Здравствуйте!:)

25 марта 2011г. вирус-баннер заблокировал систему: Винда 2000 Профешинал сервис пак 4.
Коды по сайтам ДокторВеба и
Касперского не нашлись. Войти в систему невозможно никак - диспетчер задач,
безопасный режим и проч, всё отключено.
Загрузилась с ливСД (оболочка ХП), на ливке встроена куча утилит, в том числе ERD Commander.
Сейчас сижу с аварийной системы на СД.
Сутки работал свежий антивирусняк от Доктора Веба (бесплатный паучок), нашёл два трояна,
удалил. Система не запускается.
Проблема та же, что тут: http://forum.oszone.net/thread-62657.html

После удаления вируса с баннером, не могу войти в систему. Логин/пароль - успешно,
на мгновение мелькает пустой Раб стол (не экран смерти! цвет - тот, что я устанавливала,
но абсолютно пустой); тут же вылетает снова на окошко: "логин/пароль".

Сравнила последние неудачные запуски с нормальными - по логу winlogon.log
Никаких отличий от успешных запусков не видать. Везде пишет одинаково. Так:

"03/29/2011 14:37:10
Фильтр задержки вызова параметра реестра.
Анализ machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel.
Анализ machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand.
тут ещё длинная таблица значений

Анализ MACHINE\Software\Microsoft\Driver Signing\Policy.
Копирование локальной политики.
----Модуль конфигурации инициализирован успешно.----

----Чтение данных шаблона конфигурации...


----Настройка прав пользователя...
Настройка S-1-5-32-544.
Настройка S-1-5-32-551.
Настройка S-1-5-21-1085031214-1606980848-1708537768-1000.
Настройка S-1-5-32-547.
Настройка S-1-5-32-545.
Настройка S-1-1-0.
Настройка S-1-5-6.
Настройка S-1-5-21-1085031214-1606980848-1708537768-501.

Настройка прав пользователя выполнена успешно.


----Настройка политики безопасности...
Настройка параметров паролей.

Настройка системного доступа выполнена успешно.
Настройка параметров аудита событий.

Настройка аудита/протоколирования выполнена успешно.
Настройка machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\securitylevel.
Настройка machine\software\microsoft\windows nt\currentversion\setup\recoveryconsole\setcommand.
тоже длинная таблица значений

Настройка значений разделов реестра выполнена успешно.


----Настройка доступных модулей дополнений...

Настройка модулей дополнений выполнена успешно.


----Деинициализация модуля настройки..."

Там, где логи прошлых успешных запусков системы (до появления баннера),
всё ровно то ж самое написано!

Я начиталась советов у Касперского и Веба, на разных форумах. У вас тоже.)))
Залезла в реестр. Там была в ключе Winlogon написана чушь:
C:\DOCUME~1\9335~1\LOCALS~1\Temp\userinit.exe
Поменяла на нормальное значение через ЕРД Коммандер, так
(не копировала, ввела руками с клавиатуры):
C:\WINDOWS\system32\userinit.exe,

В параметре Shell стояло Explorer.exe (как положено).

ERD Commander 5 из-под ХП нормально сохраняет реестр для Винды 2000? В нужной кодировке?
Или нужно искать другую утилиту для починки моего реестра?
На ливке есть ещё regedit.exe и RegOrganiser.

В ветке реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
нет файла userinit.exe. Я три раза прочитала, нету! Зато там вот такая папка имеется:
"Your Image File Name Here without a path" - так должно быть?
После неё идёт последняя папка с этом ключе: "_INSTPGM.EXE".

B "Your Image File Name Here without a path" значения такие (3 строки) :
(Default) (value not set)
Debagger ntsd-d
GlobalFlog 0x000010F0

Это нормально, так должно быть?

В папке system32 есть файлы USERINIT.EXE - так! большими буквами; user.exe;
USER32.DLL; USERENV.DLL. В свойствах екзешников видно, что Майкрософтовские.

