Какой то вирус.

Printable View

14.09.2011, 13:16
100000

Вложений: 3

Какой то вирус.

Приветствую. Словил вирус. В начале глючило USB и всё, что на них висело. PS/2 нет. Комп стал медленно работать. Перестали работать, удаляться и устанавливаться программы, кроме как клинером. Потом вообще виндоус инсталлер исчез. Сами собой стали меняться установки интернета. Я сейчас даже не уверен, у меня админские права в компе, или у этого вируса.>:( При окончании загрузки компа, радует меня сообщением, что что то восстановил в реестре с помощью восстановления системы, а если восстановление отключено, то с помощью копии. Поставил себе DrWeb, так эта зараза у него периодически брандмауэр отключает.
Сначала стоял Майкрософт секьюрити, gmer, HousecallLauncher и Панда скан. Они этого вируса не находят. Поставил вместо них AVPtool(не находит), drWeb cureit и полный drWeb. Их вышыбает в процессе сканирования либо в перезагрузки, либо вообще в синий экран.
14.09.2011, 13:17
Info_bot

Уважаемый(ая) [B]100000[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
14.09.2011, 13:21
100000

Да, совсем забыл, эта сволочь не выпускает в безопасный режим. Сразу перезагрузка идёт.>:(
14.09.2011, 19:26
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Administrator\510220954\510220954.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\Documents and Settings\Administrator\510220954\510220954.exe','');
DeleteFile('C:\Documents and Settings\Administrator\510220954\510220954.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
14.09.2011, 20:58
100000

Спасибо, конечно, но после выполнения фикса, 1-го скрипта и перезагрузки комп повис. :D Перезагрузки не помогают. Процесс services.exe сразу после загрузки забивает ЦП на 99%. Понизить приоритет через диспетчер не получается. Зато зайти в безопасном режиме получилось наконец. :) Не с 1-го раза. :) Обратил внимание при выполнении скрипта писалось что то вроде: отказано в прямом удалении C:\Documents and Settings\Administrator\510220954\510220954.exe из-за недостатка прав. :O Впервые вижу(слышу), что бы вирус владельцу компа приоритет ниже своего сделал. :O Что мне делать терь, что бы не навредить?
14.09.2011, 21:17
polword

попробуйте выполнить скрипт в безопасном режиме
14.09.2011, 21:32
100000

Отвисло, но в начале загрузки опять: " потребовалось восстановление данных системного реестра с помощью журнала или копии. Восстановление прошло успешно." И сразу брандмауэр drWeb отрубился.
2-й скрипт выполнять?
14.09.2011, 23:33
polword

- Сделайте лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
15.09.2011, 14:40
100000

Вложений: 2

Добрый день.
15.09.2011, 18:24
миднайт

Удалите все найденное в mbam.
Обновите базы AVZ.
Последние два лога повторите.
16.09.2011, 08:42
100000

Вложений: 2

Доброе утро. Звук исчез при новых дровах и рабочей звуковухе. Енумератор слетел. Майрософт фикст всё видит- ничего делать не хочет. Надо переустанавливать самому как то.:(
16.09.2011, 17:54
100000

Опять часть клавы глючит. Вернулись в "с чего начали">:( Лучше стало, конечно, тока всё не вычистилось все равно. ((
16.09.2011, 18:13
миднайт

Думается вычищать уже нечего ибо - чисто.
Сделайте лог [b][url=http://virusinfo.info/showthread.php?t=59446]GSI[/url][/b],[b] ссылку на результат проверки напишите.[/b]