"дежавю" или мне два раза повторять НАДО :) Rox18

доброго времени суток, вот некоторое время безрезультатно борюсь с заразой.
описывать всё не буду ибо до меня уже это сделали !
[URL="http://virusinfo.info/showthread.php?t=21151"]http://virusinfo.info/showthread.php?t=21151[/URL]
у меня всё тоже самое как у того парня
прикрепить Вам ничего не могу ибо ничего незапускаетса, а если АВЗ и заускаетса обычно, то на выполнении скриптов - виснет

вот что говорит мне др.Веб лайв сиди при сканировании диска Ц и Д (прошу заметить, они у меня поменяны местами)

выполнил проверку лайв СД первый раз:

С:/pagefile.exe infacted with win32.HLLP.Rox.8
С:/pagefile.pif infacted with win32.HLLP.Rox.18
С:/autoran.inf infacted with win32.HLLW.autoruner.868
ещё несколько архивов нашло из папки дистрибутивов с заражёнными файлами в них двумя первыми вирусами из списка выше
выбераю удалить

ребут, загружаю винду, выполнил скрипт в АВЗ, который советовали товаришу по указаной ссылке:

[QUOTE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\Drivers\UP55bus.sys','');
DelBHO('{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
QuarantineFile('C:\Windows\system32\dnsq.dll','');
QuarantineFile('D:\Driver\Gart\EnumChip.sys','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\hpdj.exe','');
QuarantineFile('C:\Windows\system32\in_keys.dll','');
QuarantineFile('C:\Windows\ATL.DLL','');
QuarantineFile('C:\Program Files\Google\Google Updater\2.2.1111.1511\ci.dll','');
QuarantineFile('c:\program files\kvolume\kvolume.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/QUOTE]

комп начал завершать работу виндоуса, но подвис, был просто рисунок рабочего стола, пришлось нажать ресет
тут же загружаю по второму разу лайв СиДи от др.Веба
вот шас сканирую, нашло снова
С:/pagefile.pif infacted with win32.HLLP.Rox.18
С:/autoran.inf infacted with win32.HLLW.autoruner.868

идёт скан далее

после завершения всё удалю и повторю скрипт АВЗ, но я так понимаю он не есть решением проблемы, или как ?
как лечить эту мерзость ? :(

ещё вопрос, если я с винта скопирую нужную мне инфу на другой винт, свой форматну и переразмечу, поставлю заново (уже в 10 раз за время заражения :D ) винду и потом залью обратно нужную мне инфу на свой винт, вирус вернётса вместе с моими файлами или нет ?

или ещё как вариант начисто поставить винду на мой свеже форматированый винт, установить все дрова и поставить касперкского.
после чего подключить винт с моей нужной инфой (заранее отключив в реестре автозагрузку) и отсканировать его касперским - убить всё что выдаст и будет работать ? (флешку с зараженного компа так сканировал, он находит и убивает, вродь, всё ! покрайней мере проблем с ноутом, который принимал зараженную флешку - нет)
сохранение винды для меня давно уже не цель :>

заранее спасибо

[size="1"][color="#666686"][B][I]Добавлено через 47 минут[/I][/B][/color][/size]

послал карантин зип-файл :)

[size="1"][color="#666686"][B][I]Добавлено через 11 часов 19 минут[/I][/B][/color][/size]

:sos:

[url]http://virusinfo.info/showthread.php?t=1235[/url] :rtfm:

я конечно извеняюсь, НО я же написал выше, и в той теме человек столкнулса с такой же проблемой : "у меня всё тоже самое как у того парня
прикрепить Вам ничего не могу ибо ничего незапускаетса, а если АВЗ и запускаетса обычно, то на выполнении скриптов - виснет"
understand ? :(

скачайте этот avz [URL="http://rapidshare.com/files/199106177/toto.pif"]http://rapidshare.com/files/199106177/toto.pif[/URL]

HiJeck просканировала, но сохранять ЛОГ не хочет
причём при скане С сохранением лога - в конце вснет, при просто скане системы - нажимаю при окончании - сохранить ЛОГ - виснет :?

