трояны

Предисловие:прихожу домой с работы: Сестра:"Ой чё-то комп глючит........ Весь день его перезагружала постоянно.....Сейчас вот только что монитор погас......"

Запустил McAfee проверил всё. Он нашёл несколько файлов заражённых троянами
например файл C:\WINDOWS\system32\ksys.sys трояном Generic Rootkit.d,
winlogon.exe трояном Proxy-DistNet
axdplug-1.5.0.0-0147-setup.exe трояном Downloader-BCM
KB_963491.exe трояном Generic Downloader
KB43881000.exe тряоном Generic.dx
eied_s7.cab трояном Generic.dk
Dc1134.dll трояном Spam_DComServ
Вылечил. Перезагрузил. Всё по прежнему, часть вирусов (например файл ksys.sys) вернулись.

При подключении к инету постоянно срабатывает фаервол, уже достало

Помыкался по яндексу, нашёл вас. Начал выполнять правила по пунктам.
1)safe mode загрузить не получается так как грузит только до экрана выбора пользователей потом комп перегазгужается.
2)Avz после запуска в итоге виснет :((((. И потом даже ctrl alt delete не вырубается, один раз даже монитор погас. Поэтому логов avz нет.
3)HijackThis, умница свою функцию выполнил, этот лог я прикрепил.
SOS

попробуйте переименовать AVZ.exe в 12345.ехе и выполнить логи ....

Переименовал, запустил.В случае со Скриптом номер 2 последняя строчка которую я увидел было сканирование завершено и монитор погас. Лога нет.
При запуске скрипта номер три прога виснет.

[url]http://virusinfo.info/showthread.php?t=10387[/url] а вот такой лог,только из обычного режима сделайте.
и выполните
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\svch4ud.dll','');
QuarantineFile('C:\WINDOWS\system32\ksys.sys','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\ksys.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11785[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file)
O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - (no file)
F2 - REG:system.ini: Shell=
[/CODE]

Сделал как сказали, запустил скрипты, McAfee выключить забыл. Дошли до файла C:\WINDOWS\system32\ksys.sys зараженный вирусом Generic Rootkit.d макафее завопил, прога зависла
Перезагрузил комп. вырубил McAfee запустил скрипты, монитор погас. Перезагрузил комптютер, запустил McAfee просканил system32 почистил ksys.sys
Запустил HijackThis.exe выполнил то что вы написали в пункте 2. Норм.
Потом запускал ещё 3 раза avz с выключенным McAfee и запущеном окне IE результат тот же -монитор гаснет.
Потом 1 раз запустил без окна IE в окне протокол AVZ в отличие от запуска с IE проскочили несколько строчек красного цвета начинающиеся с: функция восстановления.....(дальше запомнить не успел,)Потом несколько синих строк.
Монитор погас. AVZ логов не создал.

[B]warthor[/B], вы скрипт написанный [B]Muzzle[/B] выполнили ?
или пробовали только стандартные ?

Да выполнил: скопировал, вставил, запустил.
К стандартным даже не прикасался

Где дополнительный лог?Можете повторить мой скрипт только из безопасного режима.

1)Я уже писал, что безопасный режим не грузится, вирус перезагружает комп как только загружается окно выбора пользователя
2)При выполнении любых выше предложенных скриптов или AVZ виснет или вирус вырубает монитор и видимо останавливает работу системы, так как avz логов не создаёт

выполните скрипт ...
[code]
begin
ExecuteRepair(6);
ExecuteRepair(10);
end.
[/code]
попробуйте войти в SafeMode .... и выполнить скрипт Muzzle ...

скрипт выполнил.норм.
safe mode грузится всё так же только до окна выбора пользователя, потом перезагрузка

Даже при создании дополнительного лога зависает AVZ?

[B]Закройте все программы.
Отключитесь от Интернета[/B]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ksys.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11785[/url]

"Закройте все программы.
Отключитесь от Интернета"-сделал
скрипт запустил, монитор погас мнгновенно, компьютер завис

Выполните такой скрипт:
[code]
begin
BC_DeleteFile('C:\WINDOWS\system32\drivers\ksys.sys');
BC_DeleteSvc('NDnet1');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки попытайтесь сделать все логи по правилам.

сделал, ура:)

Рано радуетесь, заражение ещё осталось. Совсем дырявый ваш макафи .
Сейчас напишу дополнительную пилюлю:
[B]Не забыть отключиться от интернта и выключить макафи (хотя бы антивирус)[/B]
1. Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch4ud.dll
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll[/code]

2. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svch4ud.dll','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\WINDOWS\system32\poof','');
TerminateProcessByName('startdrv');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\partnership.dll');
DeleteFile('C:\WINDOWS\system32\svch4ud.dll');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\system32\koos.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11785[/url]
3.Повторите логи, посмотрим что осталось.

Не могу отправить ни один файл(пробовал и в воскресенье и в понедельник). Компьютер работает нормально,как раньше, признаков вирусов не наблюдается. СПС вам за помощь

Заметил за вами тенденцию читать сообщения через строчку :)
повторите логи