Kryptik/Oficla (Или что-нибудь ещё)

6 месяцев назад поймал вирус Kryptik, который просто увеличивал время запуска "Мой компьютер" до 2 минут (примерно), если не включен интернет. Переустановил винду, 2 недели и откуда не возьмишь вирус снова начал атаковать систему , опять переустановил винду. Снова вирус, 3тья переустановка, в 4 раз вирус через месяц появился как svchost.exe сжирая этим процессом систему на 99%, снова переустановил. Сейчас , после 5 переустановки, прошло 2 месяца (после переустановки в 5 раз, через неделю опять вылез этот же вирус, изменяя файл userinit, но сам того не поняв, каждый день удаляя левые файлы в temp и system32 я изменил значение userinit на правильное и оно перестало меняться (Но на сайты drweb.com , касперского не пускало всё равно, ну я и плюнул на это). Сегодня , как обычно, проверял новости и т.д Ничего нового, единственное я скачал фильмы с dc++, перейдя по ссылках , которые расположены на медиа-портале моей сети, скачал, и обнаружил, что не запускаются фильмы с помощью media player classic , не обратил внимания, запустил с помощью встроенного Windows Media Player, потом обнаружил , что не запускается и Ventrilo.. Начал паниковать, запустил выборочную проверку диска C, нашло два файла инфицированных Oficla.AH , если не изменяет память, файлы были в папке DoctorWeb/1.tmp и 2 файл там же , с расширением .mmo .. Начал думать что я делал сегодня особенного, перешел в папку , где я скачивал фильмы и увидел, что у одного из фильмов расширение (не знаю, может это и не относится к вирусам) 1234.g.avi (при этом, я фильм этот не запускал). Далее нашел вирус krytik (опять -_-") и теперь ничего не находит...При этом, после 3 переустановки винды (Windows XP) я поставил файрволл и вирус оказывался на компе неведомым образом, проходя через Nod32 (обновляемый каждый день) и FireWall...
Вообщем как-то так. По прежнему не пускает на сайты известных антивирусов и не запускает кодеки для просмотра видео (Media Player Classic) + Ventrilo. Прикрепил только 1 лог из-за того, что не запускается так же AVZ , и Cureit.. А если быть придельно точным, то не просто не запускаются, а запускаются и в тот же момент закрываются, т.е , если я загружу сейчас свою систему до 99% и запущу тот же Ventrilo, окно откроется, но из-за загруженности закроется не сразу, а если запустить после резета (к примеру), то оно даже не появится... С куреитом так же, запускается, пишет :"Вы соглашаетесь на бла-бла-бла" + "Теперь нажмите "Да" чтобы запустить быструю проверку" , нажимаешь "Да" и все, запускается следующее окно "Скачайте бесплатную полную версию", а окно проверки - нету (Ну или как с другими, оно просто самозакрылось). Так же недавно обнаружил, что не запускаются Launcher к играм, таким как world of warcraft к примеру..Что у этих всех программ общее Оо

Логи не все потому-что программы не запускаются, об этом написано выше

Новый интересный симптом. Просмотрел я вконтакте видео, решил пересмотреть, после нажатия кнопки |> (Воспроизведение) и по прошествию пары секунд, Opera начала есть 99% системы Оо

Переименуйте АВЗ в pong.pif и пробуйте сделать логи.

[QUOTE=shapel;603420]Переименуйте АВЗ в pong.pif и пробуйте сделать логи.[/QUOTE]

Так же не запускается (закрывается)

Скачайте и запустите утилиту. Затем сделайте комплект логов по правилам.

AVZ по прежнему не запускается, как и pong.pif .
Kateskiller.exe в первый раз запуска (как я успел прочитать), написал что процесс lsass.exe инфицирован (Но он вроде не закрывается, т.к является критическим), в последующие разы запуска, выдавало вот такое окошко, как на скрине (p.s 1 раз 16, а не 8 выдало) Т.е , как написано, он каждый раз фиксирует и удаляет файлы и ключи. Значит они самообновляются : (
Так же в журнале файрвола, снова появился процесс svchost.exe протокол UDP с пометкой "Использован кэш DNS" , заблокировано

Если включено восстановление системы--отключите!
Попробуйте сделать логи [URL="http://gjf.hotbox.ru/monk.pif"]таким[/URL] АВЗ

Восстановление системы не было включено никогда.
Засунул monk.pif в папку AVZ запустил, по началу подвис компьютер, как будто запуская программу, но потом развис и снова ничего не запустил (видимо опять закрылось окно)

Сделайте такой лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Несколько раз пришлось перезапустить, из-за того, что в файрволе ещё много встроенных защит оказалось (как же он тогда вирус уже 5 раз подряд пропускает Оо ), вроде завершилось всё нормально.
p.s Так же теперь нет языковой панели в трее слева, выключить и включить её заного - не помогло и в cmd (ком. строке) русские буквы стали иероглифами, но Ventrilo теперь запускается, как и Media Player Classic

Не знаю можно ли так, но : UP!

