Словил неприятный вирус

Вообщем касперский нашел какого-то трояна, после чего компьютер перезапустился. После перезапуска касперский перестал запускаться, в трее появилось сообщение "Your computer is infected! Windows has detected spywareinfection" далее всем известная тема про скачать XP Security center, купить чего-то там чтобы удалить вирусы. Вообщем далее стал действовать по стандартной схеме, но касперский не устанавливается, CureIt, AVZ и HJT аналогично просто не запускаются и ничего не происходит, так что логи сделать никак не могу. Понимаю что нужно переставлять систему, но диска нету под рукой, а работать надо. Есть ли какие нибудь варианты?

PS Восстановление системы отключено

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

также в памяти висит подозрительный процесс mDNSResponder.exe
путь c:\Program Files\Bonjour\ не знаю что это но я этого явно не ставил // с этим вроде разобрался ищу дальше, жалко касперского удалил не посмотрев последние логи

А переименовать avz.exe в 12333.pif и hijackthis.exe в backdoor.com не пробовали?
Если не поможет - [url]http://rapidshare.com/files/116949749/pingpong.pif.html[/url] полиморфный АВЗ, базы обновлть не надо, сделайте логи по правилам.
[QUOTE=ant0ni0;267697]
также в памяти висит подозрительный процесс mDNSResponder.exe
путь c:\Program Files\Bonjour\ не знаю что это но я этого явно не ставил /[/QUOTE]см. тему в разделе Чаво

отправляю логи

[COLOR="Red"]Если Вам удалось запустить АВЗ - перед дальнейшим лечением обновите базы!!!
[/COLOR]
Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winmf10.sys
C:\WINDOWS\System32\Drivers\Winwk54.sys
C:\WINDOWS\system32\WinCtrl32.dll
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\buritos.exe');
DeleteService('Winmf10');
DeleteService('WmiApSrvMSDTC');
DeleteService('ThemesRasAuto');
DeleteService('ImapiServicestisvc');
DeleteService('HTTPFiltersrservice Licensing Service');
DeleteService('HTTPFiltersrservice');
DeleteService('EventSystemwscsvc');
DeleteService('Winwk54');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwk54.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmf10.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Winmf10.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwk54.sys');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
executerepair(1);
BC_DeleteSvc('Winmf10');
BC_DeleteSvc('WmiApSrvMSDTC');
BC_DeleteSvc('ThemesRasAuto');
BC_DeleteSvc('ImapiServicestisvc');
BC_DeleteSvc('HTTPFiltersrservice Licensing Service');
BC_DeleteSvc('HTTPFiltersrservice');
BC_DeleteSvc('EventSystemwscsvc');
BC_DeleteSvc('Winwk54');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Высылаю повторные логи, антивирус попрежнему не работает, файл не найден, зато есть WinCtrl32.dll и WinCtrl32.dl_

только сейчас заметил что базы AVZ не обновил, сделать новые логи?

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

Удалось запустить CureIT находит вирус c:\windows\buritos.exe, полную проверку провести так и не удалось т.к. компьютер перезагружается. Красный значек System Alert после нескольких перезагрузок не появляется, посмотрим что будет дальше...

Обновите все-таки базы, плиз... :)


[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]
C:\WINDOWS\System32\WinCtrl32.dl_
C:\WINDOWS\system32\WinCtrl32.dll
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Beep');
TerminateProcessByName('c:\windows\system32\buritos.exe');
QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\WinCtrl32.dl_','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Beep.sys','');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\WinCtrl32.dl_');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('Beep');
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Отправляю новые логи

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
-[URL="http://virusinfo.info/showpost.php?p=80604&postcount=2"]Удалить с помощью Hijackthis[/URL]
[CODE]O23 - Service: Оповещатель Alerterhelpsvc (Alerterhelpsvc) - Unknown owner - .exe (file missing)
O23 - Service: Служба сетевого DDE NetDDEMessenger (NetDDEMessenger) - Unknown owner - .exe (file missing)
O23 - Service: Телефония TapiSrvTlntSvr (TapiSrvTlntSvr) - Unknown owner - .exe (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

свежие логи,
карантин отправлен:
Файл сохранён как 080816_105148_virus1_48a6f794a15fa.zip
Размер файла 1244815
MD5 5b0539f045646da7bada4ac578029df8

Касперский уже 2 раза успел ругнуться:
удалено: троянская программа Trojan-Mailfinder.Win32.Agent.lz Файл: C:\WINDOWS\system32\ac3acms.dll
удалено: троянская программа Trojan-Downloader.Win32.Agent.aari Файл: C:\WINDOWS\system32\braviax.exe

В логах чисто. Поставьте сервис пак 3 и ИЕ7.

Огромное спасибо

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\ant0ni0\\local settings\\temp\\loader.exe - [B]Trojan-Downloader.Win32.Mutant.axo[/B] (DrWEB: Trojan.DownLoad.2077)[*] c:\\documents and settings\\ant0ni0\\local settings\\temp\\uninst.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\windows\\system32\\winivstr.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] d:\\vir\\number1 - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] d:\\vir\\number2 - [B]Trojan-Downloader.Win32.Mutant.axh[/B] (DrWEB: Trojan.DownLoad.3503)[*] d:\\vir\\number2_1 - [B]Trojan-Downloader.Win32.Mutant.axq[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]