сейчас слежу за ящиком, проверяю через каждые 5 минут
жду пока закончит сканировать, сразу удалю

сейчас слежу за ящиком, проверяю через каждые 5 минут »

Ну это не архиважно, я знаю чем была заражена ваша система.жду пока закончит сканировать, сразу удалю »

Хорошо.

Нам еще осталься последний шаг сделать в нашем с вами "приключении" :)

Ну это не архиважно, я знаю чем была заражена ваша система. »
чем только не заражена...

файл удалил, что дальше?

firefox не хотелось бы полностью удалять

firefox не хотелось бы полностью удалять »

Opera нормально работает?

файл удалил, что дальше? »

А дальше следующее:

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe).
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster (http://www.javacoolsoftware.com/spywareblaster.html). Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt! (http://www.freedrweb.com/cureit/)
- поменяйте все важные пароли!!!
- установите антивирус!!!

+ обновите Internet Explorer до 8-й версии (http://www.microsoft.com/rus/windows/internet-explorer/).
+ обновите Java до последней версии (http://www.java.com/ru/download/help/java_update.xml).
+ обновите Adobe Reader до последней (http://get.adobe.com/reader/) версии
+ обновите Adobe Flash Player (http://www.adobe.com/products/flashplayer/)

Ваша система была поражена Trojan Malex’ом и трояном-бекдором (Trojan/Backdoor).

Opera нормально работает? »
у меня стоял firefox как основной и opera на всякий случай, вчера начались крахи firefox'а - запускаю, работает максимум 1 минуту - 2 минуты, после чего закрывается и появляется сообщение о крахе с предложением отправить сообщение в саппорт. После перезагрузки фаерфокс не запускается совсем - "Не удалось загрузить ваш профиль «Firefox». Возможно он отсутствует или недоступен." на форуме вычитал что это можно пофиксить через файл profiles.ini но что то не дает мне его подправить. Опера сломалась также неожиданно и не хочет удаляться, пришлось поставить еще одну.

Ха, у меня только-что Opera обвалилась :laugh:
Это (http://forum.mozilla-russia.org/viewtopic.php?pid=492363) читали?

да как раз таки про это я и говорил, еще вчера наткнулся на пост в котором был описан вирус который ломает браузер через реестр, нашел в реестре то что описывали и все совпало.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon имя userinit, писали что в значении должна быть одна строчка C:\WINDOWS\system32\userinit.exe и если после запятой есть еще то идете по адресам и удаляете файлы на которые ссылается потом правите значение убирая лишние, у меня были вписаны еще два значения: C:\WINDOWS\AppPatch\inragui.dat и C:\Documents and Settings\amun\Local Settings\Temp\lsass.exe. inragui.dat я нашел, но при удалении тут же появляется точно такой же, lsass же вообще не нашел

срочно логи повторяем-недолечились!

Здравствуйте,

Сделайте новые логи AVZ+RSIT+новое сканирование MBAM.

сейчас сделаю

вот они

Здравствуйте,

В логах чисто. По логу HJT - значение UserInit=C:\WINDOWS\system32\userinit.exe
В начале лечения у вас было значение UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe, мы это исправили.

Если все-таки у вас остались какие-то подозрения, вы видите, что что-то не так, пожалуйста скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение, а также эмулятор дисков. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

лог

В начале лечения у вас было значение UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe, мы это исправили. »
в начале было
UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe,C:\WINDOWS\AppPatch\inragui.dat
правил я это в ручную в реестре

в начале было
UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe,C:\WINDOWS\AppPatch\inragui.dat
правил я это в ручную в реестре »

А сейчас значение нормальное?!

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
FCopy::
c:\windows\ServicePackFiles\i386\sfcfiles.dll|c:\windows\System32\sfcfiles.dll

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"21541:TCP"=-
DirLook::
c:\documents and settings\12

FileLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

А сейчас значение нормальное?! »
не совсем, вот так оно выглядит UserInit=C:\WINDOWS\system32\userinit.exe,
запятой как я понимаю в конце быть не должно

это вообще лечится?

DirLook::
c:\documents and settings\12 »
это я создавал второго пользователя... думал с него запустить firefox. Основная проблема в том что вся папка и все файлы в ней, в директории C:\Documents and Settings\amun\Application Data\Mozilla\Firefox чем то заблокирована, я не могу скопировать/переименовать/удалить ни один файл, удалось лишь переименовать profiles.ini с помощью unlocker'а в p1rofiles.ini, теперь обратно переименовать не получается и с его помощью, благодаря тому что я переименовал этот самый profiles.ini firefox запустился и создал новый профиль, со старым он работать не хочет, говорит что недоступен или занят другим процессом который ему и не позволяет(если будет нужно то процитирую текст ошибки дословно)

gorylev,
Правильное значения для Userinit это:

C:\WINDOWS\system32\userinit.exe,
именно с запятой

вся папка и все файлы в ней, в директории C:\Documents and Settings\amun\Application Data\Mozilla\Firefox чем то заблокирована, я не могу скопировать/переименовать/удалить ни один файл, »

права на папку себе возвращали?

как стать владельцем файла или папки (http://www.oszone.net/go.php?url=http://safezone.cc/forum/showthread.php?t=609)

@gorylev,

Как уже верно подметила вам SolarSpark, значение Userinit должно иметь запятую в конце.

Вы скрипт в ComboFix выполняли или просто его запустили?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

FCopy::
c:\windows\ServicePackFiles\i386\sfcfiles.dll|c:\windows\System32\sfcfiles.dll

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"21541:TCP"=-

FileLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.