HELP злой вирус !

Дело было так постоянно самостоятельно в IE открываются какие то сайты и предлогается чтото установить , вчера включил комп как загрузился рабочий стол обнаружил кучу ярлыков непонятно кем и как установленных программ ,и тут же комп перезагрузился . Загрузил его с 20 раза так как при загрузке вылезал экран смерти и ребут. Безопасный режим не канает , постоянно вылезают какие то ошибки .
не один файл с рабочего стола не запускается ошибка -
Windows Script Host
Ошибка(Синтаксическая ошибка в имени файла, имени папки или метке тома.) при загрузке сценария C:\Program Files\????\IEAK\Winrar\cmd.jse
скрины прилагаются , очень надеюсь на помощ , комп даже выключать боюсь вдруг не включу больше (

CureIt не запускатся просто все зависает(

Без выполнения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] сказать что-то трудно

HijackThis не запускается
остальные логи вот

так же хочу добавить - не открывается файл hosts папки почему то стали с расширением exe
Очень надеюсь на вашу помощь так как сам уже почти все перепробовал(
надеюсь тема оформлена правильно?

Или мб найдется человек который повозится со мной и если все будет ладом работать завтра закину на кошель денег и отблагодарю!

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\recycler.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\SafeDrv.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\SafeDrv.exe','');
QuarantineFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\111292812.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\Mfc42.tdm','');
QuarantineFile('C:\WINDOWS\system32\WinHelp32.exe','');
QuarantineFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0010414.exe','');
QuarantineFile('C:\Program Files\fh.exe','');
QuarantineFile('C:\Program Files\360\winhelp32.exe','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\cd1364500.exe','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\81338015.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71333453.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71293843.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\261304015.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171345609.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171303921.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121334781.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121294515.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11341093.dll','');
QuarantineFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11300250.dll','');
QuarantineFile('C:\1213375.exe','');
DelBHO('{28757672-E0AD-42C3-9716-454CC3B1A181}');
QuarantineFile('c:\windows\kai\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\wuaclt.exe','');
QuarantineFile('C:\WINDOWS\system32\E2B461\EDE62B.EXE','');
QuarantineFile('C:\WINDOWS\system32\41.exe','');
QuarantineFile('C:\WINDOWS\ali.exe','');
QuarantineFile('C:\WINDOWS\Temp\tmp.exe','');
QuarantineFile('C:\Program Files\SiSi9012\services.exe','');
QuarantineFile('C:\Program Files\Messenger\msseces.exe','');
QuarantineFile('C:\Documents and Settings\Ангел\Главное меню\Программы\Автозагрузка\Coopen???.lnk','');
QuarantineFile('C:\Documents and Settings\Ангел\Главное меню\Программы\Автозагрузка\їбОТТфАЦєР.exe','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ПРОИГРЫВАТЕЛЬ WINDOWS MEDIA.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСТИТЬ ОБОЗРЕВАТЕЛЬ INTERNET EXPLORER.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСКАТР.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЖФ¶Ї INTERNET EXPLORER ДЇААЖЧ.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\µTORRENT.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\WINAMP.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP INFIUM.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP 2005.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\OPERA.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\MOZILLA FIREFOX.yfbgy','');
QuarantineFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\INTERNET EXPLORER.yfbgy','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\system.vbe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iesearch.vbe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iecollection.vbe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ie.vbe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\dlldll.vbe','');
QuarantineFile('C:\WINDOWS\system32\svchoste.exe','');
DeleteService('Power');
DeleteService('OSS');
DeleteService('Ms-tl_Srv');
SetServiceStart('kernel', 4);
DeleteService('kernel');
QuarantineFile('C:\WINDOWS\system32\PisI.dll','');
QuarantineFile('C:\WINDOWS\UoDo\game.dll','');
QuarantineFile('C:\WINDOWS\system32\mty6459.dll','');
QuarantineFile('C:\WINDOWS\system32\ifqku.dll','');
QuarantineFile('C:\WINDOWS\System32\geodc.dll','');
QuarantineFile('C:\WINDOWS\system32\geod2.dll','');
QuarantineFile('C:\WINDOWS\System32\fgdyu.dll','');
QuarantineFile('C:\WINDOWS\system32\2bco.dll','');
QuarantineFile('C:\WINDOWS\system32\251e.dll','');
QuarantineFile('C:\WINDOWS\bho\xunlei3,222293.dll','');
QuarantineFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\41311609.dll','');
TerminateProcessByName('c:\windows\mfc.exe');
QuarantineFile('c:\windows\mfc.exe','');
TerminateProcessByName('c:\windows\system32\kernel.exe');
QuarantineFile('c:\windows\system32\kernel.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
TerminateProcessByName('c:\windows\system32\bddd.exe');
QuarantineFile('c:\windows\system32\bddd.exe','');
TerminateProcessByName('c:\program files\a17.exe');
TerminateProcessByName('c:\program files\a01.exe');
QuarantineFile('c:\program files\a17.exe','');
QuarantineFile('c:\program files\a01.exe','');
DeleteFile('c:\program files\a01.exe');
DeleteFile('c:\program files\a17.exe');
DeleteFile('c:\windows\system32\bddd.exe');
DeleteFile('c:\windows\system32\kernel.exe');
DeleteFile('c:\windows\mfc.exe');
DeleteFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\41311609.dll');
DeleteFile('C:\WINDOWS\bho\xunlei3,222293.dll');
DeleteFile('C:\WINDOWS\System32\fgdyu.dll');
DeleteFile('C:\WINDOWS\system32\ifqku.dll');
DeleteFile('C:\WINDOWS\system32\svchoste.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\dlldll.vbe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ie.vbe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iecollection.vbe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\iesearch.vbe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\system.vbe');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\INTERNET EXPLORER.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\MOZILLA FIREFOX.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\OPERA.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP 2005.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\QIP IN-FIUM.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\WINAMP.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\µTORRENT.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЖФ¶Ї INTERNET EXPLORER ДЇААЖЧ.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСКАТР.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ЗАПУСТИТЬ ОБОЗРЕВАТЕЛЬ INTERNET EXPLORER.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Application Data\Microsoft\Internet Explorer\Quick Launch\ПРОИГРЫВАТЕЛЬ WINDOWS MEDIA.yfbgy');
DeleteFile('C:\Documents and Settings\Ангел\Главное меню\Программы\Автозагрузка\Coopen???.lnk');
DeleteFile('C:\Program Files\Messenger\msseces.exe');
DeleteFile('C:\Program Files\SiSi9012\services.exe');
DeleteFile('C:\WINDOWS\Temp\tmp.exe');
DeleteFile('C:\WINDOWS\ali.exe');
DeleteFile('C:\WINDOWS\system32\41.exe');
DeleteFile('C:\WINDOWS\system32\E2B461\EDE62B.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\OSS','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\drivers\wuaclt.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wuaclt.exe');
DeleteFile('c:\windows\kai\smss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','KAV');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','KAVStarts');
DeleteFile('C:\1213375.exe');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11300250.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\11341093.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121294515.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\121334781.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171303921.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\171345609.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\261304015.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71293843.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\71333453.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\81298531.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\81338015.dll');
DeleteFile('C:\Documents and Settings\Ангел\Local Settings\Temp\cd1364500.exe');
DeleteFile('C:\Program Files\360\winhelp32.exe');
DeleteFile('C:\Program Files\fh.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0010414.exe');
DeleteFile('C:\WINDOWS\system32\WinHelp32.exe');
DeleteFile('C:\DOCUME~1\9AB1~1\LOCALS~1\Temp\111292812.dll');
DeleteFile('C:\SafeDrv.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\SafeDrv.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\recycler.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

