Добрый день, в моей системе Windows XP появились проблемы с вирусами:
перестал открываться firefox,
ошибка загрузки фаервола ESS,
при попытке обновления AVZ он отключается,
через IE не работает поиск google и т.д
Вообщем явные признаки заражения. Проверял KRD и LiveDrWeb. Кое что нашлось но это не решило проблем.
Спасибо всем отозвавшимся!
Логи:

Здравствуйте!

перестал открываться firefox, »
Какая ошибка выдаётся при запуске?
ошибка загрузки фаервола ESS, »
аналогично

Что устанавливали/ обновляли перед возникновением проблемы?

Вы прописали этот прокси?
10.203.246.1:8080

Проверьте на www.virustotal.com:
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe

Ссылки на результаты приложите.


• Скачайте RSIT (http://www.virusnet.info/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

• Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Какая ошибка выдаётся при запуске? »
firefox просто не запускается при нажатии на ярлык или из program files,
google chrome запускается и сразу же выкидывает,
IE запускается, но при попытке зайти на любой сайт сначала грузит, а потом выкидывает на пустую страницу,
ESS удалил, но ошибка вроде была сбой при загрузке настроек фаервола. Прокси свой прописывал это точно.
Не могу утверждать, но возможно такое поведение стало после установки pragma 6.

Проверьте на www.virustotal.com: »

http://www.virustotal.com/file-scan/report.html?id=88f83a04c3f4e0a2a5031444416a06ba40c65bdbf3b206da0479f293e208e1f9-1309334599

http://www.virustotal.com/file-scan/report.html?id=1b4a7f3b3af18f3cb58759eaca4de4f2ed466b0d846e58999b06b021b3a354d6-1309335239

Пока все. Логи RSIT и Malwarebytes' Anti-Malware выложу после проверки.
P.S. Malwarebytes' Anti-Malware при обновлении вылетает( попробую локально обновить по вашей ссылке.

К сожалению невозможно сделать логи RSIT и Malwarebytes' Anti-Malware. И та и другая программа вылетает сразу после запуска. Malwarebytes' Anti-Malware при переустановке по ссылке http://data.mbamupdates.com/tools/mbam-rules.exe создает пустую папку C:\Program Files\Malwarebytes' Anti-Malware. Удаление pragma 6 и последующая чистка реестра не дают результата.
Реально ли еще что-то сделать или переустановка?

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

iskander-k, пожалуйста:

Забыл! При сканировании combofix появилось окно:
pev.cfxxe - Ошибка приложения
Исключение неизвестное программное исключение (0хс0000417) в приложении по адресу 0х00482899
я ок нажал.

Попробуйте сейчас выполнить логи из 2 поста.

iskander-k, тоже самое, включается секунд 5 висит и закрывается, причем это касается почти всех программ. Ms office 2010 вырубается после попытки распечатать. Можно конечно предположить что проблемы с железом, но компу всего 3 года и все это время работал нормально.

Попробуйте пролечиться так http://support.kaspersky.ru/faq/?qid=208636926

• Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/soft/gmer.zip). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

alex_sev, Те же яйца, только сбоку) ..вылетает
iskander-k, выкладываю

Выполните еще лог
Как подготовить лог Universal Virus Sniffer (UVS) (http://safezone.cc/forum/showthread.php?t=14508)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/files/uvs_v364.zip) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=42). Распакуйте архив в отдельную папку на рабочий стол.

1. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".


2.Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.


*Дождитесь окончания работы программы и прикрепите лог к посту в теме, где вам оказывают помощь.

готово!

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
QuarantineFile('C:\WINDOWS\system32\SETUPAPI.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.EXE','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('c:\windows\explorer.exe','');
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.



• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll
O10 - Unknown file in Winsock LSP: c:\windows\plspnt.dll



Обновите АВЗ - повторите логи АВЗ и HiJackThis

При попытке пофиксить HijackThis вылезло окно:

http://i.piccy.info/i5/87/90/1699087/HijackThis_800.jpg (http://piccy.info/view3/1699087/47f9080411f162abb88bcc95c932277b/orig/)

Комп заработал! После того как не удалось пофиксить HijackThis вот эту библиотеку c:\windows\plspnt.dll, я воспользовался подсказками из сообщения HijackThis (предыдущий пост). Скачнул lspfix.exe, запустил, выбрал plspnt.dll переместил в окошко Remove и пофиксил:

http://i.piccy.info/i5/05/99/1699905/Repair_summary.jpg (http://piccy.info/)

И сразу же запустился firefox, инет заработал, обновление AVZ. Вобщем комп вроде вернулся к жизни! Правда все же есть одно но - windows update сообщает об ошибке, что не найдены какие-то файлы:

Файлы, необходимые для работы программы Microsoft Update, не зарегистрированы или не установлены на данном компьютере. Для продолжения:
Зарегистрировать или переустановить файлы (рекомендуется)
Выяснить возможные шаги, необходимые для решения проблемы

Жму Продолжить и появляется:
Ошибка на веб-узле. Невозможно отобразить страницу. Предоставленные ниже варианты, возможно, помогут устранить эту проблему.

Всё! Решил проблему с Windows Update - скачал программу Spybot S&D просканировал комп, и нашлось два зараженных ключа реестра. Вот так они выглядят, кому интересно:

http://i.piccy.info/i5/90/00/1700090/SpyBot_800.jpg (http://piccy.info/view3/1700090/88e8c7872d29ad40185bee4e8ec32c7d/orig/)

Теперь Windows Update работает без проблем! В данный момент обновляю систему)
Уважаемый iskander-k, Вам огромное СПАСИБО за Ваш труд!


P.S. На всякий случай выложу логи:

c:\windows\plspnt.dll, c:\windows\pinst.exe это модули pragma6 после установки которой у меня началась лажа с компом. Кто бы мог подумать что эта дрянь так жёстко потушит систему!(((
Вот нашёл какую информацию:
... в 6й версии ставится каойто модуль в винсокет? Судя по библиотекам, этот модуль соберает инфу о железе и отправляет на сайт разработчика.
Хороший такой модуль, чё...

Очень хорошо. Что вы сообразили воспользоваться подсказкой HijackThis
Указанные ключи показывают, что данная служба была отключена.

первый ключ - Относится к антивирусу,
второй ключ к встроенному фаерволу.
возможно была также заблокирована и служба обновления Windows
И соответственно защитное ПО видит эти отключенные(которые не рекомендуется отключать) ключи как вредные.
Кто бы мог подумать что эта дрянь так жёстко потушит систему! »
Я сегодня тоже нашел много постов , что эта прога убивает систему. :)

Теперь вам нужно удалить комбофикс.
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"



Или скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), зеркало OTCleanIt (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up.