Срочно!! Проблема с PC

[AdornedBrood]

добрый верчер всем!
во первых огромное спасибо за BartPE, Vicci.
я просканировал диск нашел еще пару спуваров и снова-же тот же самый вирус который был опознан и стерт(якобы) Hiren's bootом
после сканирования avast и реконструктции виндовых файлов (SFC/scannow) - все вернулось как и раньше было, комп виснет, антивирусы в виндоус не инсталлируются..
мне посаветовали здеаль проверку он-лайн с помощью панды, он-лайновский скан нашел много разного, якобы удалил вирусы и оставил спайваров, мне терять было нечего и я попытался постаить на компе пандавский анти вирус и что вы думаете?! он зашол!!! он единственный анто вирус который заработал на моем запаженном компе
но почему то он не инсталлируется нормально, он не дает мне выставить опцию . анти вирус только сканирование запускает и все... и каждый раз он находит одит и тотже вирус flec006.eхe или же под другим названием он скрывается... постоянно он выключает мне виндоуский firewall...

есль ли еше варианты починки или только форматировать??

большое спасибо за помощь которую вы оказываете мне

 

[Vicci]

Похоже что это всё борьба со следствием, а зараза сидит глубже.
Попобуй запустить бесплатную утилитку Trend Micro HijackThis которая сканирует ключи реестра и содержимое жесткого диска, после чего отображает списки подозрительных объектов. Содержимое лог файла желательно запостить здесь, тогда разговор будет более предметным.
Скачать утилиту можно здесь
_http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

 

[AdornedBrood]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:03 PM, on 2/3/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Netscape\Navigator 9\navigator.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD97AE4F-4E5A-4179-9747-D311708A72A6}: NameServer = 192.117.235.235 62.219.186.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - Winlogon Notify: dpnmodem32 - C:\WINDOWS\SYSTEM32\dpnmodem32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrlS.exe

--
End of file - 5666 bytes

 

[Vicci]

Да на вид кроме трёх неизвестных BHO
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
больше вроде ничего подозрительного. А BHO эти на мой взгляд лучше удалить, благо утилита позволяет это.
Так если вирусов и шпионов нет, в чём остались проблемы, те же что в шапке или что ещё?

 

[q21]

И вычисти темп папки в Documents and Settings, а так же C:\WINDOWS\Prefetch\

 

[AdornedBrood]

не проблем ща все удалим...
вопрос: кто в системе ответстенный за загрузку(loading) (.ехе)файлов?
мне кажется что здесь зарыта собака
потому что комп не открывает файлы(ccleaner.ехе, нод32.ехе, ClamWinPortable.exe)и так далее или плохо открывает(panda.ехе)
когда сканирую комп плохо-открываемой пандой, так он действительно находит какие спайвары/или подозрительные файлы в темп папке, как посоветовал g21

 

[AdornedBrood]

привет всем!
сново запустил панду
но на сей раз посмотрел лог файл, он нашел много cookies нетскейпского браузера и один вирус (wintems.exe - Trojan.W32.Beagle)

ктото знает как побороть собаку? чтоб он не появлался?
я еще не проверял но предполагаю что ето он кто сам себя размножает.

 

[Vicci]

На сайте Касперского для удаления вирусов такого типа рекомендуют следующее:

1. Перезагрузить компьютер в «безопасном режиме» (в самом начале загрузки компьютера нажать и удерживать F8, а затем выбрать пункт Safe Mode в меню загрузки Windows).
2. Удалить файл троянца:
%System%\wintems.exe
3. Удалить следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"german.exe"="%System%\wintems.exe"
или
"ssgrate.exe" = "%System%\wintems.exe"

[HKCU\Software\DateTime4]
или
[HKCU\Software\DateTime9]
Uid="<произвольный номер>"
Port="<порт, открываемый троянцем>"
wdrn="<номер, назначенный троянцем>"
4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами

 

[AdornedBrood]

как мне удалить ключи реестра??
как ето делается?
вицци ты не мог бы описать подробно каждое действие?
я слаб в области работы с реестром?


после того как я зайду в сафе моде и удалю в ручную wintems.exe
как мне удалить ключи реестра?

