Добрый вечер! Вот, походу опять вирусов понахватал...
В последнее время заметил, что в диспетчере задач появились странные процессы, также все процессы стали занимать больше памяти! Папка system32 стала невидима, галочка атрибута "скрытый" серая, убрать её нельзя! Также опера запускается очень долго, около 3 минут!
И ещё, процесс rundll32.exe в диспетчере порой кушает до 100 мегабайт! Процессор не грузит, но всё же очень подозрительно...

Помогите пожалуйста!

Здравствуйте,

Сейчас посмотрю логи.

Файл C:\WINDOWS\system32\drivers\ArcSec.sys проверьте на virustotal (www.virustotal.com/) и дайте ссылку на результат.

Mobile Service Ltd – ваш провайдер?

C:\112 – что в папке?

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\aadrive32.exe');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\WINDOWS\aadrive32.exe','');
QuarantineFile('C:\Documents and Settings\DarK\Application Data\Vlbsbn.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\Documents and Settings\DarK\Application Data\Vlbsbn.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vlbsbn');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT (http://forum.oszone.net/post-1430293-2.html)


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe
O4 - HKCU\..\Run: [Tnaww] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\aadrive32.exe


4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ и RSIT

Farger, Спасибо за ответ!

Mobile Service Ltd – ваш провайдер? »
Нет, не мой... У меня оптоволоконная городская сеть...

C:\112 – что в папке? »
Там нет ничего противозаконного =) Эта папка с утилитами (AVZ, RSIT и т.д.)

Начинаю выполнять скрипты!
__________________________________

Virustotal.com (http://www.virustotal.com/file-scan/report.html?id=e02dbdf956c14c03ffcae6280533802b84616310864cfda24f51165274801cc9-1306167579) - отчет о файле

В HJT пофиксил только первый две строчки (R0, R3), остальных не нашел!
___________________________________
Всё время пытаются подконнектиться левые айпи
http://i006.radikal.ru/1105/4b/381552fd3827.jpg
___________________________________

Всё, сканирование завершил, логи прилагаю!

1. Намеренно заблокировали активацию Adobe?

2. Переделайте лог RSIT

3. Еще раз повторите полное сканирование с помощью утилиты Malwarebytes’

4. Выполните скрипт AVZ:

меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

Повторите логи AVZ.

Итого: новые логи AVZ, новый лог RSIT и новый лог MBAM.

Готово!

Намеренно заблокировали активацию Adobe? »
Да!

Папка system32 по прежнему скрыта и убрать галочку нельзя!

И почему процессы занимают так много памяти? Ведь раньше процессов, занимающих больше мегабайта было около 30-40% от всех процессов! Может это последствия вирусов?
http://i024.radikal.ru/1105/76/c91d4e7aa944.jpg

TeamViewer.exe пользуетесь?

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tmp5173.tmp','');
QuarantineFile('C:\WINDOWS\system32\tmp5174.tmp','');
QuarantineFile('C:\WINDOWS\system32\SET1283.tmp','');
QuarantineFile('C:\WINDOWS\system32\SET1285.tmp','');
QuarantineFile('C:\Documents and Settings\DarK\Application Data\701.tmp','');
QuarantineFile('C:\Documents and Settings\DarK\Application Data\9E9.tmp','');
QuarantineFile('C:\Documents and Settings\DarK\Application Data\145.tmp','');
DeleteFile('C:\WINDOWS\system32\tmp5173.tmp');
DeleteFile('C:\WINDOWS\system32\tmp5174.tmp');
DeleteFile('C:\WINDOWS\system32\SET1283.tmp');
DeleteFile('C:\WINDOWS\system32\SET1285.tmp');
DeleteFile('C:\Documents and Settings\DarK\Application Data\701.tmp');
DeleteFile('C:\Documents and Settings\DarK\Application Data\9E9.tmp');
DeleteFile('C:\Documents and Settings\DarK\Application Data\145.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - (no file)


Ставим все последние обновления для SP3. (http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5)

Сделайте повторные логи RSIТ

TeamViewer.exe пользуетесь? »
Да, в системе установлены две версии (5 и 6 версии). Эм... последнее время пока ими не пользуюсь.

Скрипты выполнил, архив отправил, всё пофиксил, логи RSIT обновил, сейчас буду ставить обновления!

Папка system32 по прежнему скрыта и убрать галочку нельзя!
И почему процессы занимают так много памяти? Ведь раньше процессов, занимающих больше мегабайта было около 30-40% от всех процессов! Может это последствия вирусов? »
что с проблемой?

Всё ещё
http://s005.radikal.ru/i212/1105/fd/b9533876ab92.jpg
Насчет процессов, всё по прежнему...

И ещё, какие именно обновления мне качать?

И ещё, какие именно обновления мне качать? »
все приоритетные обновления безопасности

затем делаем такой лог

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Поставил обновления из этой темы (http://forum.oszone.net/thread-142904-2.html)

Сделал лог ComboFix. Когда перезагрузил комп, такое ощущение, что все настройки вернулись на дефолтные (появились стрелочки у ярлыков, "Недавние документы" в меню Пуск), пару минут вообще не пускало в интернет! Но это ещё ничего, меня интересует, на диске G:\\ стало 78,2 свободных гига, хотя было около 10... вопрос, что удалилось?
Браузер так вообще еле грузит страницы, ждёт минуту перез загрузкой!

