дело было так, искал кряку а нашел виря, Avast! тихо промолчал и умер, я сразу чистить реестр, удалил в RUN "PowerManager", ibrv.exe и bmong.exe, в результате винда в SafeMode не пускает, ни AVZ ни cureit запустить не могу, пишет что не является приложением Win32, инстилить антивирей не получается, службы не запускаются, онлайновые проверяльщики ничего не находят, что делать дальше не знаю. :(

Попробуйте переименовать avz.exe в 123.com, bibika.pif или ackiyvirus.cmd

Или попробуйте использовать AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/)

Попробуйте переименовать avz.exe в 123.com, bbika.pif или ackiyvirus.com

Или попробуйте использовать AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/)

пробовал, не помогает, главное, другие .exe фалы запускаются, например stinger.exe :(

Тогда
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

запустил сканирование...

Логи тоже можно через AVPTool зделать...

обнаружено: троянская программа Trojan-Downloader.Win32.Bagle.iw Файл: c:\windows\system32\drivers\srosa.sys не лечиться, удалять?

Да в это троян в чистом виде...

Логи AVPTool'а после сканирования прикрепите

Не получается ни удалить, ни полечить :(

Ничего, главное чтобы лог получился. Будем скриптом удалять.

ещё одна зараза объявиласть, но будет удалено при перезагрузке компьютера: троянская программа Trojan-Clicker.Win32.Agent.ny Файл: C:\WINDOWS\system32\iHelper.dll

Ещё сканирую, постоянно выскакивают угрозы :(

Вот лог :( оказался целый букет!

похоже зверёк размножается... :(

ссылку в реестре на вирус Email-Worm.Win32.Bagle.of Файл: C:\WINDOWS\system32\mdelk.exe удалил ручками, жду дальнейших указаний.

Попробуйте запустить AVZ

не даёт :( я ещё не перегружался. перегрузится?

P.S. Нам такой лог нужен
http://avptool.virusinfo.info/ru/AVPTool_manual.htm

Вот.

до перезагрузки удалил из реестра всё, что связано с

hldrrr.exe
mdelk.exe
wintems.exe

сразу после перезагрузки:

убил процессы:

wintems.exe
hldrrr.exe

удалил файлы:

C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys

Вроде полегчало,

запустился HijackThis, вот лог

AVZ тоже заработал и дали удалить ветку связанную с srosa.sys

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\suda\John_C\PROGRA~1\DOWNLO~1\d miehlp.dll','');
QuarantineFile('\??\C:\WINDOWS\System32\Drivers\U3 SHLPDR.SYS','');
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Web Components\10\OWC10.DLL','');
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr .exe','');
QuarantineFile('\SystemRoot\system32\ckldrv.sys',' ');
QuarantineFile('C:\WINDOWS\system32\wintems.exe',' ');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe ');
DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\system32\wintems.exe');
BC_DeleteFile('C:\WINDOWS\system32\drivers\hldrrr. exe');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил (http://virusinfo.info/showthread.php?t=1235).
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17312

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )


F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)

Повторите логи AVZ

Повторите логи AVZ
... только предварительно обновите ее базы.

Всё сделал, карантин отослал, когда фиксил в HijackThis, второй строки не нашел. Жду дальнейших указаний. :)

Логи обновленной AVZ нужны + HJT

Вот.

Сделайте логи AVZ как написано в пунктах 8, 9, 10 правил (http://virusinfo.info/showthread.php?t=1235).

Сорри, вот.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\hotfix q0306270.exe');
QuarantineFile('C:\WINDOWS\DOWNLO~1\ipixx.ocx','') ;
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ser2pl .sys','');
QuarantineFile('C:\Program Files\DiskInternals\FlashRecovery\PascalStreams.dl l','');
QuarantineFile('C:\WINDOWS\system32\HotFixQ0306270 .exe','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил (http://virusinfo.info/showthread.php?t=1235).
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17312

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )


O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm427YYUA
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab

Вот.

Пока подождем ответа из вирлаба

Добавлено через 2 часа 15 минут

Карантин чист...
Какие проблемы еще остались?

Спасибо, пока никаких, если будут, маякну! :)

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 34
В ходе лечения обнаружены вредоносные программы:

c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)