вирус....

Здравствуйте. Вирус появился собственно (как всегда) с чужой флешки.
Была Антивирусная программа ESS с посл обновлениями но как только я начал проверять её он завис и вырубился. Методом просмотра скр и сис файлов увидел и убил вручную много всякой бяки: 2ifetri, autorun(в котором тоже было много чего в том числе и запуск етого фетри), какието названия со значками сапера.... дак вот флеху потом я форматнул далее удалил(вручную) с всех ЖД 2ifetri и autorun. Хотел поставить другой Антивирь что из этого вышло:
NOD32 - вылетает сразу после запуска
KAV,KIS - тоже самое
AVAST - вылетает сразу на установке
затем скачал АВЗ - тоже самое как и каспер - вылетает после запуска
HijackThis - вкючился только 1 раз но я успел сделать лог
нашел у него в логе запущенный процесс C:\DOCUME~1\Admin\LOCALS~1\Temp\winycdlk.exe - удалил
Прошу помощи у знающих это дело людей кстати вирус отключил диспетчер задач и реестр. И сильно глючит Експлорер

запустил process killer нашел notepad.exe хотя блокнот и незапущен и процес не завершается затем он убрался и появился winmine.exe и так чередуютя и завершить незя. странно.....

Скачай AVZ из моей подписи, попробуй сделать логи.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Вот это Ваши настройки:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10[/CODE]
Если нет, то профиксить.

твой авз заработал вот логи
только извините что не по праилам ради бога у меня проводник зависает как токо логи добавляю
и уж извините за назойливость а что делать с этим
O17 - HKLM\System\CCS\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\kmghpn.sys','');
BC_DeleteSvc('abp470n5');
TerminateProcessByName('c:\windows\system32\winmine.exe');
DeleteFile('C:\WINDOWS\system32\drivers\kmghpn.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\kmghpn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Профиксить в hijackThis:
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{31856ED7-2D5A-413F-8C97-0FD5B022D29B}: NameServer = 85.233.130.67,85.233.144.10 [/CODE]
Повторить логи как в предыд сообщении, желательно раздельно.
virusinfo_cure.zip загрузить только через [url]http://virusinfo.info/upload_virus.php?tid=50068[/url]

после выполнения скрипта ничего не изменилось только появилось неизв устройство и я его удалил а HijackThis у меня запустился только 1 раз и больше незапускается извините но по раздельности не могу

вот логи

и у меня еще вопрос: как восстановить диспетчер задач? тк процесскиллер уже незапускаецца

нужно на файловые вирусы провериться [url]http://virusinfo.info/showthread.php?t=15927[/url]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\xbxjp.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\xbxjp.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\xbxjp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

в темпе опять бяка вылезла и сидит в процессах apncss.exe - удалил
и на рабочем столе появился ярлык веб мони без пути и иконки - удалил

после выполнения скрипта в м компутере появились документы и общ документы и еще какието веб папки а остальное так и есть вот логи

cureIt получится скачать только на етом компе
карантин прислать не могу сразу зависает експлорер при выделении архива

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

мне надо идти продолжим через 1.5 часа

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

есть небольшая победа: восстановил реестр и диспетчер задач!!

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

они опять отключиилииииись =(((((((((((((((((((

Первая строка в сообщении №6 Вам в помощь

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('abp470n5');
BC_DeleteSvc('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\kmghpn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Сделать лог по станд скрипту №2.
Все остальное включать будем позже.

буду пробывать первую строку №6

вот..

Скачать Icesword. В нем найти и удалить:C:\WINDOWS\system32\drivers\kmghpn.sys

Повторить:[url]http://virusinfo.info/showpost.php?p=432887&postcount=9[/url]

если в айсвовде заходить слева в файлы и искать C:\WINDOWS\system32\drivers\kmghpn.sys то его там нет а если слева нажать функции затем win32 servises то там он есть но удалить нельзя
в hijack'e профиксил

Тогда попробуем сделать лог Gmer. Как делать смотрите в "Чаво"

И еще пару файликов любых exe пришлите через карантин AVZ.

пожалуйста не пинайте меня но в разделе чаво я ничего не нашел про gmer

Пока отложим эту процедуру. Пару любых ехешников через карантин AVZ пришли.

вот лог гмер.
залил карантин
Файл сохранён как 090716_153958_virus_4a5f118e29f70.zip
Размер файла 259974
MD5 47b66136c650cee2fa7f22392f23f39a
Ах да, хотел спросить если скопировать експлорер с другого компа он будет работать?

Вобщем, опасения подтвердились. У Вас файловый вирус. Лечиться с LiveCD до победного конца.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]