А именно заблокированы: диспетчер задач(уже разблокировал через avz), cmd, "выполнить" в пуске, не дает просматривать веб страницы с описанием подобной проблемы(как только открываю страницу, браузер тут же закрывается), реестр не проверял но тоже выполнил скрипт в avz, еще заблокирован hosts.

лог весил больше разрешенного на форуме, поэтому в архиве


заранее благодарю...

Здравствуйте,

Сейчас посмотрю логи.

ожидаю

диспетчер опять сломали)

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\smphost.exe');
TerminateProcessByName('c:\documents and settings\amun\application data\lsass.exe');
QuarantineFile('c:\windows\system32\smphost.exe','');
QuarantineFile('c:\documents and settings\amun\application data\lsass.exe','');
QuarantineFile(' C:\WINDOWS\UC.PIF','');
QuarantineFile(' C:\WINDOWS\RAR.PIF','');
QuarantineFile(' C:\WINDOWS\PKZIP.PIF','');
QuarantineFile(' C:\WINDOWS\PKUNZIP.PIF','');
QuarantineFile(' C:\WINDOWS\NOCLOSE.PIF','');
QuarantineFile(' C:\WINDOWS\LHA.PIF','');
QuarantineFile(' C:\WINDOWS\ARJ.PIF','');
DeleteFile('c:\documents and settings\amun\application data\lsass.exe');
DeleteFile('c:\windows\system32\smphost.exe');
DeleteFile(' C:\WINDOWS\UC.PIF');
DeleteFile(' C:\WINDOWS\RAR.PIF');
DeleteFile(' C:\WINDOWS\PKZIP.PIF');
DeleteFile(' C:\WINDOWS\PKUNZIP.PIF');
DeleteFile(' C:\WINDOWS\NOCLOSE.PIF');
DeleteFile(' C:\WINDOWS\LHA.PIF');
DeleteFile(' C:\WINDOWS\ARJ.PIF');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
DeleteFileMask('C:\Documents and Settings\amun\Application Data','Dat*.tmp.xsi', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT (http://forum.oszone.net/post-1430293-2.html)


R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\amun\Application Data\lsass.exe
O1 - Hosts: 188.229.89.7 www.vkontakte.ru
O1 - Hosts: 188.229.89.7 www.vk.com
O1 - Hosts: 188.229.89.7 vkontakte.ru
O1 - Hosts: 188.229.89.7 vk.com
O1 - Hosts: 188.229.89.7 www.odnoklassniki.ru
O1 - Hosts: 188.229.89.7 odnoklassniki.ru
O4 - HKLM\..\Run: [smphost] %windir%\system32\smphost.exe
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)



4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ и RSIT

не дает выполнить скрипт, avz зависает

полечил cureit'ом, прилагаю новые логи

Здравствуйте,

Попробуйте выполнить скрипт следующим образои:

1. Скопировать скрипт в блокнот:
Открыть меню файл - "сохранить как", в поле "имя файла" вставьте: C:\script.txt


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\smphost.exe','');
QuarantineFile('c:\documents and settings\amun\application data\lsass.exe','');
QuarantineFile('C:\WINDOWS\UC.PIF','');
QuarantineFile('C:\WINDOWS\RAR.PIF','');
QuarantineFile('C:\WINDOWS\PKZIP.PIF','');
QuarantineFile('C:\WINDOWS\PKUNZIP.PIF','');
QuarantineFile('C:\WINDOWS\NOCLOSE.PIF','');
QuarantineFile('C:\WINDOWS\LHA.PIF','');
QuarantineFile('C:\WINDOWS\ARJ.PIF','');
DeleteFile('c:\documents and settings\amun\application data\lsass.exe');
DeleteFile('c:\windows\system32\smphost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
DeleteFileMask('C:\Documents and Settings\amun\Application Data','Dat*.tmp.xsi', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


2. Перенесите папку с AVZ в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким:
C:\avz4\avz.exe

3. Скопировать код в блокнот, сохранить на рабочем столе под любым именем с расширением .vbs После сохранения запустите двойным кликом. Должен выгрузиться проводник (исчезнет рабочий стол) и запуститься на выполнение скрипт avz - script.txt.


set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.Run "taskkill /f /im Explorer.exe", 0
WScript.Sleep 500
WshShell.Run "C:\avz4\avz.exe AM=Y script=C:\script.txt"


После окончания компьютер перезагрузится.

