систему до SP3. Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) (может потребоваться активация)

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Winkr30', 4);
SetServiceStart('Winne40', 4);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('SDEvents.dll','');
QuarantineFile('E:\tlf_new\Win_Coder\BdeInst.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winne40.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winkr30.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Winkr30.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winne40.sys');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteService('Winkr30');
DeleteService('Winne40');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)


http://www.smaxi.net сами выставляли стартовой страницей в браузере?
ProxyServer = http=67.23.18.233:8080;ftp=67.23.18.233:8080;https=67.23.18.233:8080
- ваши настройки?
195.58.1.117 l2authd.lineage2.com сами в Hosts добавляли?

Повторить логи с обновленными базами! + новый лог RSIT

Спасибо за работу!
Извините, что задержался с ответом (хотя, конечно, в первую очередь я заинтересованное лицо)

1. Отправить quarantine.zip не получается, т.к. он больше разрешенного размера
2. ProxyServer не мой - поэтому пофиксил
3. 195.58.1.117 - адрес игрушки жены
4. R3,o2,o17,024 - пофиксил
5. Основной скрипт выполнил
6. Файлы на сайте проверил - нормально

Почти все хорошо (т.е. IE и KIS отработали),
но не обновляется AVZ (ошибка [21,00002EFD]

Вы проходите лечение одновременно на двух ресурсах, что является недопустимым. Выберете, пожалуйста, ресурс, на котором хотите продолжить лечение.

Выбираю вас !!!

Помогите!

Во-первых непонятно, что все-таки с AVZ
Во-вторых - окна стали открываться очень медленно!!!

P.S. Простите, но припекло так, что хотелось обратиться хоть куда, лишь бы помогло.

Но ведь ваши и другие ответы не противоречили друг-другу, а только дополнили.
Хотя - все равно чо-то у меня не так

Еще раз извините ... :(

Почему IE не обновили, не говоря уже о SP3?
обновите Adobe Reader (http://get.adobe.com/reader/otherversions/) или деинсталлируйте.
Поймите, все рекомендации даются не просто так-это пути закрытия уязвимостей, иначе есть риск быть постоянным нашим пациентом!

Пофиксить в HijackThis следующие строчки:
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

лог Combofix приложите ! он у вас лежит здесь C:\ComboFix.txt

День добрый!
Adobe удалил, потом установлю новый. R18, 24 - пофиксил
протоколы Combofix и MBAM прикладываю

Проверьте на http://www.virustotal.com файл

c:\windows\regedit.exe

ссылку на результат запостите здесь

ваши файлы?
C:\Program Files\Uninstall Tool\utool.exe.BAK
C:\Downloads\Iam.The.Best_Platinum.Hide.IP.2.0.8.2.Port\Iam.The.Best_Platinum.Hide.IP.2.0.8.2.Port\P latinumHideIP\PlatinumHideIP.exe.BAK

Удалите в МБАМ все найденное, кроме

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

FCopy::
c:\windows\system32\dllcache\beep.sys | c:\windows\System32\drivers\beep.sys

RegLock::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

RegLockDel::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3F7CF783-FC3B-21BF-8539-F7A6323EE4EE}*]
RegNull::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{3F7CF783-FC3B-21BF-8539-F7A6323EE4EE}*]
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

День добрый!

Regedit проверил:
--------------------------
File name:
regedit.exe
Submission date:
2011-02-09 02:13:35 (UTC)
Current status:
finished
Result:
0/ 43 (0.0%)
---------------------------

2 файла (указанные) удалил

в МБАМ все выполнил

скрипт в ComboFix выполнил (правда попросила обновить в процессе выполнения, что и сделал)


AVZ как не обновлялся, так и ...

AVZ как не обновлялся »
Касперский обновляется? попробуйте его отключить и обновите базы AVZ/
Если не поможет, обновите базы с другой ОС и сделайте контрольные логи AVZ.

Далее, c:\windows\System32\drivers\beep.sys не найден. Это может быть особенностью сборки ОС. У вас сборка?
Рекомендую восстановить файл с аналогичной ОС или с дистрибутива в папку c:\windows\System32\drivers\ и папку c:\windows\system32\dllcache\

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

RegLock::
[HKEY_USERS\S-1-5-21-329068152-1957994488-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Вечер добрый!

1. Касперский обновляется
2. При отключении KIS все равно нет обновления AVZ
3. Обновление AVZ происходит (после некоторых проверок) при выборе режима обновления
не через "использовать настройки Internet Explorer" (это режим по умолчанию), а через
"прямое соединение с Internet"
4. Beep.sys найден и благополучно скопирован и ..\drivers и в ..\dllcache
5. Скрипт в ComboFix выполнен.

