[dharlequin]

Так, при помощи всё того же Доктора Веба вкупе с антивирусом Зайцева удалось немного сдвинуться с места. Во-первых, я смог вернуть к жизни диспетчер задач, во-вторых я избавился от библотек, которые по-видимому отвечали за запуск порно-окошек. Но браузеры по-прежнему отказываются запускаться, только теперь они ссылаются на эти отсутствующие библиотеки. При каждом запуске системы имя библиотеки разное и состоит из беспорядочного набора знаков нижнего и верхнего регистра. В остальном в системе вроде бы всё нормально, мне только теперь узнать бы, как «отвязать» браузеры от этих библиотек и заставить их запускаться как надо.

[dharlequin]

Хорошо, всё сделаю. Большое спасибо за помощь 🙂

[dharlequin]

Лог вставить не удалось, потому что прикреплять html-файлы форум не даёт, а в текстовом формате слишком громоздко получается, и форум просит уменьшить количество знаков. Если в кратце, то в большинстве (если не во всех) html-файлах Касперский нашёл Trojan-Clicker.HTML.IFrame.aga — как убрать не знаю, Доктор Веб такое не находит. В некоторых из них ещё нашёлся Trojan-Downloader.JS.Iframe.bes — тоже Доктор Веб такое не находил.
Ещё встретились несколько остаточных файлов, заражённых Virus.Win32.Virut.ce — их подчистил Доктором Вебом без проблем.
Не знаю, как это всё связано с тем, что я описал в предыдущем посте.

[dharlequin]

Спасибо за ответ.
Сейчас думаю, что я уже избавился от этого вируса. Установил лицензионный Dr. Web — он нашёл Win.32.Virut.64 почти в каждом exe-файле. Теперь больше не находит, reader_s тоже больше не появлялся, как и неизвестные библиотеки.
Проблема теперь в другом: система переодически начинает сильно тормозить. Чаще всего это встречается в 3D-приложениях. Компьютер не такой старый, и речь не идёт о Crysis, например, а о таких заурядных вещах как StarCraft или экранная заставка. Свернув приложение и запустив диспетчер задач, видно, что такое приложение отъедает по 50% загруженности процессора, иногда к этому ещё добавляется svchost.exe — у него примерно 20-30%. После его закрытия становится легче, но не на долго.
Сканировал следующими программами: Dr. Web 4.70 (лицензия с обновлениями), Super AntiSpyware последней версии, Malwarebytes’ Anti-Malware — всё чисто, никто ничего не находит. Такая скверная работа трёхмерных приложений огорчает, ибо компьютер не из слабых и раньше с такими проблемами не встречался. Также по какой-то причине перестал работать Agnitum Outpost Firewall Pro — запускается и пишет Service is not ready и ни одна из служб не запускается.
В процессах и автозапуске ничего скверного не видел.

Результаты сканирования касперским приложу чуть позже.

[dharlequin]

В итоге Anti-Malware перестал запускаться, Windows загружается через раз, и отлавливать эту заразу мне больше нечем. VundoFix и VundoBegone по-прежнему толдычат, что ничего нет, а меж тем система работает хуже некуда. Постоянно какие-то непонятные ошибки, пустые папки, которые невозможно удалить. Какие-то corrupt файлы и сейвы.
Очень прошу помощи.

[dharlequin]

В общем раз 10 проделал уже эту процедуру. Каждый раз одно и то же: система очищена — перезагрузка — опять те же 14 заражений.
Зато если не перезагружаться, то система абсолютно чистая, и можно спокойно работать. Подскажите, как его полностью убрать и откуда он вообще берётся?

Недолго правда прожила «чистая» система. Вот сейчас опять заново запустил, уже свыше 18 заражений.

Итого 44, опять просит перезагрузиться. Лог:

Malwarebytes’ Anti-Malware 1.38
Database version: 2318
Windows 5.1.2600 Service Pack 3

21.06.2009 22:30:59
mbam-log-2009-06-21 (22-30-59).txt

Scan type: Full Scan (C:|)
Objects scanned: 132133
Time elapsed: 49 minute(s), 26 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 6
Registry Keys Infected: 14
Registry Values Infected: 6
Registry Data Items Infected: 6
Folders Infected: 0
Files Infected: 12

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:WINDOWSsystem32geeby.dll (Trojan.Vundo.H) -> Delete on reboot.
C:WINDOWSsystem32rewikupe.dll (Trojan.Vundo.H) -> Delete on reboot.
C:WINDOWSsystem32genetoda.dll (Trojan.Vundo.H) -> Delete on reboot.
C:WINDOWSsystem32sazujimo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:WINDOWSsystem32yinazeku.dll (Trojan.Vundo.H) -> Delete on reboot.
C:WINDOWSsystem32cbxusqr.dll (Trojan.Vundo) -> Delete on reboot.

