Cureit обнаружил: 1. wfsintwq.sys инфицирован Win32.HLLM.Beagle.990, 2. hYFlj4M4.exe.part , возможно, инфицирован BACKDOOR.Trojan, 3. flec006.exe инфицирован Trojan.DownLoad1.60176

Здравствуйте.
Ситуация в следующем:
однажды отключив свой антивирус НОД32, не смогла его включить, так как писал о повреждении запускаемого файла.
скачала с др.вэб cureit, проверила, обнаружилось
1. wfsintwq.sys инфицирован Win32.HLLM.Beagle.990,
2. hYFlj4M4.exe.part , возможно, инфицирован BACKDOOR.Trojan,
3. flec006.exe инфицирован Trojan.DownLoad1.60176
нажала лечить, было не возможно-удалила.
так же перестал работать QIP, загружается, но с пустым списком контактов, а так же показывает что я в сети, но друзья говорят я в офф. запустила тот же квип с другого номера, все работало прекрасно. на следующий день перестал работать и со второго номера. так же пусто и в сети.
в диспетчере задач периодически появляется задача будто бы запущена программа Стронг DC++ и подключена к неизвесному мне хабу, по факту она не запущена, и я ей не пользуюсь неск лет. более того я была уверена что она удалена, и в панеле управления "уст и удал программ" ее не нашла.
нашла ваш сайт, прочитала, и начала выполнять ваши "правила"
1. скачала 3 утилиты(не без проблем, так как при нажатии на ваши зеркала браузер сразу же закрывался, то же самое происходило при вводе названия hijackthis в гугл, яндекс и в поиск DC++, а так же при нажатии на любые ссылки на эту программу. в итоге мне их скинули по почте) Снесла mcafee полностью.
2. хотела проверить еще раз cureit в безопасном режиме, но войти в него мне не удалось, так как после нажатия "загрузить в без.режиме"вылез синий экран с информацией о невозможности загрузиться, и преждложением проверить комп на вирусы.
поэтому проверяла из обычного режима. обнаружились так же 3 вируса. нажала лечить, было не возможно-удалила. перезагрузилась.
3.распоковать AVZ не удалось, так как выдало кучу сообщений о поврежденных файлах. Скачала AVZ не в архиве, папкой из DC++. запускаю-виснет папка в которой он находится, ничего не происходит, висит. через диспетчер задач снимаю задачу. и так 10 раз. качала с других мест, другие папки, архивы, эффект один.

в связи с тем, что я застряла на третьем шаге подготовки к диагностике, то протоколов выслать не могу.
надеюсь вы сможете мне подсказать как выйти из этой ситуации, и все таки сделать диагностику.
заранее спасибо, Наталия.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 19 минут[/I][/B][/color][/size]

Уважаемые!!! пожалуйста!!! не игнорируйте, я четко следовала правилам!!! я не виновата, что программы утилиты не запускаются!!подскажите что сделать, или скажите что вы мне помочь не можете, чтоб я не сидела и ждала вашей помощи!!!пожалуйста!!!
хайджек тоже не запускается, ни обычный, не скачанный переименнованный! запускаю, и ничего не происходит!
очень прошу, ответьте..

Пробуйте [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

спасибо.
Скачала, не запускается, сразу виснет, переименовать не удается, при первом же клике на файл папка содержащая файл "не отвечает в диспетчере" и ничего не происходит, удаляю задачу с помощью диспетчера.

простите, я не скачала его на рабочий стол.
исправилась. скачала на раб стол. теперь он при запуске выдает combofix.exe не является приложением Win32? после переименования тоже самое.

Скачайте [URL="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/URL].

Лог работы OSAM запакуйте и прикрепите к своему сообщению

Попробуйте полиморфный авз [url]http://gjf.hotbox.ru/mink.pif[/url]

установила, запустила, лог прикрепляю.
огромное спасибо, что не отказали в помощи.

[QUOTE=Alex_Goodwin;651463]Попробуйте полиморфный авз [URL]http://gjf.hotbox.ru/mink.pif[/URL][/QUOTE]
скачала, запускаю, на доли секунды как будто появляется какое-то окно(увидеть не возможно очень быстро), изчезает, и ничего не происходит.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 28 минут[/I][/B][/color][/size]

нет спасения моей системе?

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 29 минут[/I][/B][/color][/size]

без комментариев?

Не отказывают Вам в помощи. Просто бесцеремонно вмешиваются некоторые товарищи

Запустите OSAM. Когда закончится сканирование, в меню драйверов правой кнопкой по [B]srosa[/B] и выберите [B]"Turn Run Off"[/B], потом подтвердите перезагрузку.
Повторите эти действия для [B]sK9Ou0s[/B]

После этого заново скачайте AVZ (обновите его базы) и ComboFix, попробуйте подготовить логи

[QUOTE='lioness;651768']не поняла, почему из-за поста Aleksandra мне отказывают в помощи?[/QUOTE]
Продолжайте здесь, Вам помогут.

[QUOTE]"drvsyskit" "Info soft" C:\Documents and Settings\Администратор\Application Data\drivers\winupgro.exe
"mule_st_key"[/QUOTE]
Перед перезагрузкой обязательно снимите галочки или удалите эти записи в секции Run

Т.е. лучше все делать одновременно -
[QUOTE]Запустите OSAM. Когда закончится сканирование, в меню драйверов правой кнопкой по srosa и выберите "Turn Run Off",
Повторите эти действия для sK9Ou0s[/QUOTE]
после этого снимите те ключи, что указал я и перезагрузитесь.

