вирус в оперативной памяти

**Space_fox** · 24.12.2011, 13:20

Здравствуйте,

ситуация следующая сразу после установки (и пары перезагрузок):
1. при установке win xp sp3 с dvd (нового) - на старый hdd есть не размеченная не удаляемая область с размером 8 мб
2. даже при установке на новый hdd вирус остался
3. сразу после установки xpsp3 - запущены такие странные службы как
- вторичный вход в систему
- удаленный реестр
- служба терминалов
- cервер
- Запуск серверных процессов DCOM
- Теневое копирование тома
- Модуль поддержки NetBIOS через TCP/IP [C:\WINDOWS\system32\svchost.exe -k LocalService]
и тд и тп. + все зависят от cлужбы:
- Удаленный вызов процедур (RPC) [C:\WINDOWS\system32\svchost -k rpcss]
4. завершение через Task Manager - может привести к аварийному завершению работы из за - NT AUTHORITHY
5. удаление файлов Windows Media Player - приводит к их самовосстановлению через 1-2 минуты
6. со временем изменяется политика безопасности доступа к папкам
7. создается скрытая папка С:\System Volume Information - внутри странный - MountPointManagerRemoteDatabase
8. AVZ сразу показывает что разрешен автозапуск с hdd, cd-dvd, и тп.
9. создаются странные скрытые файлы в c:\windows\system32
- cdplayer.exe.manifest
- wuaucpl.cpl.manifest
- WindowsLogon.manifest
- h323log.txt
- PerfStringBackup.INI
10. всё это живёт самостоятельной жизнью на ПК и третий день не даёт мне заняться тем же самым,
тк в любой момент ПК или интернет может оказаться перегружен

а их у меня 4

прошу вас помочь

PS - антивирусы либо не могут установиться (KIS 2012 - выдает ошибку установки) либо ничего не находят

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.12.2011, 13:22

Уважаемый(ая) Space_fox, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**crush13** · 24.12.2011, 15:00

Space_fox, здравствуйте.
1. Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\NTGLM7X.sys','');
 QuarantineFile('D:\install4\MSICPL.sys','');
 QuarantineFile('D:\NTACCESS.sys','');
 QuarantineFile('D:\INSTALL\GMSIPCI.SYS','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;

У Вас время на системе не соответствует действительному:

Код:

Сканирование запущено в 03.07.2008 03:53:15

**Space_fox** · 24.12.2011, 23:28

отправил

**Space_fox** · 25.12.2011, 17:47

ради эксперимента удалось установить dr web internet sec 2012 (переименовав дистрибутив и конечную папку в абракадабру) - который заблокировал при перезапуске - lsass (отменил блокировку), аналогично установил kis 2012, который не нашел ничего. сейчас удалил их - жду продолжения банкета )
ps - время сбилось тк вытаскивал батарейку на материнской - если это важная подробность