В папке C:\Documents and Settings\All Users лежат файлы:

ntuser.dat.LOG
ntuser.dat
ntuser.pol


В папке C:\Documents and Settings\Default User файлы:
NTUSER.DAT
NtUser.dat.LOG

В папке C:\Documents and Settings\Администратор файлы:
ntuser.ini; ntuser.dat.LOG и NTUSER.DAT

В файле ntuser.ini (текстовый редактор открыл,
копировала на Д, чтобы не повредить ничего)
написано следующее:
[General]
ExclusionList=Local Settings;Temporary Internet Files;History;Temp

Была на диске С папка TEMP (C:\TEMP), в ней единственный файл, текстовый! Доктор Веб
его не опознал вирусом, но файл оч странный. И я его в эту папку сама не кидала
и ничего такого не писала, разумеется. Удалила её целиком с С из-под ливки (скопировала на Д целиком и заархивировала
Винраром). Файл назвается debug.txt, создан был 15 марта 2011 г.
(за 10 дней до баннера), а в нём вот что:
0275C188
0275CA68
02A79EA0
02AA3CC0
02AB2FE8
02AB2FE8
02A77E50

Что это за дрянь? Похоже на какой-то код.

В папке C:\Documents and Settings\Администратор\Local Settings\Application Data
были странные файлы с именами "0.31961098882015404.exe" и !!! "userinit.exe" -
оба созданы 25/03/2011 - в день появления баннера. В свойствах стоит, что это
приложения "Java SE Binary". Антивирусом не опознаны как трояны и тп, но выглядят
подозрительно. Я их скопировала на Д, заархивировала, потом удалила сами exe - с Д,
и с диска С (где больная Винда 2000).


Да, вот ещё, забыла! Папка C:\WINNT\repair имеется, там вроде все файлы целы
и родные майкрософтовские. Но если в систем32 из неё скопировать software
и ntuser.dat, например, и проч, у меня полетят все программы из
профиля Администратор - так?

В ЕРД Коммандер есть утилиты:
ERD Crash Analiser
ERD System Restore
ERD System Compare
Изменение пароля
Управление компьютером

Но я с ним ни разу в жизни не работала, потому пока не запускала.

avz.exe тоже имеется - и на ливке, и свежий скачала с Касперского. Но он не работает
из-под чужой системы - анализирует только Винду моей ливки.

Пока ничего больше не трогала, жду советов. Может быть, что-то можно сделать?
Как хотя бы восстановить включение Безопасного режима и запуск диспетчера задач?
Мож, из диспетчера удастся запустить avz?

Пока всё. Что можно сделать ещё, чтобы всё-таки запустить систему? Очень нужно!!!

Только, пожалуйста, если кто-то может помочь, ответьте подробно, без проф. сленга
и пошагово.
Я в жизни компами и программированием не занимаюсь и вообще чистый гуманитарий.)))

После удаления вируса с баннером, не могу войти в систему. Логин/пароль - успешно,
на мгновение мелькает пустой Раб стол (не экран смерти! цвет - тот, что я устанавливала,
но абсолютно пустой); тут же вылетает снова на окошко: "логин/пароль". »
система не находит userinit.exe
Или не правильно прописали путь или файл в указанном месте отсутствует\поврежден.

загрузитесь с livecd и поищите userinit.exe на диске C:\
Если найдете, в параметр
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit впишите путь к вашему файлу.

Если не найдете, userinit.exe нужно будет перенести с установочного диска.
как заменить системный файл (http://safezone.cc/forum/showthread.php?t=10616)
\\
консоль восстановления windows 2000 (http://support.microsoft.com/kb/229716/ru)

Замучилась, пока вошла на форум, кошмар!))) Целый день сегодня пыталась зарегиться и получала сообщение от автомата, что не тот домен и проч. Вообще-то я в локальной сети с серым ай-пишником сижу, за НАТом, а кроме того, у меня теперь постоянно включён фаэрвол (Агнитум Аутопост Фаэрвол). Навозилась я с этим блокиратором, никогда больше отключать Агнитум не стану - он хорошо ловит несанкционированные входы в комп.