после лечения cureit'ом все вроде бы стало нормально, но теперь полетели браузеры firefox и opera, пришлось ставить вторую оперу, выполнил указанный скрипт в avz после чего пошел в HiJackThis фиксить указанные строки, большинства из них при скане не обнаружилось.... дальнейшие указания не выполнял

снова прилагаю свежие логи и рассчитываю на вашу помощь

Пофиксить в HJT (http://forum.oszone.net/post-1430293-2.html)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)


дальнейшие указания не выполнял »

Выполняйте (шаг №4 и №5)

C:\adult - что в папке?

C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe - этот файл вам знаком?

Файл C:\DOCUME~1\amun\LOCALS~1\Temp\GAS179B.tmp проверьте на virustotal (http://www.virustotal.com/) и ссылку на результат запостите в вашем следующем сообщении.

C:\adult - что в папке? »
видео файлы и изображения, в одной из папок установлена вторая опера
C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe - этот файл вам знаком? »
не знакомФайл C:\DOCUME~1\amun\LOCALS~1\Temp\GAS179B.tmp проверьте на virustotal и ссылку на результат запостите в вашем следующем сообщении. »
не обнаружил файл в данной папке

Файлы C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe и c:\documents and settings\amun\главное меню\программы\автозагрузка\igfxtray.exe
проверьте на virustotal (http://www.virustotal.com/) и ссылку на результат запостите в вашем следующем сообщении.


Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mstfm.ini ','');
QuarantineFile('C:\WINDOWS\mstfm.dll','');
DeleteFile('C:\WINDOWS\system32\mstfm.ini');
DeleteFile('C:\WINDOWS\mstfm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

В MBAM удалите (запустите полное сканирование, в конце отметьте эти детекты, нажмите "Remove selected")


Registry Values Infected:
HKEY_CURRENT_USER\Software\Microsoft\setiasworld (Malware.Trace) -> Value: setiasworld -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 ->
No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Files Infected:
c:\documents and settings\amun\application data\Sun\Java\deployment\cache\6.0\26\7628389a-760feee1 (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\amun\local settings\Temp\is-3BV7E.tmp\Oleau64.dll (Spyware.Banker.Gen) -> No action taken.
c:\documents and settings\amun\рабочий стол\agentsetup.exe (Rogue.Installer) -> No action taken.
c:\documents and settings\amun\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\documents and settings\amun\local settings\Temp\0.45105810058416007.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\amun\local settings\Temp\0.7250385605244135.exe (Trojan.Dropper) -> No action taken.


Поменяйте все важный пароли!!!

Сделайте новый лог RSIT и прикрепите отчет сканирования MBAM+результаты с virustotal

Файлы C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe и c:\documents and settings\amun\главное меню\программы\автозагрузка\igfxtray.exe
проверьте на virustotal и ссылку на результат запостите в вашем следующем сообщении. »
папку new bot на раб столе так же не обнаружил, автозагрузка пустая

Найдите файлы с помощью функции "Поиск".
Ответ с лаборатории пришел по карантинам?

поиск так же не дал результатов, ответ еще не пришел

я должен был послать запрос на исследование вредоносного файла?

я должен был послать запрос на исследование вредоносного файла? »

Вы должны были это сделать ранее, следуя указанной инструкции.

Ок, запустите еще раз MBAM и отметьте на удаление этот файл:

c:\documents and settings\amun\главное меню\программы\автозагрузка\igfxtray.exe (Spyware.Passwords.XGen) -> Not selected for removal

Файл C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe - это бот игрового сервера. Вам это что-нибудь говорит?

Вы должны были это сделать ранее, следуя указанной инструкции. »
я сделал, просто уточняю правильно ли я послал запрос
Файл C:\Documents and Settings\amun\Рабочий стол\NEW BOT\wp507f\WP507F.exe - это бот игрового сервера. Вам это что-нибудь говорит? »
действительно это бот, но у себя на пк я его уже давно не наблюдаю

я сделал, просто уточняю правильно ли я послал запрос »

Ответ не пришел еще?

действительно это бот, но у себя на пк я его уже давно не наблюдаю »

Ок.

Что с проблемами?

ответа пока нет, изначально описанных мной проблем теперь нет, сейчас главная проблема крах браузеров
в firefox: Не удалось загрузить ваш профиль «Firefox». Возможно он отсутствует или недоступен.
попытался исправить проблему в ручную, но к profiles.ini нет доступа

ответа пока нет »

Его может и не быть, но надо знать, пришел ответ или нет.

изначально описанных мной проблем теперь нет »

Это хорошо. Не забудьте еще удалить тот файл, который я вам указал в сообщении №16!

сейчас главная проблема крах браузеров
в firefox: Не удалось загрузить ваш профиль «Firefox». Возможно он отсутствует или недоступен.
попытался исправить проблему в ручную, но к profiles.ini нет доступа »

Другие браузеры как работают? Полностью переустановить Mozilla Firefox не пробовали?