тудаже.. сайты антивируса заблокированы, тормоза
 

САБЖ.
Прогнал систему CureIt, который изгнал кучу троянов, остальное что нашел почистил руками, система заработала пошустрее, но проблема все равно осталась.
С чего все началось сказать затрудняюсь, машинка не моя, попросили посмотреть (мопед не мой, я тока выложил объяву), avz пока должным образом не изучил, сам не справлюсь - прошу помощи)))

Привет. :)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи

вотблин, и системных отображение включил, и скрытых... специально этот setupapi искал))))
сейчас сделаю логи.


ИТАК - система до сих пор тормозит, сайты антивирусников ожили. теперь еще до кучи на каждом сайте вылетает ИЕ-мессаджбокс что "страница имеет изъяни в системе безопасности и может быть опасна". Логи ниже

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

собсно вот..
Добавлю что проблемы остались - тормоза в общем, загрузка системы от 2-3х минут и больше, при этом ни процессор ни память не загружены. В ИЕ все еще вылетает сообщение о изъяне в странице на каждом сайте. как то так =(

сделайте плиз лог RSIT
посмотрим что еще может вашу систему тормозить

В СТУДИЮ!!

C:\Program Files\Common Files\wm удалить вручную
Выполните скрипт AVZ в безопасном режиме. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
и еще раз логи AVZ RSIRT в студию

После лечения смените все ваши пароли.

проблема не решена, все последние логи в студии.

вам было сказаноВыполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
RSIT и AVZ 3 станд скрипт повторите

так же пришел ли ответ по карантину??

ответа по карантину не было, скрипт выполнял в безопасном режиме, логи собирал в нормальном. сейчас выполню - логи выложу.

з.ы. DeleteFile('C:\e5ur8tz4.exe'); == CureIt

з.з.ы. последний скрипт в безопасном режиме?

да в безопасном, курейт ок тогда удалите эту строку

и лог RSIT повторите после..глянем прибили моноку или нет, если нет будем ее через CF или Avenger

моё субъективное мнение - физически монока прибита уже давно, ибо ни через эксплорер с отображением системных и скрытых не вижу, ни через тотал....
мне кажется что осталась просто запись в реестре
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^ХОУМ^Главное меню^Программы^Автозагрузка^monoca32.exe]
C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe []

логи ниже, система при загрузке обвеса (hp, avast и прочее) все равно безбожно тупит и грузит все энто несколько минут, да и при начальной загрузке успеваю выкурить сигарету а то и две=)).... окошко с ошибкой вылетающее в ИЕ исчезло. как то так

еще есть мысль что при начальной загрузке отупливать так систему могут лишь службы, соответсвенно запуститса в диагностическом без всех служб посмотреть на скорость. сейчас попробую убрать вообще весь обвес, а так же снести аваст к чертям вместе со всеми его службами, посмотр. что выйдет

да это запись в реестре просто

я только загрузил интернеты на зараженной машинке как про комбофикс уже ничего))))) я медлителен =(

upd

аваст снесен, обвес убран кроме утилита видеокарточки (только вместе с дровами убирается), система все равно грузитса по полчаса... буду пробовать диагностический.

upd2

В диагностическом без изменений... запускает 3 службы, две из который диспетчер RPC и Локатор RPC... мне кажется или этого не должно быть в диагностическом?

и еще есть некий файл drm.exe который тоже прописан в автозагрузке... так и не нашел к чему он относится

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

собсно

c:\documents and settings\ХОУМ\Application Data\Microsoft\Installer\{2517B7EA-6C03-4D86-A1B1-F3FE1C3BC03B}\ARPPRODUCTICON.exe
вам знакомо??

игры нево играете??

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

взломщик к играм Нево софт, если не играете то удалить

ARPPRODUCTICON.exe не знаком.

здесь лог комбофикса, лог мбама я как то профукал... сейчас его повторю, но в принципе он ничего не нашел...

UPD
нашел лог мбама, как и говорил - пустой.

попробуем ее так
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
и если запись в реестре не удалится бог с ней..
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
больше вас мучать не будем))
все чисто

сейчас на соседней машинке работает комбофикс - по нему вопрос есть... каждый раз на выполнении третьего этапа вылетает ошибка приложения PVE.cfxxe, соответственно оно радостно закрывается... в порядке ли это вещей, или косячок-с?))

есть подозрение что куча вирусов, они вызывают ошибку, но это лишь мое мнение, могу и ошибаться, может кто из гуру зайдет подскажет.

Антивирус при этом активничает уже?

Никак нет, антивируса я вообще убирал..

в общем то проблема осталась нерешенной, но перед людьми уж неудобно, доехал до низ с машинкой, посидели, вынесли с машинки все что надо было оставить и низкоуровневым форматированием я ее вылечил... как то так.. хотелось бы поставить антивирус честный - посоветуйте кому больше доверять, dr.web'у или касперскому??(последнего недолюбливаю давно и крепко, но, может, я не прав?)

Еще слегка перефразирую - люди(владельцы машинки) из разряда "ОО!! Окошко)) ОППА!! Кнопачка окееей!! УХТЫЫЫ Синий экраан...эээ??!" Вопрос же в том, как бы пограмотней прикрыть их попы от всемирной вирусной сети? Какими связками софта?

я не советчик..и мне больше нод не нравится..
а дальше как настроите их ограничения и их политки...

По этому понятию, рекомендую к прочтению:

1. Сохраняются ли вирусы на диске после форматирования?
2. Виды форматирования жёсткого диска

спасибо, однако я отчетливо понимаю что есмь низкоуровневое)))