Простите за панику, но потом как-нибудь можно вернуть всё?
________________________________________________________
Вроде с интернетом всё нормальзовалось через некоторое время...

Здравствуйте,

Найдите путь C:\QooBox\ComboFix-quarantined-files.txt и прикрепите к вашему следующему сообщению.

Добрый вечер!

Файл прикрепил!

С интернетом творится что-то странное! Время от времени
еле грузит страницы, ждёт несколько минут перед загрузкой! »

Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:


DeQuarantine::
C:\Qoobox\Quarantine\C\Documents and Settings\DarK\Application Data\PnkBstrB.exe.vir
C:\Qoobox\Quarantine\C\cwsandbox\cwsandbox.exe.vir
C:\Qoobox\Quarantine\C\Thumbs.db.vir
C:\Qoobox\Quarantine\C\Program Files\Mail.ru\Agent\Mra\dll\newmrasearch.dll.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\midas.dll.vir
Quit::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:

http://safezone.cc/images/cfscript.gif

Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.

C:\Qoobox\Quarantine\C\cwsandbox\cwsandbox.exe.vir -> C:\cwsandbox\cwsandbox.exe ( 69120 bytes )
C:\Qoobox\Quarantine\C\Documents and Settings\DarK\Application Data\PnkBstrB.exe.vir -> C:\Documents and Settings\DarK\Application Data\PnkBstrB.exe ( 189248 bytes )
C:\Qoobox\Quarantine\C\Program Files\Mail.ru\Agent\Mra\dll\newmrasearch.dll.vir -> C:\Program Files\Mail.ru\Agent\Mra\dll\newmrasearch.dll ( 67776 bytes )
C:\Qoobox\Quarantine\C\Thumbs.db.vir -> C:\Thumbs.db ( 57856 bytes )
C:\Qoobox\Quarantine\C\WINDOWS\system32\midas.dll.vir -> C:\WINDOWS\system32\midas.dll ( 293888 bytes )

__________________________________

И что делать с интернетом? После комбофикса страницы частенько еле грузятся, вообще невозможно куда-либо зайти! Торрент нормально работает, качает из сети, а браузеры (IE, Opera) тупят жутко!

1) Очистите кэш память браузеров.
в Internet Explorer - открыть окно браузера и выбрать «Инструменты» из меню на верхней панели, выбрать «Параметры Интернета» (последняя опция в списке).
находим кнопку «Удалить файлы». Щелкните по этой кнопке, затем отметьте «Удалить содержимое», затем нажимаем «Готово». Когда операция будет закончена, щелкните «Готово» и закройте окно панели управления.
Opera
Откройте браузер, выберите «Инструменты» из меню на верхней панели и наведите курсор на «Предпочтения», щелкните по опции «История и кэш память» нажмите «Очистить немедленно», по окончании операции щелкните «Готово» и закройте окно браузера.
Firefox
откройте окно браузера Firefox и щелкните «Инструменты» - «Опции», щелкните на иконке «Конфиденциальность». нажмите кнопку «Очистить», щелкните «Готово» и закройте окно браузера.

2) Проверка целостности конфигурации Winsock2 и ее восстановление при повреждении
Сброс настроек протокола TCP/IP в Windows ХР (http://support.microsoft.com/kb/811259/ru)

3) или Воспользуетесь программой WinsockFix
Обратите внимание ! Применять сброс настроек нужно только в случае необходимости при наличие неустранимых проблем с доступом в Интернет после удаления вредоносных программ !
Программа делает следующее:
1. Отключает все сетевые адаптеры.
2. Удаляет из реестра ключи Winsock и Winsock2, заменяя нужные параметры исходными значениями согласно "чистой" установке XP, чтобы запустить повторное построение службы Winsock, включая создание таблиц маршрутизации командой Netsh int ip reset resetlog.txt.
3. Разрешает работу сетевых адаптеров.
4. Проверяет файл HOSTS на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1).
Потом придётся заново установить сеть будто вы только что установили ОС.

Как пользоваться:

1. Запустить.
2. Нажать Reg-Backup для сохранения настроек реестра. (не обязательно)
3. Нажать Fix
4. Перезагрузиться.
5. Восстановить сетевые настройки.

SolarSpark, Спасибо за ответ!
Скачал и запустил WinsockFix, перезагрузил комп, переустановил антивирус, опять перезагрузился, пару минут упорно не хотели открываться страницы, потом через некоторое время открылись! Сейчас вроде всё нормально, надеюсь больше таких пакостей не будет...!

На последних логах не видно заражения? И что делать с System32, она по прежнему скрытая!

Darkan, Пуск -> Выполнить -> наберите “cmd” и нажмите на клавишу Enter

ввести

attrib -h system32

проверить атрибут папки

по логом вам ответит Farger, обождите немного, пожалуйста

"Не найден файл: system32"

по логом вам ответит Farger, обождите немного, пожалуйста »
Хорошо, понял!