Здравствуйте. Помогите пожалуйста. Каспер постоянно показывает, что обнаружил вредоносное ПО; комп сильно тормозит и процессор гудит как самолет при работе интернета; интернет постоянно отключается. Папка с логами virusinfo_cure.zip 3,41 Mb не прикрепляется, в системном сообщении написано- объем больше допустимого.

Здравствуйте.
virusinfo_cure.zip » прикреплять не нужно

а нужны логи virusinfo_syscure.zip, virusinfo_syscheck.zip

Проверьте сами на http://www.virustotal.com файл

C:\Documents and Settings\All Users.WINDOWS\Application Data\DatacardService\HWDeviceService.exe
c:\program files\ea games\need for speed hot pursuit 2\nfshp2.bak
c:\program files\iso commander\isocomm.exe.bak
C:\Program Files\\Outlook Express\setup50.exe

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\ea games\need for speed hot pursuit 2\nfshp2.bak','');
QuarantineFile('c:\program files\iso commander\isocomm.exe.bak','');
QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\rp11\a0021422.com');
DeleteFile('c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\rp11\a0021463.com');
DeleteFile('c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\rp11\a0021465.com');
DeleteFile('d:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

если не устанавливали http://webalta.ru стартовой и поисковой страницей
пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk


Сделайте повторные логи AVZ с обновленными базами + лог RSIR

+
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

http://www.virustotal.com/file-scan/report.html?id=5182a740ed50a59d3b3a8ed8b3a12b95367b011c2a31c76bff75c49fc960c676-1300639060# (http://)
http://www.virustotal.com/file-scan/report.html?id=0cafc21994fe5fbe30bcea730a0772241e25e479b0abe375cb8edf1565a8e653-1300444853 (http://)
https://www.virustotal.com/file-scan/report.html?id=fea51d523f39013af8f8e863385d384ec2fb8fd7d9f86ae75f0fecbc92079dc4-1301404415 (http://)
http://www.virustotal.com/file-scan/report.html?id=9498e3dee72c2b0385a74cc667b351589421ac942ad6c05f5c4d798b12e0f18f-1301405900 (http://)

Сделала все как сказали. Не поняла, что делать с ответом от Лаборатории Касперского, надо еще раз файлы отправить?

Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.
Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

A0021422.COM,
A0021463.COM,
A0021465.COM,
NFSHP2.bak

Вредоносный код в файлах не обнаружен.

autorun.inf,
avp.com,
ISOComm.exe.bak

Файлы в процессе обработки.

+ лог RSIR это тоже не поняла (извините, чайник)

еще один лог

Удалите в MBAM:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP5\A0005102.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP5\A0009161.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP5\A0009200.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP6\A0014870.exe (RiskWare.Tool.CK) -> No action taken.
d:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP26\A0034132.exe (PUP.Casino) -> No action taken.
d:\system volume information\_restore{65552a7b-6633-4bc8-a3c5-f68105aadfbc}\RP28\A0043707.exe (Trojan.Agent) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.



+ лог RSIR это тоже не поняла (извините, чайник) »
Пункт 6 правил (http://forum.oszone.net/post-717373-2.html)

Adobe Reader обновите до актуальной версии или деинсталлируйте.

Не поняла, что делать с ответом от Лаборатории Касперского, надо еще раз файлы отправить? »
Нет . Когда вам сообщают результаты проверки вы сообщаете их нам.

в MBAM удалита, Adobe Reader старую удалила, загрузила новую версию. Всеми программами комп проверила, вот новые логи.
И еще такой вопрос: виндос делает автоматическое обновление и выдает такое сообщение :Уведомление о результатах проверки подлинности Windows (KB905474), Это что, какая то неполадка в системе?

Уведомление о результатах проверки подлинности Windows (KB905474) »Это одно из обновлений

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\86a9~1\locals~1\temp\v2ar89pk.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\docume~1\86a9~1\locals~1\temp\v2ar89pk.sys');
BC_DeleteSvc('v2ar89pk');
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

повторите лог AVZ

Все сделала, вот новые логи

что с проблемой?

MBAM деинсталлируйте

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Все сделала, большое спасибо за помощь.
Вот еще такой вопрос: правда ли то, что Касперский при удалении зараженных объектов, удаляет и системные файлы (где этот объект находится), От этого компьютер работает медленнее?

NATALI NVCH, какие файлы удалил у вас антивирус?

проверка целостности системных файлов.
Вставить диск с дистрибутивом.
пуск - выполнить - ввести

sfc.exe /scannow
нажать enter

Для ускорения загрузки и работы системы выполните следующее:
1.проверка дисков. пуск - выполнить - ввести

chkdsk /f /r
нажать enter

2. дефрагментация дисков. Пуск - программы- стандартные - служебные -дефрагментация.
3. вручную запустите службы, запуск которых отмечен как "авто"
4. Откройте папку C:\Windows\prefetch удалите файл ntosboot-b00dfaad.pf - это немного ускорит загрузку.

Добавьте в реестр:

Windows Registry Editor Version 5.00

;Prefetcher - ускорение запуска системы и программ
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\MemoryManagement\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
Скопируйте этот текст в блокнот, сохраните под любым именем с расширением .reg , дважды кликните по файлу и подтвердите добавление. При этом служба "планировщик заданий" должна быть запущена.

Вставить диск с дистрибутивом.
пуск - выполнить - ввести
Код:
sfc.exe /scannow
нажать enter » Это сделала, программа что то проверила, но ответа никакого не дала.

Для ускорения загрузки и работы системы выполните следующее:
1.проверка дисков. пуск - выполнить - ввести
Код:
chkdsk /f /r
нажать enter » Это сделала, в ответ было сообщение: Тип файловой системы: NTFS.
Не удается заблокировать текущий диск.
Не возможно выполнить команду chkdsk /f /r, так как указанный том используется другим процессом. следует ли выполнить проверку этого тома при следующей перезагрузке системы? (Y(да)/N(нет))
Я нажимала Y, да, но результата никакого.
4. Откройте папку C:\Windows\prefetch удалите файл ntosboot-b00dfaad.pf - это немного ускорит загрузку. » такую папку я не нашла, прикладываю перечень моих программ.

Я нажимала Y, да, но результата никакого. »
проверка должна была произойти при следующей загрузке ПК

проверка должна была произойти при следующей загрузке ПК »
После перезагрузке компьютера никакой проверки не произошло. Вообще у меня сейчас проблема в том, что компьютер сильно тормозит. При включении загружается минут 5, интернет тоже тормозит (провайдер говорит дело в ОС, сначала был Скайлинк, теперь Мегафон), даже простые документы открываются долго. Сначала я думала это из за вируса, но теперь похоже все чисто, а тормозит вроде все сильнее. Подскажите, что делать.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Проверку в ComboFix сделала, вот лог.