Но мне оч хотелось снова попасть на форум с единственной целью: поблагодарить за спасение моей Винды:) Вы мне оч помогли!!! Пусть ответил всего один человек, зато совершенно правильно. А перед этим я у вас столько полезной инфы прочла и скачала нужные прграммы.:) Потому спецом щас перезагрузилась с ливки - сидюку вирусы не страшны.

Короче: проблема решена.)))

Katharsis, вы были абсолютно правы. спасибо, что откликнулись. И я в принципе делала тоже всё верно, но в правке реестра ошиблась, да так глупо. И раз за разом пересматривая правленный реестр, не видела ошибки. Устала, мозги отказали.
Конечно, программист бы так никогда не вляпался, но моя специальность от компов далека.:) Я-то чайник, а не профи.)))

А ошибка была такая. В ключе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
наткюкала, прописывая путь к файлу юзера, точно то, что даётся в примерах исправления. То есть:
C:\WINDOWS\system32\userinit.exe,

Так пишут на куче сайтов, на здешнем форуме, на сайте Касперского и т.д.

А надо писать реальный адрес, где расположена ось и папка систем32. В моём случае это была вовсе не Windows, a WINNT.

Исправила ключ реестра на
C:\WNNT\system32\userinit.exe,
- и привет родная Винда и целёхонький Рабочий стол! :yahoo:

Обрела я свой комп в ночь с 31 марта на 1-го апреля, ага))) Страшно рада.

Пришлось, конечно, пройтись avz.exe по системе, у меня куча функций реерстра оказались отключены, ключи переписаны; редактор реестра и диспетчер задач не работал и ещё кое-что по мелочи, но всё ерунда - АВЗ помог! Теперь не просто всё работает - как часы пашет, летает просто. И вся программная среда на месте, файлы целы.

Спасибо вам ещё раз! Отличный форум, выручили вы меня.:)

Провериться после разблокировки на чистоту системы не хотите?

Провериться после разблокировки на чистоту системы не хотите? »
Если не хотите, то ждите сюрприза в виде банера снова.
Если не будет логов, то... (http://forum.oszone.net/thread-98169.html) - долечивайтесь

maniy77, Katharsis, спасибо, что откликнулись.)))

А я проверила систему дважды.:) ДокторВебом проверяла - сначала делала полную проверку с ливки и удалила два трояна, второй раз проверяла после захода в систему - чисто. Логи не сохранила, но могу позже проверить ещё раз и тогда уже прислать.

А ещё прошлась по системе авз - тоже два раза. И пришлось из авз запускать восстановление системы, мне программа очень помогла, но сделала не всё, что я хотела. Логи из авз у меня сохранены, я их поищу, сформулирую свои вопросы и ещё раз сюда приду. Мне надо некоторые настройки в системе поменять - я из отчёта авз увидела, что у меня на компе разрешён доступ анонимному пользователю (раньше такого не было!), ещё какие-то вещи он отметил. Сейчас буду разбираться.))

Я у вас прочла уже всё про логи - как и какие надо делать, попробую.)) А как их прикреплять? Тут справа вижу кнопку Вложить файлы - Прикрепить файл. Это надо нажимать?:)

Мне надо некоторые настройки в системе поменять - я из отчёта авз увидела, что у меня на компе разрешён доступ анонимному пользователю (раньше такого не было!) »
давайте настроим
Прикрепить файл. Это надо нажимать? »
да, нужны логи от AVZ - irusinfo_syscure.zip, virusinfo_syscheck.zip,
RSIT - log.txt, info.txt

maniy77, логи сделала:)

Система была заблокирована вирусом так, что войти удавалось только с аварийной загрузочной.