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Языковая панель появилась?

Т.к снова стали запускаться все програмы, сделал новые логи. (на сайты др. веба или касперского не заходит по прежнему)

Машина ночь простояла и после включения сегодня, появилась языковая панель, но я все же удалил ComboFix.. Причем, прописав combofix /uninstall , у меня началось не удаление, а сканирование , в итоге (после ребута компа этой программой), снова пропала языковая панель, скачал "OTCleanIt", запустил, тыкнул по кнопке, компьютер перезагрузился , но язык. панель не появилась..

p.s Сейчас заметил, что при запуске системы, теперь есть 2 винды, между ними можно выбирать, но время на выбор стоит 0 секунд.

p.p.s Файл virusinfo_cure.zip весит 1кб (Вроде бы он с подозрительными файлами)

p.p.p.s То видео о котором я писал, после начала второго просмотра Opera начинает съедать 99% системы, оно вот : [url]http://vkontakte.ru/video18799365_141212523[/url] , если нужно..

p.p.p.s Ах да, не знаю к чему это отнести, но напишу. Перед последней переустановкой, дисковод не хотел читать диск с виндой, потом мы выключили компьютер, он постоял минуты 2 и включили, он считал, переустановили, все окей, потом снова не стал читать диск с дровами, снова выключили, включили и т.д . Списали это на перегрев. Сейчас, не производится автозапуск дисков. Т.е к примеру вставляю диск с игрой в дисковод и чтобы появилось окно, мне нужно зайти в съемный диск X(к примеру) и нажать на autorun.exe (Списал на изношенность дисковода), но ведь Deamon Tools - это Виртуальный дисковод, тогда почему же после вставления mds образа в виртуальный диск не производится автозапуск и так же, надо самому лезть в виртуальный диск Y, в который вмантирован образ mds и там искать autorun.exe , это же не может относится к изношенности дисковода? Оо Просто уже 5 раз переустанавливаю виндоус и всегда один и тот же вирус, но делает разные вещи...Мб он в дисководе? :D

[QUOTE=nexen;603927]Т.к снова стали запускаться все програмы, сделал новые логи. (на сайты др. веба или касперского не заходит по прежнему)

Машина ночь простояла и после включения сегодня, появилась языковая панель, но я все же удалил ComboFix.. Причем, прописав combofix /uninstall , у меня началось не удаление, а сканирование , в итоге (после ребута компа этой программой), снова пропала языковая панель, скачал "OTCleanIt", запустил, тыкнул по кнопке, компьютер перезагрузился , но язык. панель не появилась..

p.s Сейчас заметил, что при запуске системы, теперь есть 2 винды, между ними можно выбирать, но время на выбор стоит 0 секунд.

p.p.s Файл virusinfo_cure.zip весит 1кб (Вроде бы он с подозрительными файлами)

p.p.p.s То видео о котором я писал, после начала второго просмотра Opera начинает съедать 99% системы, оно вот : [url]http://vkontakte.ru/video18799365_141212523[/url] , если нужно..

p.p.p.s Ах да, не знаю к чему это отнести, но напишу. Перед последней переустановкой, дисковод не хотел читать диск с виндой, потом мы выключили компьютер, он постоял минуты 2 и включили, он считал, переустановили, все окей, потом снова не стал читать диск с дровами, снова выключили, включили и т.д . Списали это на перегрев. Сейчас, не производится автозапуск дисков. Т.е к примеру вставляю диск с игрой в дисковод и чтобы появилось окно, мне нужно зайти в съемный диск X(к примеру) и нажать на autorun.exe (Списал на изношенность дисковода), но ведь Deamon Tools - это Виртуальный дисковод, тогда почему же после вставления mds образа в виртуальный диск не производится автозапуск и так же, надо самому лезть в виртуальный диск Y, в который вмантирован образ mds и там искать autorun.exe , это же не может относится к изношенности дисковода? Оо Просто уже 5 раз переустанавливаю виндоус и всегда один и тот же вирус, но делает разные вещи...Мб он в дисководе? :D[/QUOTE]
up пожалуйста :-(
p.s Так же иногда сварачиваются окна, к примеру, играешь в игру, а она (сама по себе), свернулась..D: При этом, я даже к клавиатуре не прикосался

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 7 минут[/I][/B][/color][/size]

