Помогите побороть заразу Xorer

[pannet]

Такова ситуация - подхватил где-то эту гадость - Хorer (Win32.HLLP.ROX.)
Синопсис - заблокирована работа антивируса NOD32, файрволла - Outpost Firewall,
безопасный режим не грузится (пробовал восстановить безопасного режима через AVZ как указано тут в FAQ - бесполезно), нормально работает только полиморфорный AVZ, HijackThis делает сканирование, но при сохранениее лога - виснет, открываются китайские сайты.
Полностью прогонял самозагрузочные Live CD Drweb и Avast BART CD - находят заразу, удаляют, но все бесполезно.
После перезапуска опять pif в корне и зараза в C:\WINDOWS\system32\Com
AVP Tool не запускается, Dr. Web CureIt не запускается.
Интересно, что при поытке отрыть темы в данном форуме где обсуждается Xorer - тоже вылетает. Попытка поискать инфо про Xorer в нете тоже неудачны, при этом тоже браузер вылетает. Короче, зараза очень не хочет чтобы ее удалили, блокирует хоть малейший намек для ее удаления.
Последняяя надежда на этот форум, буду очень признателен если кто-то поможет!

[Гриша]

Выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
 QuarantineFile('c:\windows\system32\com\lsass.exe ',' ');
 QuarantineFile('c:\windows\system32\com\smss.exe ',' ');
 QuarantineFile('C:\WINDOWS\system32\com\netcfg.dll ',' ');
 QuarantineFile('C:\pagefile.pif',' ');
 QuarantineFile('C:\autorun.inf',' ');
 QuarantineFile('C:\NetApi000.sys',' ');
 QuarantineFile('C:\WINDOWS\System32\drivers\alg.exe',' ');
 DeleteService('ionvay');
 QuarantineFile('C:\WINDOWS\system32\drivers\ipsnncah.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\ipsnncah.sys');
 DeleteFile('c:\windows\system32\com\lsass.exe');
 DeleteFile('c:\windows\system32\com\smss.exe');
 DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
 DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
 DeleteFile('C:\WINDOWS\system32\dnsq.dll');
 DeleteFile('C:\pagefile.pif');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\NetApi000.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
 DeleteFile('C:\037589.log');
 DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
 DeleteFileMask('c:\', 'lsass.exe.*', false);
 DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[pannet]

Спасибо большое!
Вроде все заработало, запустился файрволл, переустановил антивирус ESET NOD32
Единственный минус - Safe Mode не грузится, идет на перезагрузку по кругу.
Делаю логи. В карантине AVZ - пусто.

[Гриша]

Пофиксить:

Код:

O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

Выполните скрипт:

Код:

begin
ExecuteRepair(10);
RebootWindows (true);
end.

Безопасный режим должен заработать, сделайте полную проверку CureIT, повторите стандартный скрипт №2...

[pannet]

Спасибо, сегодня вечером буду пробовать!

[pannet]

Все сделал и Safe Mode заработал, за это большое спасибо.
Но, видимо, зараза где-то сидит, но блокируется NOD32.
Вот журнал антивируса

07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051266.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051266.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051265.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe. [ЭТО ПЕРЕИМЕНОВАННЫЙ AVZ!]
07.10.2009 20:16:15 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP196\A0051265.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:14 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048234.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:13 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048234.dll Win32/Xorer.NAD вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:13 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048233.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 20:16:12 Защита в режиме реального времени файл C:\System Volume Information\_restore{C131F57C-5647-4FDA-8F8A-06C8AFD5E378}\RP195\A0048233.exe Win32/Xorer.DR вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\avz4\dssgfdgfytyt.exe.
07.10.2009 1:00:21 Защита в режиме реального времени файл C:\windows\system32\80568.log Win32/Xorer.EY вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\K-Lite Codec Pack\Media Player Classic\mplayerc.exe.
07.10.2009 1:00:21 Защита в режиме реального времени файл C:\windows\system32\79817.log Win32/Xorer.EY вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\Explorer.EXE.

06.10.2009 1:00:52 Защита в режиме реального времени файл C:\windows\system32\141946.log Win32/Xorer.EY вирус очистка невозможна NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe.

Прикрепляю логи

[vegas]

Но, видимо, зараза где-то сидит

Отключите восстановление системы!!!
Пролечитесь DrWeb CureIT сначала в безопасном, потом в обычном режиме. Сделайте новый лог virusinfo syscheck

[pannet]

Сделал как указали и по правилам сделал логи.

[light59]

ничего плохого.

[pannet]

Спасибо этому форуму! Спасибо помогавшим!
Обязательно отблагодарю через sms-копилку.