Что было сделано:
1) Когда я ещё не могла войти в заблокированную Винду и сидела с ливки, сделала полную проверку антивирусом Доктор Веб, он мне нашёл и удалил много гадости. Вот это:

winarj.exe;C:\Documents and Settings\Администратор\Application Data\samson;Trojan.SMSSend.310;Удален.;
winzipv.exe;C:\Documents and Settings\Администратор\Application Data\samson;Trojan.SMSSend.310;Удален.;
Dc184.exe;C:\RECYCLER\S-1-5-18;Adware.SearchAid.99;Удален.;
Ontrack_EasyRecovery_Professional_v61202_Full-2040-94684021.exe;C:\SOFT\1_Диагностика\EasyRecovery_Professional;Tool.SMSSend.106;Удален.;
setup_TV_player.exe;C:\SOFT\PLAYR\TV_PLAYER CLASSIC;Trojan.Mycentria.185;Удален.;
Djvu.Reader.v2.0.26.exe;C:\SOFT\ЧИТАЛКА\ДЕЖАВЮ_Ридер;Trojan.SMSSend.146;Удален.;

2) Потом я исправила реестр (ключ Юзеринит - через ЕРД Коммандер с ливки) и вошла в систему. Запустила АВЗ и заказала там "Восстановление системы" - все пункты, кроме следующих:
5. Восстановление настроек Раб. Стола
14. Автоматическое исправление настроек SPI/LSP
18. Полное пересоздание настроек SPI
19. Очистить ключи MountPoints & MountPoints2
20. Настройки TCP/IP удалить статические маршруты
21. Заменить DNS всех подключений на Google Public DNS

3) Ещё раз запускала полную проверку Д-рВебом, он не нашёл никаких вирусов.

4) Сегодня (4 апр 2011) сделала свежие логи системы.

Логи АВЗ получились нормально, программа отработала без проблем.
RSIT проработал странно: под конец завис намертво, пришлось прерывать. Пыталась запускать дважды, но с тем же результатом. Всё-таки прикрепила эти логи тоже - те, что получились.
Запустила HijackThis, с ним всё было нормально; его лог тоже прикрепляю.

Я их сама посмотрела, правда, я в этом ничего не понимаю.)) Но вопросы у меня появились.

АВЗ показала: ">> Безопасность: к ПК разрешен доступ анонимного пользователя" - как это можно изменить?
Ещё, как мне показалось, программа наперехватывала лишнее (управление от Агнитум Аутпост Фаэрвол), если я не ошибаюсь. Как это восстановить? Фаэрвол мне нужен.
А ещё АВЗ пишет:
>> Нарушение ассоциации REG файлов
Что с этим делать?

В HijackThis вижу в ключах реестра пару подозрительных адресов.
Один - smaxi.net.
Этот адрес в нескольких ключах прописался. Я точно знаю, что эта дрянь (smaxi) осталась от вируса. Как её правильно убрать, чтобы ничего не порушить?))

И вот это Яххо я бы тоже убрала, оч странно выглядит. Да и вообще мне никакие службы Яххо не нужны, я не хожу туда и поиском их не пользуюсь.
us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com


****
Очень жду советов и заранее спасибо за помощь!:)

Не отходя далеко.

Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=8&act=down). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Очень желательно установить антивирус. Хоть какой нибудь.

1.В целях безопасности скачайте и установите Internet Explorer 8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

2. В логе сканирования Hijackthis отметьте:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

нажмите "Fix checked"

3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('system.exe');
QuarantineFile('system.exe','');
QuarantineFile('ServiceLayer.ex','');
DeleteFile('system.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

4.Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. (http://data.mbamupdates.com/tools/mbam-rules.exe)

5.обновите adobe reader (http://www.adobe.com/support/downloads/product.jsp?platform=windows&product=10)

Анонимного пользователя исправил в скрипте.

6. К следующему посту должны бить приложены новые логи:

- virusinfo_syscheck.zip
- RSIT (отметьте проверку файлов за 3 месяца)
- Malwarebytes' Anti-Malware
- GMER

Katharsis, антивирус поставлю, конечно. Пока демо-версию Д-рВеба на 30 дней, потом Каспера, а дальше выберу, какой понравится больше.

ИЕ8 под Винду2000 не ставится, во всяком случае я не нашла версию для моей системы. Попробую обновить штатными средствами Майкрософт. Может, так получится?
Хотя я вообще не использую ИЕ, неудобный он. Пользуюсь Мозиллой и Оперой. Но иногда в Ворде нажимается случайно ссылка, тогда автоматом открывается ИЕ - было несколько раз, несмотря на то, что у меня браузером по умолчанию стоит Мозилла.