 

[Vicci]

Попробую объяснить.
Пуск-Выполнить-набрать regedit-OK
Попадаешь в редактор реестра а далее находишь нужные ключи
в ветках (ветки слева)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
находишь нужные значения (значения справа)
"german.exe"="%System%\wintems.exe"
или
"ssgrate.exe" = "%System%\wintems.exe"
и удаляешь их.
Также и для других веток.

Кстати этих значений там может уже и не быть, их могли удалить
другие программы, сначала просто попробуй их найти.

 

[AdornedBrood]

ya restariroval komp, nazhal F8>Safe Mode... nachali begat' strochki(kak v DOSe), hotya na i ne pomnyu chtob windows delal etu proverku fajlov pered vhodom v safe mode.

i vdrug snova restart, vmesto togo chtob sajti v safe mode.

zachol v windows, proveril est' li fajl wintems.exe v system 32 - ego tam me okazalos'
zachol na HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run tam net ni
"german.exe"="%System%\wintems.exe" ni ssgrate.exe" = "%System%\wintems.exe"
zato est' [HKCU\Software\DateTime4]

yeshe do togo kak podkluchitsya k internetu ya zdelal proverku v pande i nashol snova zhe totzhe wintems.exe v system32!!

 

[AdornedBrood]

я рестартировал комп, нажал F8>Safe Mode... начали бегать строчки(как в DOSe), хотя на и не помню чтоб щиндощс делал ету проверку файлов перед входом в safe mode.

и вдруг снова рестарт, вместо того чтоб сайти в safe mode.

зачол в windows, проверил есть ли файл wintems.exe в system 32 - его там ме оказалось
зачол на HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run там нет ни
"german.exe"="%System%\wintems.exe"
ни
ssgrate.exe" = "%System%\wintems.exe"
зато есть [HKCU\Software\DateTime4]

ыеше до того как подклучится к интернету я зделал проверку в панде и нашол снова же тотже wintems.exe в system32!!

 

[Vicci]

Прочитай здесь, мне кажется очень похоже на твой случай. У автора похоже получилось победить заразу. В конце концов можно связаться с ним для консультаций.

 

[AdornedBrood]

привет всем!!!
много новостей!!

зашел на сайт http://z-oleg.com/secur/ и там я нашел интересный файл, конечно там были и другиые пути решения но по сколку ето от меня требовало знаний работы с реестром я решил простко скачать файл .reg
и все...

после того как скачал, комп сумел заыти в safe mode
там и ccleaner заработал, сразу-же почистил комп от разних вреден... целую гигу он мне вичестил, потом дал ему regisrty scan...
все весело и хорошо, но! открываю панду а он говорит тоже самое что и до етого(мол мне срочно надо включить зашиты анти вируса, хотя они не работают из за вируса.

сразу же настроениые упало... s одноы сторони я уже сумел зайти на safe mode, с другоы конечно проблема так и не решылась...
любой анти вирус пишет мне "not valid Win32 system file"

после очередного рестарта в сафе моде я захожу на run>msconfig>startup а там сидит моы старий друг flec006.exe
я ыего в ручную удаю а после рестарта он снова там... короче я зашел в regedit и через regedit удалил ыего и ыего братьев с реестра
oн был там с:german.exe и еше один вроде hlppr.exe

(до сих пор в сафе моде) инсталирую аваст анти вирус... restart(normal boot)
и к моыему приятному удивлению до входа в систему аваст дает local disks scan и находит еше 3 файла:
1)C:\WINDOWS\system32\ActiveScan\pskavs.dll is infected by Win32:CTX
2)C:\WINDOWS\system32\dpnmodem32.dll\[UPX] is infected by Win32:Small-IKB [Trj]
3)C:\WINDOWS\system32\kdbjn.exe is infected by Win32:ChanCrypt [Cryp]

kомп работает... сказка как будто только что новиы Windows поставил...
но не смотря на все ето снова же... аваст не откриваыетса ни нод ни один из них не работает по тем же пречнам

пожалуйста помогите мне разобратся с етим до конца

 

[TrigAn]

Возможно поможет переустановка Windows Installer, его можно свободно взять здесь, и не забудь выбрать необходимый язык.