И все равно ни AVZ, ни сетевая игрушка L2 (у жены) не работают -
получается, что где-то напакостил вирус у настроек Internet Explorer

На всякий случай выполнил AVZ с драйверами расширенного мониторинга, выполнил HijackThis.exe.
И вместе с логом ComboFix посылаю Вам, вдруг что-то еще надо - говорите, сделаю !

Проверьте на http://www.oszone.net/go.php?url=http://www.virustotal.com

c:\windows\system32\FsUsbExService.Exe
c:\windows\system32\FsUsbExDisk.SYS



По для телефона самсунг устанавливали ?

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

День добрый!

1. c:\windows\system32\FsUsbExService.Exe
c:\windows\system32\FsUsbExDisk.SYS
отсутствуют (то ли я как-то с испугу, то ли какие-то антивирусные действия, но ...
вообщем их нет. Но помню точно, что их было не 2, а - 3.
2.ПО для Samsung-а устанавливал и именно после этого у меня и случилось это горе
Но, и к телефону оно не подошло :((
3. Gmer зипованный установил - запустил (про руткиты сообщений не было), лог прикладываю

Надеюсь !!!

Еще раз, добрый день!
В дополнение к предыдущему

Запустил Anvir Task Manager
говорит, что msmsgs.exe попал в автозагрузку (посмотрел - да, с параметром /backgound)
может так и должно быть, но помню, чтобы такое было

и среди сервисов есть запуск FSUsbExService, но файл не найден

Вот и все

удаляем по для самсунга?
в логе чисто

Здравствуйте!

Да не вопрос! Удаляем! Только нечего. В Program files и в Установленных программах этого ПО нет
Вот в чем дело.

Так что здесь какой-то мусор еще есть, коли AVZ не обновляется и игрушка, которая использует
настройки (или еще что, чего я не знаю ) Internet Explorer не работают

Помогите
Давайте еще что-нибудь чем нибудь проверим!!!

2.ПО для Samsung-а устанавливал и именно после этого у меня и случилось это горе »
Вот поэтому и спрашиваю.

Попробуйте удаилить ПО для самсунга обычным способом - если вы его не удаляли.

Потом выполните
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('FsUsbExService', 4);
QuarantineFile('C:\WINDOWS\system32\FsUsbExService.Exe','');
QuarantineFile('c:\windows\system32\FsUsbExDisk.SYS','');
DeleteFile('C:\WINDOWS\system32\FsUsbExService.Exe');
DeleteFile('c:\windows\system32\FsUsbExDisk.SYS');
DeleteService('FsUsbExService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

После обновите базы АВЗ и повторите логи.

вы не личились CureIt?

обновляйте IE до 8 версии!
Обновляйте сервис пак! иначе лечение бесполезно!

Меня озарило), прокси мы же с вами фиксили, а настройках браузера не проверили. идем в настройки и смотрим наличие настроек сети и удаляем прокси, если он там прописан.
В настройках браузера IE 6-я версия

1. выберите меню "Сервис" ("Service"), пункт "Свойства обозревателя" ("Internet Options");
2. вкладка "Соединение" ("Connections");
3. "Настройка" ("Settings") | "Настройка сети" ("LAN Settings") в подразделе "Настройка локальной сети" ("Local Area Network (LAN) Settings").
4. снять галочку рядом с опции "Использоваь прокси-сервер" ("use a proxy server");
5. Нажмите кнопку "OK" чтобы закрыть окно настроек Internet.

Утро доброе!
ПО Samsunga удалил, видимо, все-таки как-то некорректно (т.к. в списке установленных
программ его нет), но я эти файлы все-таки видел, сам на них внимание обратил и тогда может
их сам и удалил).
Скрипты выполнил. Только непонятно, чего это Messenger вдруг в автозапуске вылез.

К сожалению обновил базы AVZ до создания quarantine.zip (не знал, т.е обновил до прочтения писем)
Файл карантина выслал по форме.
По настройкам IE все нормально, т.е. прокси не прописан был и есть.

Обновлять IE буду, по сервис пакам некоторые проблемы :(

Спасибо!
Ждем, надежду не теряем!

Еще раз, утро доброе!

Я в тот день, когда пробовал ПО Samsung, пытался поработать с программой типа HideIP
Может и она что-то, где-то, как-то :)) успела поработать с настройками IE
Может в реестре временно что-то заменила, а после работы вируса откат не прошел
(это мысли вслух, а не ...)

Спасибо!

После обновите базы АВЗ и повторите логи. »
Где логи ?

Вместо IE пробовали альтернативные браузеры ?
Опера http://ru.opera.com/

и

Mozilla firefox http://mozilla-russia.org/