Адоб Ридер тоже постараюсь обновить до той версии, что на мою машину встанет, спасибо за совет.

GMER скачала, не могу лог сделать, вообще не могу им просканировать - сначала он принял за руткит мой фаэрвол, который я предварительно отключила (автоматом при запуске идёт быстрая проверка), потом я заказываю сканирование обоих дисков, минуту работает и тут же комп вылетает на перезагрузку. Два раза так получилось, больше я не экспериментировала с GMER.

****
Строчки в ХайДжек отметила, исправила.

Скрипты в АВЗ честно сделала - оба. После первого перезагружалась.

Вижу, что мой фаэрвол после выполнения скрипта и перезагрузки теперь не встаёт первым в трей. Так не должно быть. Фаэрвол шёл раньше всегда первым в автозагрузке и перехватывал кучу функций на себя. Это нормальная лицензионная программа. Вот отсюда:
http://www.agnitum.ru/products/outpost/index.php

Я и вирусы наловила потому что стала отключать в какой-то момент фаэрвол, забывала об этом и лезла в сеть, потом спохватывалась и включала, да поздно, как выяснилось.

Вы что-то в скрипте прописали, отчего порядок автозагрузки и работа фаэрвола изменилась, или мне это просто кажется?

Простите, если вопросы выглядят дурацкими, но мне сложно.:) Я не программист, я филолог.))) И всегда боюсь не на ту кнопку нажать или что-то не то сделать на компе. Мне потом сложно будет восстанавливать прежнюю конфигурацию, я мало что в таком понимаю.

Если что-то после выполнения скриптов перестанет работать (из нужного), надеюсь, можно будет откатить назад?))

Вижу в вашем скрипте файл ServiceLayer.ex. (Скрипт я выполнила!) Но сначала нашла поиском до диску С файл ServiceLayer.exe - это файл от Нокии, 2008г. Скопировала его на Д в архиве и адрес прописала, где он на С стоит (на всяк случай).
У меня с 2008 работает утилита от Нокии (скачена с офиц. сайта, подпись Нокии имеется), для моего же телефона. Я с её помощью соединяю телефон с компьютером. С 2008 г.с ней никаких сюрпризов не было. Или это разные программы?

RSIT я уже пыталась запускать, писала об этом в прошлом посте. У меня эта программа не работает как положено, зависает в самом конце. Ещё раз её запускать - после ваших скриптов? Или не нужно?

Malwarebytes' Anti-Malware - скачала, установила успешно, сейчас буду сканировать и логи выложу.
От АВЗ - уже после выполнения двух скриптов - тоже. Как только комп проработает.:)

ИЕ8 под Винду2000 не ставится » Очень она у вас старенькая. Обновить бы не помешало. Почему важно обновлять Windows и установленные в ней программы (http://www.securitylab.ru/contest/394914.php) IE необходимо обновлять в целях безопасности, а не для использования. Adobe reader если не нужен - деинсталлируйте, нужен - скачайте свежий и переустановите.

GMER скачала, не могу лог сделать, вообще не могу им просканировать - сначала он принял за руткит мой фаэрвол, который я предварительно отключила (автоматом при запуске идёт быстрая проверка), потом я заказываю сканирование обоих дисков, минуту работает и тут же комп вылетает на перезагрузку. Два раза так получилось, больше я не экспериментировала с GMER. »
А надо. временно отключите эмуляторы дисков (http://safezone.cc/forum/showthread.php?t=10608)
также основы работы с GMER (http://safezone.cc/forum/showthread.php?t=237) - вам в помощь.

