Комп перезагружается, кажетя, это braviax, помогите справиться!

[lynxyboo]

Здравствуйте!
Помогите, пожалуйста! Сегодня подцепила вирус, открыв какой-то сайт (точно не знаю, какой, т.к. их было открыто много в разных окнах). Кажется, это braviax, AVZ его находил. Сначала всплыло черное окошко, потом компьютер перезагрузился. В трее постоянно всплывает окно с сообщением Your computer is infected! Предлагает использовать антишпионскую программу. Прошло полдня, пыталась справиться с вирусом своими силами, сейчас в трее появилась иконка PC Antispyware 2010, сама по себе запускается программа, которая "ищет" вирусы, предлагает удалить их за оплату. Стартовая страничка сразу поменялась на google.com, время от времени все виснет и перезагружается, выходят сообщения "Система восстановлена после серьезной ошибки" и т.д.
Сделала все по инструкции, но не получиось проверить компьютер с помощью AVPTool или CureIt! даже в безопасном режиме. В первом при проверке появляется соощение, что повреждена база и предлагают обновить программу (после обновления нчего не меняется), при использовании второй программы комп просто перезаружается

[Bratez]

Отключив интернет и антивирус,
выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\SOUNDMAN.EXE:svc32d.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\SOUNDMAN.EXE:22222222.txt:$DATA','');
 QuarantineFile('C:\WINDOWS\system32\SOUNDMAN.EXE:11111111.txt:$DATA','');
 QuarantineFile('digeste.dll','');
 QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
 QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
 QuarantineFile('C:\Documents and Settings\Евгений\Евгений.exe','');
 QuarantineFile('C:\Documents and Settings\Евгений\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
 QuarantineFile('C:\WINDOWS\system32\SOUNDMAN.EXE','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 QuarantineFile('C:\Documents and Settings\Евгений\msword98.exe','');
 DeleteFile('C:\Documents and Settings\Евгений\msword98.exe');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\WINDOWS\system32\msword98.exe');
 DeleteFile('C:\Documents and Settings\Евгений\Главное меню\Программы\Автозагрузка\ikowin32.exe');
 DeleteFile('C:\Documents and Settings\Евгений\Евгений.exe');
 DeleteFile('C:\WINDOWS\system32\cru629.dat');
 DeleteFile('C:\WINDOWS\system32\regedit.exe');
 DeleteFile('digeste.dll');
 DeleteFile('C:\WINDOWS\system32\SOUNDMAN.EXE:11111111.txt:$DATA');
 DeleteFile('C:\WINDOWS\system32\SOUNDMAN.EXE:22222222.txt:$DATA');
 DeleteFile('C:\WINDOWS\system32\SOUNDMAN.EXE:svc32d.exe:$DATA');
 DeleteFile('E:\autorun.inf');
 DeleteFile('C:\WINDOWS\system32\SOUNDMAN.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('ksi32sk');
 BC_DeleteSvc('amd64si');
 BC_DeleteSvc('acpi32');
 BC_DeleteSvc('stalker');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл C:\WINDOWS\system32\Drivers\Ntfs.sys необходимо заменить чистым из дистрибутива или из здоровой системы той же версии. Подробнее тут: http://virusinfo.info/showthread.php?t=51654.

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=52361).

Сделайте новые логи.

[lynxyboo]

Bratez
Спасибо!
Сделала, как Вы сказали - выполнила скрипт, установила консоль восстановления, заменила файл ntfs.sys на чистый с установочного диска Windows, зашла в систему в обычном режиме. Только она загрузилась, опять вылезла эта гадость (что компьютер заражен и что оплатите наш антивирус). Так и должно быть? Или эти меры не помогли? А еще теперь не могу на том компьютере выйти в интернет - полетели настройки (пишу сейчас с ноута). Так что карантин отправить с компа не могу.

[PavelA]

Поживем пока без карантина. Логи повторите и на флешке их перенесите.

[lynxyboo]

Добрый день! Новости такие: убила вчера в дисетчере задач процесс PC Antispyware 2010 - удалось запустить CureIt! Нашел 8 файлов с вирусом, вроде удалил их, но "подлечил" и файлы в карантине AVZ :-) Они вроде бы есть, но я не знаю, будут ли давать нужную информацию. Может, стоит их вообще удалить? Или отправить то, что есть?
Сегодня запустила комп, чудесным образом восстановилось подключение к интернету :-) Провела всю диагностику заново, как прописано в правилах, прикрепляю к сообщению новые логи. В диспетчере задач все равно висят процессы VersionCueCS2.exe и VersionCueCS2Tray.exe (и еще несколько процессов, как мне кажется, лишних), так что, видимо, вирусы удалились не до конца :-(

[PavelA]

Сейчас в логах все нормально.
Те процессы, что Вам не нравятся, от Адобе.

[Rene-gad]

+ PavelA

Platform: Windows XP SP2 (WinNT 5.01.2600)

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

- Установите IE 8

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

- Обновите JavaRE

C:\Program Files\Adobe\Reader 8.0

- Обновите Acrobat Reader

[lynxyboo]

PavelA, Rene-gad
Большое вам спасибо!

[Rene-gad]

PavelA, Rene-gad
Большое вам спасибо!

и Bratez - тоже

[lynxyboo]

и Bratez - тоже

Ага Всех благодарю!