Помогите! Вирус!

Во время работы компьютера вставил флешку.
Обнаружил 2 новых скрытых файла:
x.com и fesa...(окончания и расширения второго файла не помню)
Хотел удалить их, но при наведении курсора мыши на них
все процессы стали завершаться (и антивирус avast).
После перезагрузки вошёл из DOS.

Подозрение на переименование или удаление файлов,
на дисках кроме C: (может и в нём, но я не нашёл подозрений)

Тогда я второй HDD отключил физически.

В безопасном режиме не загрузился (ждал минут 5, но экран чёрный и диск крутится).

Зашёл в обычном режиме.
Новых процессов не обнаружил.

На флешке (x.com и fesa...) не нашёл,
но через некоторое время они появились.

Установил Kaspersky. Вставил флешку.
В Volkov Commander вижу 2 файла (x.com и fesa...) помимо других.

Касперский вирусов не нашёл на флешке
при установленных максимальных настройках обычной и pro-защиты.

Удалил файлы (x.com и fesa...) из Volkov Commander.

Что дальше делать? На втором диске много нужного.

[url]http://virusinfo.info/showthread.php?t=1235[/url]

Сделайте логи по правилам с подключенной флэшкой.
Второй HDD пока не подключайте.

Panda 50% диска C: проверила.
Dr.Web CureIt качаю.
Не пойму почему Kaspersky проактивной защитой не обнаружил.

"Сделайте логи по правилам с подключенной флэшкой."
По подробнее или где прочитать как это сделать?

[quote=User 25;210960]"Сделайте логи по правилам с подключенной флэшкой."
По подробнее или где прочитать как это сделать?[/quote]
Ссылка на правила в сообщении #2.
В процессе выполнения флэшка должна быть подключена. 8)

Качаю...

А указанные программы (AVZ, Dr/Web CureIt, HiJack)
могут сканировать удалённые файлы?
(Не хотелось бы вирус восстанавливать)

Volkov их наверно не затёр?

===
А лог долго будет создаваться (Диск 40 Гб)

Восстанавливать ничего не надо, что удалили - то удалили.
Для экономии времени перед сканированием очистите временные файлы IE через "Свойства обозревателя". И не забудьте отключить восстановление системы.

Восстановление системы отключено для всех дисков. Проверил.

Panda нашла и удалила PSKill.exe (PSKill.E) в C:\Windows\System32

===
А по именам файлов нельзя вирус определить (x.com и fesa...)?

Логи иначе это гадание.

Сканирую...

===
А PSKill.exe это вирус или он может быть в составе безобидной программы?

Вот файлы

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\x2f4fr.dll','');
QuarantineFile('C:\DOCUME~1\INTERN~1\LOCALS~1\Temp\ASFWHide','');
QuarantineFile('vistaui.exe','');
QuarantineFile('c:\windows\system32\taskmgr.exe','');
QuarantineFile('C:\Program Files\Ditto\focus.dll','');
QuarantineFile('C:\WINDOWS\system32\LSP.dll','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\Explorer.EXE','');
BC_ImportQuarantineList;
BC_QrSvc('ASFWHide');
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url] (загружать здесь: [url]http://virusinfo.info/upload_virus.php?tid=21036[/url] ).

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Файл карантина прислал.

[QUOTE]AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и [B]пофиксить[/B]. Данную операцию повторить для категории "Настройки и твики браузера".[/QUOTE]

"Пофиксить" в данном случае в смысле "Исправить помеченные проблемы" в AVZ?
Если да, то сделал.

===
Тут Panda говорит:
"Рекомендуем вам переустановить коммуникационную библиотеку LSP,
поскольку установка определённых утилит и сетевых адаптеров может
помешать подключению к интернету.
Хотите переустановить её сейчас?"
Я отказываюсь. Я предполагаю это из-за несовместимости с файерволом.
Сообщил на всякий случай.