Если что-то после выполнения скриптов перестанет работать (из нужного), надеюсь, можно будет откатить назад?)) » Можно будет, но ничего из нужного работать у вас не перестанет.
И всегда боюсь не на ту кнопку нажать или что-то не то сделать на компе. »
Тем не менее папку temp завалили. И без антивируса сидите.
ServiceLayer.ex »
именно его, а не ServiceLayer.exe/ Не беспокойтесь, файл не удален.
Ещё раз её запускать - после ваших скриптов? »
RSIT первый раз отработала, поэтому - ещё раз (проверку файлов отметьте за 3 месяца). Вы что-то в скрипте прописали, отчего порядок автозагрузки и работа фаэрвола изменилась, или мне это просто кажется? »
Нет, вы должны были выгрузить его перед выполнением скрипта. Когда будут новые логи, будет видно.

И к вам вопрос. Где логи?

Katharsis, я фаэрвол выгружаю, но АВЗ его всё равно находит и отмечает, что он делает.

А логи сейчас будут.:) У меня всё меееедленно работает, не только Windows, у меня и машинка старая - Пентиум 3-600, памяти всего 512 мег (это по максимуму для моей материнской платы.) Так что не всё сразу.

Ещё раз лог Хайджет после удаления тех 4-х строчек.
Новые логи АВЗ после выполнения двух написанных скриптов.

Новые Логи РСИТ. В меню там единственная строка идёт "1 месяц", выбора нет. Я просто меняю цифру на "3" и запускаю программу. Она отработала так же, то есть с зависанием.

Гмер не могу пока показать, с ним буду разбираться. И лог МВАМ будет позже, полное сканирование у меня займёт много времени. Сначала я сделала быстрое сканирование, и обнаружились хвосты вирусов. Первый лог сюда прикрепила.

С карантином странно. Мне АВЗ при сканировании написал, что успешно поместил файл в карантин, папку "Карантин" в "avz4" я вижу, но она пустая. Карантин.зип он сделал, но там что-то странное, везде пишет "О байт". Сейчас попробую через форму отправить, что получилось.

А что с папкой TEMP? С какой именно, темпов же много?

О, забыла!
После выполнения обоих скриптов и всех сканирований я всё равно вижу ServiceLayer.ex в Диспетчере задач. Он там висит в Процессах. Но похоже, что ничего не делает, потому что в его строчке сплошные нули стоят.
Вот так:

1. Найденное mbam удалите, лог полного сканирования повторите (без автоматического удаления!!!)

2. Проверьте на virustotal.com (http://www.virustotal.com/ru/):
ServiceLayer.ex
system.exe
ссылки на результат запостите здесь

Была на диске С папка TEMP »...
Удалила её целиком »

Katharsis, так я её не просто удалила. ) Она целёхонька лежит на диске Д и на флешке, только в архивированном виде. Если она нужна (папка С:/Temp) , могу разархивировать и заново скопировать на С. Если впрямую не выйдет, то с ливки загружусь и скопирую.

Это системная папка?

1. МВАМ сделаю, поняла, что без автоматического.:) Только этот лог будет уже завтра, думаю.

2. А эти файлы: ServiceLayer.ex и system.exe сейчас попробую проверить, только их ещё найти надо. Первый раз поиск находил только ServiceLayer.exe, а не .ех

3. Я quarantin.zip отправила в лабу Касперского вместе с ещё тремя подозрительными файлами, которые с С убирала. Буду ждать, что ответят.

Да, это была системная папка)). Папку пересоздать не сложно, только смотреть нужно прежде и знать, что и для чего вы удаляете. То же самое касается подозрительных файлов. Не всё то вирус, что вы подозреваете.

А эти файлы: ServiceLayer.ex и system.exe »Ищите через поиск. system.exe прежде всего смотрите в папках C:\winnt , C:\winnt\system , C:\winnt\system32

Также:как искать файлы при помощи AVZ (http://safezone.cc/forum/showthread.php?t=3080)

Katharsis, спасибо вам за помощь!:)

Папку Темп я вернула на место вместе с её содержимым.