У Вас [b]bootkit[/b]
Нужно загрузиться с [url="http://support.microsoft.com/kb/314058/ru"]консоли восстановления[/url] и выполнить команду [B]fixmbr[/B]

Сделайте новые логи

карантин прислал .
скрипты пока что выполняются как сделается выложу логи.
А вот с консолью восстановления я что то туплю, мб сказывается 14 часов непрерывной борьбы с етой вирусней. Диска с виндовсом у меня нету . И как запустить ету консоль я что то не пойму.

Попробуйте [url]http://www.esagelab.com/files/bootkit_remover.rar[/url]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\001.exe','');
QuarantineFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP9\A0029995.exe','');
QuarantineFile('C:\WINDOWS\system32\isapi.exe','');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP9\A0029995.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP9\A0029994.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP8\A0024735.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP6\A0017649.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP6\A0010462.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0010454.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0008304.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0008279.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0008254.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007253.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007227.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007202.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0007175.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0006175.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0005175.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0003175.exe');
DeleteFile('C:\System Volume Information\_restore{46BF32D0-EB3E-42B9-A1C9-D5401EE19805}\RP5\A0002175.exe');
DeleteFile('C:\Program Files\Common Files\001.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]141[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\a01.exe - [B]Trojan-GameThief.Win32.WOW.ipf[/B] ( DrWEB: Trojan.PWS.Gamania.26204, BitDefender: Trojan.Generic.4130510, AVAST4: Win32:Lolyda-B [Trj] )[*] c:\program files\fh.exe - [B]not-a-virus:AdWare.Win32.Iebar.ac[/B] ( DrWEB: Adware.IEBar.52, BitDefender: Dropped:Application.Generic.288504, NOD32: Win32/Adware.Zhongsou application )[*] c:\program files\360\winhelp32.exe - [B]Backdoor.Win32.Delf.vas[/B] ( DrWEB: BackDoor.Siggen.21538, BitDefender: Trojan.Generic.4130317, AVAST4: Win32:Delf-HBH [Trj] )[*] c:\system volume information\_restore{46bf32d0-eb3e-42b9-a1c9-d5401ee19805}\rp5\a0010414.exe - [B]not-a-virus:AdWare.Win32.Iebar.ac[/B] ( DrWEB: Adware.IEBar.52, BitDefender: Dropped:Application.Generic.288504, NOD32: Win32/Adware.Zhongsou application )[/LIST][/LIST]