Помогите! Попал вирус и происходят непонятные вещи

**Nastasiya** · 09.02.2009, 00:41

Здравствуйте!
Изначально выскочило предупреждение о вирусе, который располагается по ссылке C/.../system32/Dll.dll
При перезагрузке появлялась только картинка рабочего стола, все остальное не загружалось.
На след. день загрузка прошла удачно, но опять выскочило сообщение о вирусе. Скачала с вашей странички Касперского, прогнала несколько раз систему и в итоге, после 3 проверки панель "Пуск" превратилась в стандартную серую панель без зачков, которые на ней были! Вариант вернуть изначальный вид в свойствах Рабочего стола не доступен.
Все скрипты выполнила. Как я могу их прикрепить?!
Очень надеюсь на помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 09.02.2009, 03:12

Как я могу их прикрепить?!

Нажмите на своем сообщении кнопку "Правка", затем "Расширенный режим", а там найдите кнопку "Управление вложениями". Дальше, надеюсь, разберетесь.

**Nastasiya** · 09.02.2009, 13:16

Делаю все так, как вы написали, но при загрузке выскакивает сообщение, что я не имею права это делать, что у меня нет таких полномочий и все в этом роде. В чем дело?

Добавлено через 6 минут

Еще забыла сказать. При уже полной загрузке компьютера высакивает окно с надписью "Сервер RPC не доступен". Что это означает?
Также при сборе информации (проделка всех пунктов по Правилам) я не смогла "Отключить восстановление системы", т.к. она уже почему-то была отключена?! Это нормальное явление? Или это вирус постарался?

**PavelA** · 09.02.2009, 14:46

Закачайте логи на файлообменник и сюда прикрепите ссылки.

**Nastasiya** · 10.02.2009, 00:34

вроде получилось вставить!

**Nastasiya** · 10.02.2009, 01:25

теперь у меня уже и буфер обмена не работает=( Помогите!!!

**Bratez** · 10.02.2009, 04:09

Пофиксите в HijackThis:

Код:

O4 - S-1-5-21-3780698186-4034515709-2015198621-2648 Startup: is-J3H8H.lnk = ? (User '?')
O4 - S-1-5-21-3780698186-4034515709-2015198621-2648 Startup: is-QG3FP.lnk = ? (User '?')
O4 - S-1-5-21-3780698186-4034515709-2015198621-2648 Startup: is-VN8L5.lnk = ? (User '?')
O4 - Startup: is-J3H8H.lnk = ?
O4 - Startup: is-QG3FP.lnk = ?
O4 - Startup: is-VN8L5.lnk = ?

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('mstask.exe','');
 QuarantineFile('mstinit.exe','');
 QuarantineFile('C:\WINDOWS\System32\KernelDrv.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=39297).

**Nastasiya** · 11.02.2009, 12:26

Вчера отправила карантин. Получили?

**PavelA** · 11.02.2009, 12:27

Backdoor.Win32.Qmop.h - там нашелся (свежий).

**Гриша** · 11.02.2009, 12:28

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\KernelDrv.exe');
BC_ImportDeletedList;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите пункт 2 диагностики...

**Nastasiya** · 12.02.2009, 00:47

сделала. Сообщение "Сервер RPC не доступен" не пропадает, а также выскакивает при полной загрузке системы.

**Bratez** · 12.02.2009, 02:09

Больше ничего подозрительного.
Установите SP3 + последующие обновления.

**Nastasiya** · 12.02.2009, 10:36

Sorry, a где это взять?

**Гриша** · 12.02.2009, 12:31

http://www.microsoft.com/downloads/d...8-1e1555d4f3d4

**Nastasiya** · 12.02.2009, 23:40

Теперь вот какая проблема:
при установке SP3 выскакивает сообщение "Диспетчеру установки не удалось проверить целостность файла Update.inf Убедитель, что службы криптографии запущены на данном компьютере.
Это что значит?
И я по-прежнему не могу убрать галочку из окна Отключить восстановление системы!!! Выдается ошибка

Добавлено через 8 часов 38 минут

Дорогие мои, я очень жду от вас ответа!!!

**pig** · 13.02.2009, 02:35

Ответ здесь: http://support.microsoft.com/kb/822798/ru

**Nastasiya** · 13.02.2009, 18:14

так, похоже я еще долго буду мучиться с этим делом.
Проверила все сертификаты, оказалось, что истек срок у GTE CyberTrust Root и он не работает. Как я могу восстановить этот сертификат без другого компа?!
Что касается вкладки "Решения" по указанной ссылке, то
Способ1 вообще никакого эффекта не производит,
Способ2 - вообще отсутствует словосочетание Службы криптографии на моем компьютере по указанному пути!
При Способе3, после первой же строки выдает: Системная ошибка 1060. Указаная служба не установлена.
Способ4 сделала, но ничего не изменилось, обновления по=прежнему не устанавливаются и опять выскакивает "Диспетчеру установки не удалось проверить целостность файла Update.inf Убедитель, что службы криптографии запущены на данном компьютере".
Еще...там прописаны команды, например, attrib -s -h %windir%. Эта команда так и пишется вместе с %? Или это просто какая-то опечатка?!

**pig** · 14.02.2009, 04:00

Да, это так и пишется.

**Nastasiya** · 14.02.2009, 12:53

так и сделала! Все равно не удается сделать обновления!=( Постоянно пишет "Диспетчеру установки не удалось проверить целостность файла Update.inf Убедитель, что службы криптографии запущены на данном компьютере"