===
А возможно подключить второй жёсткий диск в режиме только чтения,
чтобы даже в сиcтемных областях ничего не могло записываться?

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 41 минуту[/I][/B][/color][/size]

Так файл карантина дошёл?

Файлы, которые попали в карантин, должно быть, чистые.
x2f4fr.dll - в карантин не попал.

[url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis[/url]:
[code]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O22 - SharedTaskScheduler: Hex port setting - {8D5849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\system32\x2f4fr.dll (file missing)[/code]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\x2f4fr.dll');
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]

Компьютер перезагрузится.

Вот это Вам знакомо?:
D:\Documents\Projects\Delphi\TaskManager\TaskManager.exe
и вот это знакомо?
[code]O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2[/code]

Какие-то проблемы остались?

[QUOTE]D:\Documents\Projects\Delphi\TaskManager\TaskManager.exe[/QUOTE] - моя программа, написанная на Delphi (в трее сидит).

[QUOTE]O17 - HKLM\System\CCS\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CD4593A-970E-4356-B16B-2E41B0F62D4C}: NameServer = 212.122.1.9 212.122.1.2[/QUOTE]
Не знаю что это. Может программа подсчёта трафика или файервол или с DSL связанное что-нибудь. Не знаю в общем.

Что теперь делать со вторым диском на котором все данные?

Я его физически отключил после выключения вирусом компьютера
(после активации вируса через 10 секунд нажал на Reset).

А резервная таблица размещения файлов (у меня везде FAT32)
при загрузке из DOS перезаписывается?
Дело в том, что после перезагрузки я в DOS из Volkov Commander осматривал диск.

Программу для восстановления R-Studio 4.2 я скачал.

Возможно ли подключить второй жёсткий диск в режиме только чтения,
чтобы даже в сиcтемных областях ничего не могло записываться?

===
Сейчас я установил лицензионный Kaspersky и обновил базы
(до этого стоял avast! antivirus)

[quote]Сейчас я установил лицензионный Kaspersky и обновил базы[/quote]
Очень хорошо. Теперь подключите ваш второй HDD (нормальным образом, а не только чтение) и выполните полную проверку компьютера.

Вы боитесь, что данные на втором HDD будет повреждены? Больше ничего подозрительного я в Ваших логах не вижу.
Выполните проверку целостности системных файлов: Пуск - Выполнить - напишите sfc /scannow - ОК.
Понадобится установочный диск Windows.

Скачайте новый CureIt!, поключите второй HDD и проверьте все жесткие диски CureIt'ом.
P.S. Безопасный режим загружается?

Подключил второй диск.
Касперский перестал работать. Переустановил Касперского.

Безопасный режим заработал.
Раньше при запуске был только чёрный экран с мерцающим текстовым DOS курсором при активности диска и не запускался.
(У меня в безопасном режиме всё тормозит сильно,
и монитор искажает экран ).

sfc /scannow не заработал.
Просит вставить диск. Вставил - говорит другой.
InstallPath менял - не помогло.

ВИРУС НА ВТОРОМ ДИСКЕ КАЖЕТСЯ НИЧЕГО НЕ УДАЛИЛ.
Когда я из DOS в Volkov Commander смотрел,
то возможно из-за большого размера диска или не поддержки русского языка
видел не понятные символы в названиях файлов.

Качаю CureIt. Буду перепроверять всё.

Вот файлы после подключения второго диска и проверки
(После первой проверки были найдены 4 трояна. Я их удалил и повторил проверку)

Сходил на тот компьютер, где этот вирус ко мне попал.
Хотел его удалить там, а он не удаляется
(после удаления создаёт копию на другом диске).

Nod и Kaspersky его определяют, а другие нет.
(Там другие как раз установлены).

Заархивировал файлы вируса (3 штуки) в архив с паролем.
Нужно его куда-нибудь отправить?

===
Посмотрите, пожалуйста, файлы из прошлого сообщения,
чтобы мне наверняка быть уверенным, что вирус удалили.