запустила осам, после сканирования сделала как вы велели по srosa, перезагрузила, вновь после сканирования так же сделала с sK9Ou0s, но запроса на перезагрузку не всплыло(может потому что sK9Ou0s не был выделен красным?), там было второе красное srosa, сделала Turn run off и для него, подтвердила перезагрузку.
скачала вновь архив авз, не распаковал.
скачала комбофикс, запускаю, вылезает "....комбофикс.ехе не являнется приложением win 32.
переименовала-то же самое.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Alex_Goodwin;651799]Перед перезагрузкой обязательно снимите галочки или удалите эти записи в секции Run[/QUOTE]
эээ, прочитала уже после того как все сделала.

thyrex,это оять кто-то "бесцеремонно влез", или сделать так как он пишет?

делайте все одновременно, как я Вам написал. Иначе нет смысла, т.к. установщик из run вновь ставит драйвер.

[QUOTE='lioness;651800']thyrex,это оять кто-то "бесцеремонно влез", или сделать так как он пишет?[/QUOTE]
Нет, в данном случае всё в порядке, выполняйте.

Скриншот прикрепился нормально.

[size="1"][color="#666686"][B][I]Добавлено через 50 минут[/I][/B][/color][/size]

После манипуляций с OSAM нужно сделать выполнить скрипт в авз:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%System32%\drivers\srosa.sys','');
QuarantineFile('%System32%\drivers\hldrrr.exe','');
QuarantineFile('%System32%\wintems.exe','');
QuarantineFile('%System32%\drivers\mdelk.exe','');
QuarantineFile('%System32%\mdelk.exe','');
DeleteFile('%System32%\drivers\hldrrr.exe');
DeleteFile('%System32%\drivers\srosa.sys');
DeleteFile('%System32%\wintems.exe');
DeleteFile('%System32%\drivers\mdelk.exe');
DeleteFile('%System32%\mdelk.exe');
BC_ImportALL;
ExecuteSysClean;
If DirectoryExists('%System32%\drivers\down') then
begin
DeleteFileMask('%System32%\drivers\down', '*.*', true);
DeleteDirectory('%System32%\drivers\down');
If DirectoryExists('%System32%\drivers\down') then
AddToLog('Папка down не удалена') else AddToLog('Папка down удалена');
end
else
AddToLog('Папки down нет');
If DirectoryExists('%System32%\drivers\downld') then
begin
DeleteFileMask('%System32%\drivers\downld', '*.*', true);
DeleteDirectory('%System32%\drivers\downld');
If DirectoryExists('%System32%\drivers\downld') then
AddToLog('Папка downld не удалена') else AddToLog('Папка downld удалена');
end
else
AddToLog('Папки downld нет');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
begin
AddToLog('Обнаружен параметр в реестре drvsyskit');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'drvsyskit') then
AddToLog('Ошибка удаления параметра drvsyskit') else
AddToLog('Параметр drvsyskit успешно удален');
end;
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
begin
AddToLog('Обнаружен параметр в реестре german.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe');
If RegKeyParamExists('HKEY_CURRENT_USER', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run', 'german.exe') then
AddToLog('Ошибка удаления параметра german.exe') else
AddToLog('Параметр german.exe успешно удален');
end;
if RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
begin
AddToLog('Найден ключ реестра FirstRRRun');
RegKeyDel('HKEY_CURRENT_USER', 'Software\FirstRRRun');
If RegKeyExists('HKEY_CURRENT_USER', 'Software\FirstRRRun') then
AddToLog('Ошибка удаления ключа реестра FirstRRRun') else
AddToLog('ключ реестра FirstRRRun успешно удален');
end;
BC_DeleteSvc('srosa');
BC_LogFile(GetAVZDirectory + 'boot_clr_B_d.log');
If BC_Activate then AddToLog('BootCleaner успешно активирован') else AddToLog('Внимание!!! BootCleaner не активирован!');
SaveLog(GetAVZDirectory + 'B_d.txt');
RebootWindows(true);
end.[/CODE]

ура!!!! все получилось!! СПАСИБО!

опять ваше дополнение прочла после всего выполненного, сейчас все сделаю.

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

всё сделала, комп перезагрузился.

Безопасный режим работает? Антивирус?
Выполните скрипт и загрузите карантин по правилам. Компьютер перезагрузится!
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\Program Files\VistaDriveIcon\VistaDrv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mcxonl.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Запустите в АВЗ Мастер поиска и устранения проблем и устраните:
[CODE] >> Таймаут завершения процессов находится за пределами допустимых значений
>> Таймаут завершения служб находится за пределами допустимых значений
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей[/CODE]
Проверьтесь CureIt.

А также

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а ссылку пришлите на указанный электронный адрес

в АВЗ Мастер поиска и устранения проблем так же выявил "нарушение ассоциации SCR файлов" я его не устранила, только то что вы написали выше.
безопасный работает, антивирус установленный ранее всё так же не запускается.
при загрузке системы постоянно выскакивает окно, скрин (11.жпг) прилагаю.
cureit ничего не нашел


карантин отправила по правилам, только не знала которые именно файлы из него вам нужны(в правилах нет) отправила все.
прошел файл??


квип все так же не грузится. точнее грузится но без списка контактов и друзья говорят что я в офф, хотя квип показывает он лайн.

[QUOTE=thyrex;651895]А также

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.
Если почтовый сервер не будет пропускать письмо, выложите архив на файлообменник, а ссылку пришлите на указанный электронный адрес[/QUOTE]
отправила