ХЕЛП МИ ПЛИЗ !!!!

Printable View

18.06.2011, 06:09
Belzzz

ХЕЛП МИ ПЛИЗ !!!!

беда товарищи... беда!!!
дал другу ноут на время! в итоге зацепил он вирусняка!! >:(
1_) как понял неладное, сразу обновил каспера и проверил все! каспер даже намека на вирусы не дал!
2_) после перезагрузки появились странные процессы! такие как
guardguard.exe
smss.exe
lsass.exe
Снять процесс не получается! они мгновенно запускаются вновь!
от имени админа запущен только процесс - taskmgr.exe
3_) появилась папка C:\\WINDOWS\Prefetch со странными файлами расширения *.pf
4_) вирус за считанные секунды сожрал большинство системных файлов (или может спрятал их куда)! у меня нет половины файлов в папке WINDOWS и system32
отсутствует explorer.exe
5_) не могу открывать папки!!! при открытии любой папки открывается поиск!
не могу открывать файлы!!! при попытки открытия дает выбор программ!
при попытки удаления папки запускается установка Promt8 Editor
6_) папка c каспером в ProgramFiles пропала!!!
7_) не запускается ни одно приложение! работать могу только через cmd.exe и через проводник по папкам лажу
8_) хотел плюнуть на все - форматнуть жесткий и поставить заново винду! не тут то было!!! с установочного диска пытался запустить norton. не смог! пишит - "Device driver not found: 'MSCD001' "
хотел ставить винду поверх старой - получил синий экран смерти! с надписью
"Check for virus on your comruter. Remove any newly installed hard drivers controllers. Check your hard drive to make sure it is configured and terminated. Run CHKDSK /F to check for hard drive corruption, and then restart your computer.
*** STOP: 0x0000007B (0xF78D2524,0xC0000034,0x00000000,0x00000000)"
пробовал форматнуть диск через Acronis! и тут неудача!!! получил в ответ "Acronis Loader fatal error: Boot drive (partition) not found."
9_) еще заметил, что появился новый пользователь в числе администраторов пк!

ВЫ СТАЛКИВАЛИСЬ С ТАКИМ???
такое чувство, что уже не я владею этим ноутом, а это вирусяк!

может есть мысли, как с ним расквитаться?
или хотя бы подскажите, как мне винд форматнуть???
плиииииииииииз!!! :(:umnik2:
18.06.2011, 06:12
Info_bot

Уважаемый(ая) [B]Belzzz[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
18.06.2011, 06:19
Belzzz

Спасибо бот!!!
жду помощи с нетерпением )

и еще небольшая поправочка! в безопасном режиме абсолютно тоже самое (((((
18.06.2011, 08:01
Bratez

[QUOTE='Belzzz;799227']работать могу только через cmd.exe и через проводник по папкам лажу[/QUOTE]
А запустить AVZ и сделать логи не удается?
18.06.2011, 08:12
Belzzz

не могу запустить ни одну прогу!!!!
не установить не удалить!! ваще ничего (((
провал просто!

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Только системные команды!!! файлы не запускаются!!
avz на том ноуте не установлен!!! каспер исчез!
18.06.2011, 08:48
Bratez

[QUOTE='Belzzz;799241']avz на том ноуте не установлен!!![/QUOTE]
AVZ не требует установки.

Как вариант попробуйте такую версию AVZ:
[url]http://gjf.hotbox.ru/svchost.pif[/url].

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE]*** STOP: 0x0000007B[/QUOTE]
В BIOS Setup переключите SATA-контроллер из AHCI в IDE-совместимый режим.
18.06.2011, 09:50
Belzzz

проверил!!! скинуть полностью лог не могу! так как сохранить не имею возможности!
красный выделено следующее!

Функция kernel32.dll: GetProcAddress (409) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C80AE40 -> 7C884FEC
Функция kernel32.dll: LoadLibraryA (581) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C801D7B -> 7C884F9C
Функция kernel32.dll: LoadLibraryExA (582) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C801D53 -> 7C884FB0
Функция kernel32.dll: LoadLibraryExW (583) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C801AF5 -> 7C884FD8
Функция kernel32.dll: LoadLibraryW (584) перехвачена, метод ProcAddressHijack.GetProcAddress -> 7C80AEEB -> 7C884FC4
Детектирована модивикация IAT: LoadLibraryA - 7C884F9C <> 7C801D7B
Детектирована модивикация IAT: GetProcAddress - 7C884FEC <> 7C80AE40

Там потом очень много про файлы
C:\WINDOWS\system32\drivers\klif.sys
C:\WINDOWS\system32\Drivers\kl1.sys

потом еще
\FileSystem\ntfs[...]
\FileSystem\FastFat[...]

>>> C:\WINDOWS\system32\explorer.exe ЭПС: подозрения на файл с подозрительным именем (высокая степень вероятности)

>> разрешен автозапуск с HDD
>> разрешен автозапуск с сетевых дисков
>> разрешен автозапуск со сменных носителей