Alarm!!! Help.....

Здравствуйте.У моего знакомого проблема....(он человек совсем далекий от компов,я тоже звезд с неба не хватаю :) комп слабый и старый, офисный вариант,сеть из 2 машин,интернет только на этой)
Стоял лицензионный NOD32(обновление каждый день) +Comodo firewall.Вообщем он схватил вирус,который требовал отправку СМС.Блокировал Винду...Когда я пришел к нему,то даже не смог зайти из под учетной записи.Когда входишь,на 1 секунду появляется рабочий стол и сразу идет сохранение параметров и выкидывает опять на выбор учетной записи.Учетная запись одна.Любые сочитания клавиш не работают(CTRL+ALT+DEL ALT+F4 5SHIFT).В безопастном режиме тоже самое.Ни один не работает.С поддержкой командной строки тоже....Опять точно так же выкидывает во вход.DR.WEB Live CD зависает после 5 часов проверки.ОСтавили на ночь,тоже завис.(зависает на файле из папки Nero). Самого сообщения об отправке СМС я не видел и вируса тоже,но вроде по описанию на Жопаринезу похож не был.Переустановка Windows нежелательна,так как много важных документов.
И вопрос если винт вынуть и подключить к дрогуму компьютеру(там лицензионный NOD32),то вирус не перекинется на тот компьютер?Компьютер вообще запустится ?
Вообщем жду,советов,указаний,помощи.Очень надеюсь на вашу помощь.Буду благодарен за любые идеи.


Буду пробывать,что советовал Олег тут [url]http://virusinfo.info/showthread.php?t=49381[/url]! GL мне....

Компьютер запустится. Если с заражённого винта ничего запускать не будете - всё будет ОК.

Второй вариант - загрузиться на заражённом компьютере с LiveCD и запустить AVPTool или CureIt.

запустился с ALkid Live CD.Запустил HIjack сделал fix Windows/help/hlp.exe или hld.exe непомню... После этого запустился windows в обычном режиме,вот логи.

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]O18 - Filter hijack: text/html - (no CLSID) - (no file)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\a\Рабочий стол\game\game.exe');
QuarantineFile('c:\documents and settings\a\Рабочий стол\game\game.exe','');
DeleteFile('c:\documents and settings\a\Рабочий стол\game\game.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

game.exe это AVZ :)

Без переименования не запустилось?

да не знаю просто я брал из дома на флешке со свежими базами.А дома у меня такое стоит ,после некоторых проблем в прошлом.Да не сейчас переименовал ,всё норм,запустилось.

Сделайте логи с помощью [URL="http://gjf.hotbox.ru/monk.pif"]полиморфного AVZ[/URL] md5: 2091925798b7909e010e3f7e328c5f0d

сделано

virusinfo_cure.zip не нужно здесь постить, нужен virusinfo_syscheck.zip. Внимательно почитайте [URL="http://virusinfo.info/pravila.html"]Правила[/URL]

Простите пожалуйста.... У нас тут +35 и мозги просто плавятся....

Ничего. У нас не прохладнее ;)
Где virusinfo_syscheck.zip?

шайтан машина пока сделает логи можно умереть.....

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
QuarantineFile('C:\DOCUME~1\a\LOCALS~1\Temp\J8a42G0C.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\79841149.sys','');
QuarantineFile('C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\l22bh.exe','');
DeleteFile('C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\l22bh.exe');
DeleteFile('C:\WINDOWS\system32\DRIVERS\79841149.sys');
DeleteFile('C:\DOCUME~1\a\LOCALS~1\Temp\J8a42G0C.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно пункта 2 [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
[I]virusinfo_syscheck.zip[/I]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.

сделано.не работает просмотр скрытых и системных файлов

Файл сохранён как 090708_193830_2009-07-08_4a54bd76657e5.zip
Размер файла 2205
MD5 3f1bea0dc52d4dc33cc710bbcddb5255

А Вы в "Свойствах папки - Вид" соответствующие птички поставили? Если поставили и всё ранво не работает,[URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт AVZ:[/URL]
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
end.[/CODE]

Проверьте, как с отображением скрытых/системных.
После этого [URL="http://virusinfo.info/showthread.php?t=40118"]сделайте лог с помощью GMER.[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Да и ещё. Попробуйте поискать следующие файлы:
[CODE]C:\WINDOWS\system32\Drivers\SSPORT.sys
C:\DOCUME~1\a\LOCALS~1\Temp\J8a42G0C.sys
C:\WINDOWS\system32\DRIVERS\79841149.sys
C:\DOCUME~1\a\LOCALS~1\Temp\RarSFX0\l22bh.exe[/CODE],
Найдёте - в zip-архив их с паролем virus и тоже пришлите в Карантин.

Да галочки ставил конечно :)
К моему сожелению доступа к этому компьютеру у меня не будет до пятницы......Так что логи сделаю только в пятницу.Прошу прошения за беспокойство.
И ещё я так понимаю троян самоуничтожился?!Так как ни KAV ни NOD ни CureIT его не нашли....А ceйчас мы боремся только с остатками или просто подозрительными ?

У вас появились зловредные драйвера и файлы во временной папке. Вполне возможно, что новые, которые не внесены в базу сигнатур антивирусов. Я попытался закарантинить эти драйвера, а потом удалить. Они удалились, но не факт, что физически. Карантин пустой. Поэтому я и попросил Вас поискать файлы и прислать их нам.
Возможно, что зараза прячется достаточно искусно, потому и необходимо подстраховаться GMER'ом.
Ждём пятницы :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]