1. Найденное mbam удалите, лог полного сканирования повторите (без автоматического удаления!!!)
2. Проверьте на virustotal.com:
Цитата:
ServiceLayer.ex
system.exe
ссылки на результат запостите здесь »

1. Всё удалилось успешно, вот:

05.04.2011 9:08:18
mbam-log-2011-04-05 (09-08-18).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 110671
Времени прошло: 9 минут, 31 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 3
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 3
Заражённые файлы: 3

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
c:\program files\mycentria (Adware.MyCentria) -> Quarantined and deleted successfully.
c:\program files\mycentria\Firefox (Adware.MyCentria) -> Quarantined and deleted successfully.
c:\program files\mycentria\InfoBar (Adware.MyCentria) -> Quarantined and deleted successfully.

Заражённые файлы:
c:\documents and settings\администратор\application data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\program files\mycentria\mycentriauninstall.exe (Adware.MyCentria) -> Quarantined and deleted successfully.
c:\program files\mycentria\Firefox\installerff.exe (Adware.MyCentria) -> Quarantined and deleted successfully.


Запустила полное сканирование, ничего не удаляла пока. Результаты:
Сканирование диска С.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 6273

Windows 5.0.2195 Service Pack 4
Internet Explorer 6.0.2800.1106

05.04.2011 11:33:32
mbam-log-2011-04-05 (11-33-11).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 204102
Времени прошло: 1 часов, 48 минут, 58 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 5

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\documents and settings\администратор\local settings\application data\thinstall\Cache\Stubs\90d0879be9f591b4fec77f08ea9b68775bb23be\nerovision.exe (Trojan.Backdoor) -> No action taken.
c:\program files\common files\system office\lsass.exe (Spyware.Passwords.XGen) -> No action taken.
c:\SOFT\multimedia_обработка\работа со звуком\audioconvertersetup.exe (Adware.Agent) -> No action taken.
c:\SOFT\архиватор\winrar.v3.62.full\Russian\Reg\winrar.3.xx.generic.patch.exe (Malware.Gen) -> No action taken.
c:\SOFT\архиватор\winrar.v3.62.full\Russian\Reg\winrar3.6x.multilanguage-patch.exe (Trojan.Agent.CK) -> No action taken.

Четыре найденных могу спокойно снести, но вот это -
c:\program files\common files\system office\lsass.exe - наверняка системный файл. Я его не хочу трогать.

Сканирование диска Д.
05.04.2011 12:16:21
mbam-log-2011-04-05 (12-15-52)_full scan_disk_D.txt

Тип сканирования: Полное сканирование (D:\|)
Просканированные объекты: 129688
Времени прошло: 23 минут, 1 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 3

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
d:\SOFT\работа со звуком\audioconvertersetup.exe (Adware.Agent) -> No action taken.
d:\SOFT\ultraiso premium edition v9.3.6.2750 retail\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\SOFT\portable_alcohol_120%_1_9_8_7612\a.c.i.d. wizard.exe (Trojan.Backdoor) -> No action taken.
Аудиоконвертер я выброшу с обоих дисков (ещё не ставила его), а в ultraiso и portable_alcohol_120% вредных файлов нету, имхо.

Вопрос: сносить найденное МВАМ руками или лучше через него же? Или это всё равно?


2) Не нашла эти файлы (system.exe; ServiceLayer.ex) ни одним видом поиска, не могу проверить. Но, думаю, они безопасные.
Я искала сначала средствами Винды ("найти") - пусто. Потом глазами в системных папках C:\winnt , C:\winnt\system , C:\winnt\system32 - нету.

Потом через АВЗ. Поставила галки на "Исключить файлы, известные как системные и безопасные" и "Иключить прошедшие проверку подлинности Майкрософт".
Результат нулевой, вот:

Поиск файлов по маске system.exe
Поиск файлов завершен
Просмотрено 99561, найдено 0

Поиск файлов по маске ServiceLayer.ex*
Поиск файлов завершен
Просмотрено 99562, найдено 0
Видимо, получается, даже если эти файлы скрытые (маскируются), то АВЗ их опознаёт как безопасные.