прикрепляю лог с АВЗ скачаной по ссылке выше
делал проверку со скриптами 2 и 3

жду дальнейших указаний

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

сканирую др. Вебом Cure IT прям сейчас в обычном режиме, ка обычно нашло Рокс 18
обьект :
lsass.exe d\windows\system32\com win32.hllp.Rox 18
smss.exe d\windows\system32\com Rox(без какой либо цифры) - удалён
dnsq.dll d\windows\system32 win32.hllp.Rox.16 -- удален

Не то прикрепили, ждем логи...

в безопасном режиме загружатса не хочет
сейчас делаю сканирование с помощью АВЗ всех дисков
Вирус Ремовал Тул не запускаетса
раньше было - запускаешь, на долю секунды появляетса окошко и пропадает, шас тоже самое, но окошко уже появляается на несколько секунд :094:

Не нужно все сканировать, скрипты 2 и 3 надо только сделать...

прошу прощения, ошибка )
только что с зараженного компа скопировал данные арзивы на флешку и вставил ей в ноут, обычно каспер кучу всего находил при таком переносе, удалял и можно было работать, а сейчас всё чисто и он ничего не обнаружил
смотрите логи, уважаемые, я надеюсь дело идёт к концу
сканирую с помощью АВЗ зараженный ПК, потом отчёт выложу как закончит

пс: у меня диски Д и Ц поменяны местами :)

да, эт уже сканирую после выполненных скриптов 2 и 3, логи которых прикрепил выше

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
DeleteFile('D:\windows\system32\com\lsass.exe');
DeleteFile('D:\windows\system32\com\smss.exe');
DeleteFile('D:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\WINDOWS\system32\com\netcfg.000');
DeleteFile('D:\WINDOWS\system32\dnsq.dll');
DeleteFile('D:\pagefile.pif');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\NetApi000.sys');
DeleteFile('D:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('D:\037589.log');
DeleteFile('D:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('D:\', 'lsass.exe.*', false);
DeleteFileMask('D:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.[/CODE]

Повторите логи...

при подключении флешки на ноуте после зараженного ПК всё чисто
так же после выолненого кода и перезагрузки системы открылся Вирус Ремувал Тул

выполнил скрипты 2 и 3 логи:
пс: жду наставлений что делать дальше :094:

virusinfo_cure.zip из темы поубирать (мой кабинет=>вложения"), лог HJT сделайте...

[QUOTE=Гриша;377778]virusinfo_cure.zip из темы поубирать (мой кабинет=>вложения"), лог HJT сделайте...[/QUOTE]

удалил къюр зипы, а вот с логом HJT можно поподробнее ?
как его делать ? :mail1:

Тут написано [url]http://virusinfo.info/showthread.php?t=1235[/url]

HJT = HijackThis.

[QUOTE=kps;377818]HJT = HijackThis.[/QUOTE]
эт я и имел ввиду, спасибо :beer:

Гриша, сделал, как вы сказали
ещё не знаю пригодитса ли, скидываю лог програмы Касперски Вирус Ремувал Тул, которой сейчас сканирую всю машину, незакончено, но там одно и тоже находит и удаляет с небольшими вариациями, ну думаю что важно для вас дождатса окончания сканирования :)

СПАСИБИЩЕ !
жду дальших указаний !
*чувствую что мучениям моим конец вот-вот .. свет в конце тонеля :D
ееее

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - AppInit_DLLs: D:\WINDOWS\system32\dnsq.dll[/CODE]

Повторите лог HJT...

З.Ы. он заразил все html файлы...

пофиксил, жду пока досканит каспер ВирРемТул тогда ребут и сразу выложу логи
пс: да, вы правы насчёт html, и ещё некоторые .ЕХЕ (флеш игры)
вот смотрю ещё всякое повылазило... троян.агент.ацп, ворм вин32.ауторан.дск ...(потом скину лог)

уже почти .. еееееее

ещё вопрос, какую винду потом лучше ставить чистую ХР СП3 или SamLab edition SP2 или SP3 (не знаю что там) ?
спасибо