Агрессивный вирус

Подцепил инфекцию. Симптомы

Заблокирован редактор реестра
Заблокирован диспетчер задач
При перезагрузке в безпасный режим система либо уходит в синий экран либо компьютер перезагружается
Невозможно запустить CureIT, Avast и так далее.
Невозможно зайти на сайт kaspersky.ru

Система с нуля.
Проверил CureIt и установил демо Dr.Web.
Пытался установить драйвера видеокарты, видимо в этом файле тоже сидит зараза.
После установки видео, DrWeb вылетел из системы даже не пикнув.

Также не съемном диске обнаружил два скрытых файла
Autorun.inf
---------------------------
[AutoRun]

;kgxq JCRkpDfYVDJsqfslhLKnngr
SHelL\oPeN\defaulT=1
;
OpeN=ipgwt.exe
;TUrekX rEymtycQwIBDXr MPkxsv
sHelL\EXplOre\CommaNd=ipgwt.exe
;KBfcuLiBOvONhralRoHudEdohBsaeakqpQpHlkNngHduV SyufBKkY
sHeLl\oPEn\cOMmanD=ipgwt.exe
;pwwpiYPkEpKdryPlCfw
SHell\AutoPlAY\coMMAnD =ipgwt.exe
---------------------------

Ну и собственно ipgwt.exe
Что это такое в инете не нашел вообще.

Прошу вашей помощи! Работа стала!

Отключите восстановление системы!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\ipgwt.exe','');
QuarantineFile('F:\autorun.inf','');
DeleteService('asc3360pr');
QuarantineFile('C:\WINDOWS\system32\drivers\jkpion.sys','');
QuarantineFile('c:\docume~1\paulvs~1\locals~1\temp\windkfk.exe','');
TerminateProcessByName('c:\docume~1\paulvs~1\locals~1\temp\windkfk.exe');
DeleteFile('c:\docume~1\paulvs~1\locals~1\temp\windkfk.exe');
DeleteFile('C:\WINDOWS\system32\drivers\jkpion.sys');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\ipgwt.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('asc3360pr');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Выслал карантин.

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

Я с Украины, Краматорск.
Только, что позвонил друг из компании обслуживающей компьютеры.
У него несколько случаев аналогичных моему.
Суд по всему у нас эпидемия :(

Логи повторите...

Сделал логи еще раз

Очистите временные файлы,кеш браузера...

[URL="http://www.majorgeeks.com/Icesword_d5199.html"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\drivers\jkpion.sys [/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\jkpion.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(9 );
ExecuteRepair(11 );
ExecuteRepair(17 );
RebootWindows(true);
end.[/CODE]

Повторите логи...

Аккуратно выполните пункт 1 отсюда: [url]http://virusinfo.info/showthread.php?t=15927[/url]
Похоже, у Вас файловый вирус. О результатах сообщите.

В системе нет файла jkpion.sys

Это, должно быть, драйвер файлового вируса, на диске его нет... Совет выше.

[quote=kps;262211]Аккуратно выполните пункт 1 отсюда: [URL]http://virusinfo.info/showthread.php?t=15927[/URL]
Похоже, у Вас файловый вирус. О результатах сообщите.[/quote]

Выполнить не получается.
Как я уже писал выше, компьютер не может запуститься в безопасном режиме. Либо синий экран, либо перезагрузка.

Запустить в обычном режиме с диска также не получается.
Доходит до окна "Выполнить проверку сейчас", сразу появляется окно "Попробуйте бесплатно полную версию" и всё....

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Может быть стоит переустановить винду и прогнать еще раз все диски?

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

По моему вот этот запрос [url]http://virusinfo.info/showthread.php?t=27383[/url]
Очень сильно по симптомам напоминает мои проблемы.

Пункт 2 оттуда же пробовали?
Есть ещё вариант - при наличии машины с KAV/KIS можно сделать спасательный диск, загрузиться с него и просканировать систему.

[quote=pig;262288]Пункт 2 оттуда же пробовали?
Есть ещё вариант - при наличии машины с KAV/KIS можно сделать спасательный диск, загрузиться с него и просканировать систему.[/quote]


К сожалению второй компьютер - ноут.
К нему винты никак не присобачить быстро.

Уже переустановил винду. Сейчас буду прогонять систему всеми известными мне антивирусами по очереди.

[size="1"][color="#666686"][B][I]Добавлено через 6 часов 5 минут[/I][/B][/color][/size]

В общем определил я, что это за хрень
win32.sector.XXX

По всем симптомам он и есть.
Оптимальный вариант лечения снимать винт и проверять CureIT, всё находит, всё удаляет.
По другому с зараженной машины никак.
Вот ссылка на подробное описание лечения [URL]http://notes.rudomilov.ru/2008/07/08/borba-s-virusom-virus-win32-sality-z-win32-sector-5-win32-sector-7/[/URL]

Ну так мы Вам давали ссылку [url]http://virusinfo.info/showthread.php?t=15927[/url]
Там 2 варианта, каждый подробно описан :)

Нужно еще учесть 2 вещи перед лечением:
1) Отключить восстановление системы, как написано в правилах (если еще не отключили).
2) Если зараженный компьютер подключен к локальной сети, то его нужно оттуда отключить на время лечения.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\ipgwt.exe - [B]Virus.Win32.Sality.aa[/B] (DrWEB: Win32.Sector.9)[/LIST][/LIST]