3) Пришёл ответ из лаборатории Касперского. Я им отправляла не только автоматически сформированный quarantinе.zip, но и те файлы, что сама удаляла из Аппликейшн и темпов, пока сидела с аварийной СД и чистила заражённую систему. В карантине они ничего не нашли, зато определили мой вирус-блокиратор в тех файлах, что я убирала как подозрительные.

Странно, что Д-р Веб (Curiet) тогда (запускала полную проверку) эти файлы (0.31961098882015404.exe, 0.31961098882015404.exe,jar_cache7704972190113269681.tmp) почему-то прозевал (как раз Троян-блокер и не нашёл), хотя в архивах мне другие трояны отыскал и удалил (SMSSend, Mycentria.185) & Adware. Я поддельный юзеринит и прочие прелести уже после его работы углядела и руками сносила.

Вот из Каспера:
> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip
>> userinit.rar
>> 0.31961098882015404.rar
>> jar_cache7704972190113269681.rar

Ответ:
0.31961098882015404.exe,
userinit.exe - Trojan-Ransom.Win32.Imblocker.bp

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.
Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:
http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/sms - с мобильных телефонов и коммуникаторов.

jar_cache7704972190113269681.tmp - Trojan-Downloader.Java.OpenConnection.dv

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

jar_cache7704972190113269681.tmp.folder.Necode.class - Trojan-Downloader.Java.OpenConnection.dv

Этот файл в настоящий момент определяется антивирусом. Обновите антивирусные базы.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
jar_cache7704972190113269681.tmp.folder.Exex.class,
jar_cache7704972190113269681.tmp.folder.Globus$1.class,
jar_cache7704972190113269681.tmp.folder.Globus.class,
jar_cache7704972190113269681.tmp.folder.Zereo.class,
jar_cache7704972190113269681.tmp.META-INF.MANIFEST.MF

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

Sent: 04-Apr-11 9:41:00 PM
>To: "New Virus" <newvirus@kaspersky.com>
>Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [P:1]


****
В quarantine.zip лежали файлы:
bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini.
Они Каспером признаны безопасными.

****

После того, как удалила найденное МВАМ при быстром сканировании, запускала ещё раз АВЗ, вот логи:

Похоже, всё в порядке, теперь система чистая?))) Работает всё прекрасно и даже довольно быстро.:)

Я сейчас только что установила Д-рВеб системным монитором - сидит в трее, включён и работает на пару с фаэрволом.:)
И буду обновлять всё, что можно - Windows, IE и проч. Потом снова запущу полную проверку системы.

Ещё у меня вопрос. Где-то читала, что после работы АВЗ, когда лечение окончено, надо выгружать какие-то драйверы и что-то ещё делать. Что именно и как?)))

С вашим отчаянным рвением удалять всё что под руку попадет - система долго на свете не заживется. Ухлопаете сами раньше чем вири съедят.

в mbam удалите:
c:\documents and settings\администратор\local settings\application data\thinstall\Cache\Stubs\90d0879be9f591b4fec77f08ea9b68775bb23be\nerovision.exe (Trojan.Backdoor) -> No action taken.
c:\program files\common files\system office\lsass.exe (Spyware.Passwords.XGen) -> No action taken.
c:\SOFT\multimedia_обработка\работа со звуком\audioconvertersetup.exe (Adware.Agent) -> No action taken.
d:\SOFT\работа со звуком\audioconvertersetup.exe (Adware.Agent) -> No action taken.
d:\SOFT\portable_alcohol_120%_1_9_8_7612\a.c.i.d. wizard.exe (Trojan.Backdoor) -> No action taken.
остальное - патчи и кейгены - на ваше усмотрение. Лог повторите.

Где-то читала, что после работы АВЗ, когда лечение окончено, надо выгружать какие-то драйверы и что-то ещё делать. Что именно и как?))) » Когда будет окончено, все рекомендации напишу.

Скачайте из вложения Process Explorer, переименуйте в procexp.exe (распаковывать - не нужно!), запустите и отследите путь к файлам (при наведении курсора будет видно) system.exe и ServiceLayer.ex (скорей всего этому процессу соответствует ServiceLayer.exe )

Пути к файлам напишите здесь.

По Gmer что?