[QUOTE=nexen;603927]Т.к снова стали запускаться все програмы, сделал новые логи. (на сайты др. веба или касперского не заходит по прежнему)

Машина ночь простояла и после включения сегодня, появилась языковая панель, но я все же удалил ComboFix.. Причем, прописав combofix /uninstall , у меня началось не удаление, а сканирование , в итоге (после ребута компа этой программой), снова пропала языковая панель, скачал "OTCleanIt", запустил, тыкнул по кнопке, компьютер перезагрузился , но язык. панель не появилась..

p.s Сейчас заметил, что при запуске системы, теперь есть 2 винды, между ними можно выбирать, но время на выбор стоит 0 секунд.

p.p.s Файл virusinfo_cure.zip весит 1кб (Вроде бы он с подозрительными файлами)

p.p.p.s То видео о котором я писал, после начала второго просмотра Opera начинает съедать 99% системы, оно вот : [url]http://vkontakte.ru/video18799365_141212523[/url] , если нужно..

p.p.p.s Ах да, не знаю к чему это отнести, но напишу. Перед последней переустановкой, дисковод не хотел читать диск с виндой, потом мы выключили компьютер, он постоял минуты 2 и включили, он считал, переустановили, все окей, потом снова не стал читать диск с дровами, снова выключили, включили и т.д . Списали это на перегрев. Сейчас, не производится автозапуск дисков. Т.е к примеру вставляю диск с игрой в дисковод и чтобы появилось окно, мне нужно зайти в съемный диск X(к примеру) и нажать на autorun.exe (Списал на изношенность дисковода), но ведь Deamon Tools - это Виртуальный дисковод, тогда почему же после вставления mds образа в виртуальный диск не производится автозапуск и так же, надо самому лезть в виртуальный диск Y, в который вмантирован образ mds и там искать autorun.exe , это же не может относится к изношенности дисковода? Оо Просто уже 5 раз переустанавливаю виндоус и всегда один и тот же вирус, но делает разные вещи...Мб он в дисководе? :D[/QUOTE]
Проблема так и не решена, хоть и после запуска ComboFix убрались некоторые симптомы, благодоря чему я смог сделать логи AVZ. Но на сайты drweb.com и подобные - не пускает.. А это значит, что компьютер все ещё болен, прошу, не игнорируйте мою проблему :-(

Пуск - Выполнить
Ввести [B]route -f[/B] и нажать ОК (возможно потребуется пересоздать настройки сетевых подключений)
Доступ не появился?

[QUOTE='nexen;603927']Причем, прописав combofix /uninstall[/QUOTE]Скорее всего прописали [B]combofix /u[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gumpc.old 2nAKBMPANK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи

[QUOTE=thyrex;604205]Пуск - Выполнить
Ввести [B]route -f[/B] и нажать ОК (возможно потребуется пересоздать настройки сетевых подключений)
Доступ не появился?

Скорее всего прописали [B]combofix /u[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\gumpc.old 2nAKBMPANK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи[/QUOTE]

Нет, прописывал именно combofix /uninstall
Да, на сайты drweb.com и касперского пускает (рад :clapping:)
AVZ выполнил, прикладываю логи , но вот что меня настараживает, стали видны некоторые скрытые файлы, скрин прилогается.
p.s Создавать сет. подключения не пришлось, просто перезапустил интернет подключение
p.p.s Так же, из-за того что в ходе проверок AVZ был перезапущен пару раз компьютер, языковая панель снова, как по волшебству, появилась

Кроме устаревших баз AVZ, ничего плохого

[QUOTE='nexen;604219']стали видны некоторые скрытые файлы[/QUOTE]А при старте системы не предлагает выбрать вариант загрузки?

[QUOTE=thyrex;604297]Кроме устаревших баз AVZ, ничего плохого

А при старте системы не предлагает выбрать вариант загрузки?[/QUOTE]

Так же продолжается выбор Windows, но время на выбор 0 секунд, поэтому выбрать не успеваю и выбирается "По умолчанию".
Только что включил компьютер, Outpost выдал отчет об ошибке, который отправил в компанию. А так же обновились базы Nod32, и он сразу же выдал вот такое :
cagj.mmo в прошлый раз он обозначил как Oficla.AH при проверке, нижний экзешник в system32 обозначил как Kryptik.. Так что, симптомы ушли, проблема осталась, файлы вируса сами появляются на моем компе D: (При этом первый файл cagj.mmo в папке DoctorWeb)
p.s Передал их на рассмотрение, он их удалил (проверил сам), но факт остается, они появляются вновь и вновь

[URL="http://technet.microsoft.com/ru-ru/library/cc778866(WS.10).aspx"]Как удалить консоль восстановления[/URL]