отправьте смс 6008

Загрузился кое как в диспетчер задач, убрал из процессов, вот логи, посмотрите пожалуйста.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://63.ru/
R3 - URLSearchHook: (no name) - *{83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - *{09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\csrcs.exe');
TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\rarsfx1\25mmk.exe');
StopService('hsfdxk');
QuarantineFile('E:\nrtwrk.exe','');
QuarantineFile('E:\autorun.inf','');
QuarantineFile('Explorer.exe csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('\systemroot\system32\drivers\ytasfwsxeluksm.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\9UT197fO.sys','');
QuarantineFile('c:\windows\system32\csrcs.exe','');
QuarantineFile('c:\docume~1\9335~1\locals~1\temp\rarsfx1\25mmk.exe','');
DeleteFile('c:\docume~1\9335~1\locals~1\temp\rarsfx1\25mmk.exe');
DeleteFile('c:\windows\system32\csrcs.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\9UT197fO.sys');
DeleteFile('\systemroot\system32\drivers\ytasfwsxeluksm.sys');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\system32\servises.exe');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('E:\nrtwrk.exe');
DeleteFile('E:\autorun.inf');
DeleteService('hsfdxk');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('hsfdxk');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

сделал

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
[/CODE]

Код:

[CODE]gmer.exe -del service hsfdxk
gmer.exe -del service ytasfwcdrqnnkq
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hsfdxk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hsfdxk"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ytasfwcdrqnnkq"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ytasfwcdrqnnkq"
gmer.exe -del file "C:\WINDOWS\system32\atvgk.dll"
gmer.exe -del file "C:\WINDOWS\system32\ytasfwwsp.dll"
gmer.exe -del file "C:\WINDOWS\system32\drivers\ytasfwsxeluksm.sys"
gmer.exe -del file "C:\WINDOWS\system32\ytasfwfmqsqifv.dll"
gmer.exe -del file "C:\WINDOWS\system32\ytasfwvntdutkd.dat"
gmer.exe -del file "C:\WINDOWS\system32\ytasfwmohcdipx.dll"
gmer.exe -del file "C:\WINDOWS\system32\ytasfwkmqwpdrb.dat"
gmer.exe -reboot[/CODE]

скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 12315.bat и запустите.
После перезагрузки повторите логи по п. 2 и 3 правил + gmer.

((((( после перезагрузки опять заблокировано((( выгружаю процесс, называется sound, сейчас логи сделаю которые сказали

может остановить gmer? уж очень долго он сканирует, что то уже все равно есть, а дальше не будет.

ура досканировалось)

Скрипт
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\Windows\Media\sound.exe');
DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/CODE]


скопируйте в новый текстовый файл, сохраните его в той папке, где у Вас файл gmer.exe под именем 23.bat и запустите.
[CODE]gmer.exe -del service usygr
gmer.exe -del file "C:\WINDOWS\system32\atvgk.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\usygr"
gmer.exe -del reg "KLM\SYSTEM\ControlSet002\Services\usygr"
gmer.exe -reboot
[/CODE]

Повторите лог gmer и пункт 2 диагностики.

сделал

У Вас по всей сети разгуливает Кидо, как у себя дома
Срочно выполняем [B]все без исключения[/B] [url]http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215[/url]
А так он еще и компаньонов с собой таскает

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
[CODE]gmer.exe -del service wnwqsrd
gmer.exe -del file "C:\WINDOWS\system32\atvgk.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wnwqsrd"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wnwqsrd"
gmer.exe -reboot[/CODE]И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer

сделал , при выполнении кода были ошибки

На смену удаленному пришла новая копия вируса
[QUOTE='SlyAss;444487']У Вас по всей сети разгуливает Кидо, как у себя дома
Срочно выполняем все без исключения [url]http://www.kaspersky.ru/support/wks6...?qid=208636215[/url][/QUOTE]Пока это не выполнить, лечиться дальше бесполезно
Начать нужно с сервера

ок спасибо, буду ловить кидо, на серверах кстати его нет проверил.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 3 минуты[/I][/B][/color][/size]

windows обновил, кидо убил, больше не появляется, закройте тему, Спасибо :)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] e:\autorun.inf - [B]Net-Worm.Win32.Kido.ih[/B] ( DrWEB: Win32.HLLW.Shadow, BitDefender: Worm.Autorun.VHG )[/LIST][/LIST]