Registry Keys Infected:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{d8f088ed-c202-4f7a-a92e-b6d8c5c00fa6} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOTCLSID{d8f088ed-c202-4f7a-a92e-b6d8c5c00fa6} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{cc9d7d00-9cb1-433b-a253-a53348828652} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{cc9d7d00-9cb1-433b-a253-a53348828652} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{cc9d7d00-9cb1-433b-a253-a53348828652} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExtStats{d8f088ed-c202-4f7a-a92e-b6d8c5c00fa6} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftcontim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftdslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftrdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOTCLSID{3055295a-ccdd-44b2-9f73-d8e8e626e5c1} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifycbxusqr (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftFCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftRemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun60ebf822 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunpagiditugu (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuncpm63d8cbbe (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadssodl (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{3055295a-ccdd-44b2-9f73-d8e8e626e5c1} (Trojan.Vundo) -> Delete on reboot.

Registry Data Items Infected:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSANotification Packages (Trojan.Vundo.H) -> Data: c:windowssystem32geeby -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs (Trojan.Vundo.H) -> Data: c:windowssystem32genetoda.dll -> Delete on reboot.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSANotification Packages (Trojan.Vundo.H) -> Data: c:windowssystem32genetoda.dll -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsAppInit_DLLs (Trojan.Vundo.H) -> Data: c:windowssystem32yinazeku.dll -> Delete on reboot.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSAAuthentication Packages (Trojan.Vundo.H) -> Data: c:windowssystem32geeby -> Delete on reboot.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterUpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
C:WINDOWSsystem32geeby.dll (Trojan.Vundo.H) -> Delete on reboot.
c:WINDOWSsystem32ybeeg.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:WINDOWSsystem32ybeeg.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:WINDOWSsystem32rewikupe.dll (Trojan.Vundo.H) -> Delete on reboot.
c:WINDOWSsystem32epukiwer.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:WINDOWSsystem32lasefoye.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:WINDOWSsystem32yinazeku.dll (Trojan.Vundo.H) -> Delete on reboot.
C:WINDOWSsystem32sazujimo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:WINDOWSsystem32genetoda.dll (Trojan.Vundo.H) -> Delete on reboot.
c:documents and settingsdharlequinlocal settingsTemptemporary internet filesContent.IE548K5S06S32[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:WINDOWSsystem32inuhenle.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:WINDOWSsystem32cbxusqr.dll (Trojan.Vundo) -> Delete on reboot.

[dharlequin]

Как и думал, перезагрузка ни к чему толком не привела. Malwarebytes’ Anti-Malware сообщил, что всё успешно удалил, попросил ещё раз перезапустить. Перезапустил. Запустил программу, она тут же, слёту, нашла опять 7 штук заражений, а в автозапуске уже успешно сидел reader_s.exe. Сейчас снова удаляю всё, скорее всего попросит опять перезагрузиться и результат такой же будет.
Всё ещё надеюсь на вашу помощь.

Вот, после перезагрузки, опять 14 элементов, и опять «все успешно удалены»:
Malwarebytes’ Anti-Malware 1.38
Версия базы данных: 2297
Windows 5.1.2600 Service Pack 3

21.06.2009 19:09:18
mbam-log-2009-06-21 (19-09-18).txt

Тип проверки: Полная (C:|)
Проверено объектов: 104146
Прошло времени: 7 minute(s), 42 second(s)

Заражено процессов в памяти: 2
Заражено модулей в памяти: 0
Заражено ключей реестра: 2
Заражено значений реестра: 2
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 8

Заражено процессов в памяти:
C:WINDOWSsystem325.tmp (Trojan.Dropper) -> Unloaded process successfully.
C:WINDOWSsystem32reader_s.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesProtect (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREAGprotect (Malware.Trace) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunreader_s (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRunreader_s (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:WINDOWSsystem325.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:WINDOWSsystem32reader_s.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:Documents and SettingsDharlequinreader_s.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:documents and settingsdharlequinlocal settingstemporary internet filesContent.IE5PSGDIH92abb[1].txt (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:documents and settingsdharlequinlocal settingstemporary internet filesContent.IE5PSGDIH92em[1].htm (Trojan.Dropper) -> Quarantined and deleted successfully.
c:WINDOWSsystem32driversprotect.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
c:WINDOWSsystem322.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:WINDOWSsystem324.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

[Автор]

Сообщения