Словил вирь. CureIT не стартует, вылетает с ошибкой RC=3221225477. И создает лог (приложен). AVZ - не стартует (переименовывать пробовал). Каспер не стартует. Вчера ставил еще AVG им полную проверку сделал, вроде все найденное поудалял\полечил и удалил AVG. HiJackThis стартует, жму do a system scan and save a log file. Открывается новое окно в нем пролетают строки теста и окно исчезает, лог-файл не открывается и больше вообще ничего не происходит. Так же не стартует фаерфокс и не грузятся программы из автозапуска. Ну и сама машина рандомно перезагружается примерно раз в пару часов. Прикрепляю логи RSITx64.

UPD:
Из безопасного режима стартует Firefox, Hijackthis и AVZ, так что прилагаю еще логи.

Еще из безопасного режима запустился нормально и cureit, нашел два файла зараженных trojan.mayachok.1, которых я видимо подцепил когда сидел в нормально режиме в ie. Полная проверка ничего больше не дала.

X-QuadrO, ничего не стартует из-за этого зверька
C:\Windows\system32\hulunne.dll

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\hulunne.dll','');
QuarantineFile('C:\Windows\SYSWOW64\79F1.tmp','');
QuarantineFile('C:\Windows\SYSWOW64\33A0.tmp','');
QuarantineFile('C:\Windows\SYSWOW64\tmp4107.tmp','');
QuarantineFile('C:\Windows\SYSWOW64\tmp57B4.tmp','');
QuarantineFile('C:\Windows\SYSWOW64\SETD19E.tmp','');
QuarantineFile('C:\Windows\system32\SETE9C6.tmp','');
QuarantineFile('C:\Windows\system32\SETE5FC.tmp','');
QuarantineFile('C:\Windows\SYSWOW64\SETC134.tmp','');
QuarantineFile('C:\Windows\SYSWOW64\tmp57A3.tmp','');
QuarantineFile('C:\Windows\SYSWOW64\tmp4106.tmp','');
QuarantineFile('C:\Windows\system32\SETC066.tmp','');
QuarantineFile('C:\Windows\system32\SETAE43.tmp','');
DeleteFile('C:\Windows\system32\SETAE43.tmp');
DeleteFile('C:\Windows\system32\SETC066.tmp');
DeleteFile('C:\Windows\SYSWOW64\tmp4106.tmp');
DeleteFile('C:\Windows\SYSWOW64\tmp57A3.tmp');
DeleteFile('C:\Windows\SYSWOW64\SETC134.tmp');
DeleteFile('C:\Windows\system32\SETE5FC.tmp');
DeleteFile('C:\Windows\SYSWOW64\tmp57B4.tmp');
DeleteFile('C:\Windows\system32\SETE9C6.tmp');
DeleteFile('C:\Windows\SYSWOW64\SETD19E.tmp');
DeleteFile('C:\Windows\SYSWOW64\tmp4107.tmp');
DeleteFile('C:\Windows\SYSWOW64\33A0.tmp');
DeleteFile('C:\Windows\SYSWOW64\79F1.tmp');
DeleteFile('C:\Windows\system32\hulunne.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O20 - AppInit_DLLs: C:\Windows\system32\hulunne.dll

Сделайте повторные логи из нормального режима AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

забыла спросить...
C:\Program Files (x86)\Antirun\antirun.exe
авторан в автозагрузку сами добавляли?

Так, ну во первых - огромное спасибо, что хоть кто-то откликнулся, сегодня утром когда включал комп, уже был готов форматировать-переустанавливать систему. Во вторых по поводу скриптов для AVZ - пожалуйста перепроверьте их, что ли, т.к. в безопасном режиме после первого скрипта машина не перезагружается (но это фигня, сам перезагрузил), а скрип который собирает карантин, создает лишь пустой архив, так что отправлять, собственно, нечего. В HijackThis строчку пофиксил, перезагрузился в обычном режиме, все нормально, весь софт стартует кроме касперского. MBAM ничего толкового не нашел (все что нашел - удалил). Отчет прилагаю. Ну и свежие логи AVZ (через 20 минут) и RSIT.

Да и еще в AVZ не устанавливается драйвер для расширенного мониторинга процессов (при нажатии на кнопку просто ничего не происходит).

забыла спросить...
Код:
C:\Program Files (x86)\Antirun\antirun.exe
авторан в автозагрузку сами добавляли? »
Антиран, это прога для быстрой проверки флешек на вирусы авторан.инф. В автозагрузку она добавилась автоматически при установке, если Вас это интересовало. ))

X-QuadrO, не стоит ругать мои скрипты/рекомендации, без них вам бы не полегчало
практически ничего не удалилось, будем капать глубже, давайте такой лог

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

SolarSpark, ни в коем случае не критикую ваши скрипты, просто обратил внимание.

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/files/uvs_v364.zip)

Как подготовить лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Сделал лог, но какой то он странный получился, во первых название не то, во вторых большой очень, в третьих текст странный, кодировка не та, что ли... Залил на ргхост т.к. сюда не влезает уже http://rghost.ru/14035531.
P.S. уважаемые, а что значит полиморфный AVZ у вас всех в подписях? :)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
QuarantineFile('C:\Windows\System32\wkssvc.dll','');
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

весь софт стартует кроме касперского. »
переустановите .
Или оставьте один антивирус. Или касперского-или AVG два антивиря вместе работать не будут.

все нормально, »
то есть проблема исчезла ?

В логе AVZ при попытке выполнить первый скрипт:
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\wkssvc.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\System32\wkssvc.dll)
Карантин с использованием прямого чтения - ошибка
Соответственно второй скрипт опять не дает результатов, т.е. - пустой архив. Вручную выудил этот (wkssvc.dll) файл, загнал в quarantine.zip, отправил на */virusnet/.

AVG удалил уже давно, каспер не стартовал уже без него. Сейчас удалил каспер 2011, поставил 2012, вроде работает. Сделал полную проверку им - ничего не нашел. Даже не знаю, можно ли считать проблему решенной, ибо на сколько я понял, единственное, что я сделал (кроме сбора логов) пофиксил строчку в Hijackthis...

Даже не знаю, можно ли считать проблему решенной, ибо на сколько я понял, единственное, что я сделал (кроме сбора логов) пофиксил строчку в Hijackthis... »

мы вычистили зловред, который был причиной ваших несчастий..
AVZ отработал некорректно, но помог фикс зверя в другой утилите. Это нормально.
Полиморф в подписях хелперов предлагается применить тем, у кого обычный AVZ не запускается на больной ОСи. Вам он без надобности

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(true);
end.


пк уйдет на перезагрузку

это что у вас за папочка? C:\kleaner.tmp

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\SysWow64\tmp4107.tmp
c:\windows\SysWow64\tmp57B4.tmp
c:\windows\SysWow64\tmp57A3.tmp
c:\windows\SysWow64\tmp4106.tmp
c:\windows\SysWow64\SETC134.tmp
c:\windows\system32\SETC066.tmp
c:\windows\system32\SETAE43.tmp
c:\windows\system32\SETE5FC.tmp
c:\windows\system32\SETE9C6.tmp
c:\windows\SysWow64\SETD19E.tmp

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

...

Кароч не знаю, что сказать, после комбофикса, комп перезагрузился и снес с рабочего стола, моих документов и вообще диска С все, что можно. Софт не стартует почти никакой.

UPD
Хех, как не странно, но запустилось и нормально сработало (со второго раза правда) восстановление системы, так что по крайней мере "рабочий стол" и "мои документы" восстановились.

что с проблемой?