Вирус отключил "Диспетчер задач"

[Shredinger]

Здравствуйте, в компьютер попал вирус. Сначала ДрВеб поймал вирус Бэкдор.Кидди.игнор и свхост#.ехе, удалил, но после повторного входа в браузер сразу же атаковали вирусы, три кажется. Монитор их заметил в папке "Темп", удалил. И вдруг компьтер отключился. Вирус отключил мне "Диспетчер задач". после сканирование в безопастном режиме Др.Веб ничего не нашел. Также сканировал Кюреитом, тоже не нашел ничего. Посканировал Касперским ОнЛайн, нашел Зараженный объект: Trojan.Win32.Inject.bcs (C:\WINDOWS\Temp\0\svchost.exe ). Кстати ДрВеб не определил его как вирус!!! Звонил в службу поддержки ДрВэб, два дня давали советы, ничего не помогло. Пришлось установить демку Каспера. Каспер нашел один вирус и удалил, но проблема так и не решилась. Еще вот этот экзешник (wind32.exe) требует соедениние c try-count.net, но его я заблокировал Аутпостом.
Браузер нормально работает и комп нормально грузится, но вот с "Диспетчером задач" туго. Ктрл Алт Дел дает сообщение: ("ДЗ" отключен администратором)

[kps]

Нужны логи по правилам: http://virusinfo.info/showthread.php?t=1235

[Shredinger]

Вот логи, но чего то не пойму, раньше папка ЛОГ в архиве АВЗ была, да и папка Карантин тоже, а щас их там нет. Я нашел их через поисковика виндовз в папке Темп

[V_Bond]

авз нужно запускать не из архива
Мастер поиска и устранения проблеми - выбрать все устранить ...
выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1131-1111-1111-611111193428}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-615111193427}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193429}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33331111-1111-1111-1111-611111193423}');
 BC_DeleteSvc('Ycgk26');
 QuarantineFile('Ycgk26.sys','');
 QuarantineFile('c:\windows\system32\wind32.exe','');
 DeleteFile('c:\windows\system32\wind32.exe');
 DeleteFile('Ycgk26.sys');
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ..

[Shredinger]

Похоже понял в чем проблема, отсканировал AdAware-ом, нашел вирус, точнее ключ реестра который отключает "Диспетчер задач". Программа удаляет его, сам "Диспетчер задач появляется, подумал все, проблема решена, но после перезагрузки опять блокирует диспетчер.

[V_Bond]

скрипт выполняйте ...

[Shredinger]

Снова выполнил скрипты, логи новые, но вот не пойму какой файл из Карантина вам прислать, их несколько?

[Shredinger]

Извеняюсь, похоже понял какой файл из архива отправлять, через "Просмотр карантина" увидел, там тока один файл)), но отправить его не могу, дело в том что он весит 1Гб. АВЗ нашел файл экзешник по адресу С\Виндовс\систм32\mssrv32.exe

[Bratez]

Отключите Ad-aware, а лучше удалите ее совсем, она очень мешает лечению. Отключите интернет, антивирус и фаерволл. Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
 DeleteFile('C:\WINDOWS\system32\wind32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_DeleteSvc('Ycgk26');
BC_Activate;
RebootWindows(true);
end.

Сделайте новые логи.

[Shredinger]

новые логи, после фикса

[Shredinger]

я тока врубился, нужна ведь еще скрипты сделать в АВЗ, я тока как в правилах приведено так и сделал, логи вытавил новые, но не думал что можно отдельный файл делать скрипт.
Так мне получается нужно выполнить скрипт на определенный файл, т.е. на вот эти: C:\WINDOWS\system32\mssrv32.exe
C:\WINDOWS\system32\wind32.exe
Значит я открываю АВЗ-Файл-Выполнение скриптов-Добавить файл-Выполнить ; я правильно понял?

[Bratez]

Как выполнить скрипт в AVZ

[Shredinger]

Выполнил скрипты. Диспетчер задач разблокирован.
Сделал новые логи

[Bratez]

Логи чистые.
Какие-то проблемы остались?

[Shredinger]

Вроде все нормально. Тока вот незнаю как быть с ДрВэб-ом, ведь у меня он был установлен, я его временно удалил, ведь он не определил вирус. При чем я показывал ему путь, все равно никак не реагировал. Ну я понимаю, идеального антивира нет, просто Др.Вэб не знал этот вирус, а Каспер знал, точно также было у меня когда то наоборот. Щас как быть незнаю, если снова установить ДрВэб опять эти вирусы может нападут, то опять лечить...
кстати этот вирус меня ссылал вот на этот адрес обнаружено: вирус Trojan-Downloader.Win32.Tibs.xu URL: [URL]
Может как то проверите что это за сайт

За помощь огромное спасибо!

[Макcим]

Не надо давать ссылки на заразу. Не чего там проверять.