J001.exe и еще куча левых процесов

Добрый день. Где-то подцепил вирус. В диспетчере задач куча левых процессов: J001.exe, 288D.exe ,BFGDC.exe, BJMYPRT.exe. Антивирус блокируется, в безопасный режим достучаться не удалось. Помогите пожалуйста.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com','');
QuarantineFile('C:\WINDOWS\system32\scmasvstart.dll','');
QuarantineFile('C:\WINDOWS\mslsrv32.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe','');
DeleteService('eak89ih3edmo');
DeleteService('ywauohouiyo6uo8');
QuarantineFile('C:\WINDOWS\system32\hupyqu.exe','');
QuarantineFile('C:\WINDOWS\system32\cifig.exe','');
SetServiceStart('cl200961', 4);
DeleteService('cl200961');
QuarantineFile('c:\windows\system32\mlyipcm.exe','');
TerminateProcessByName('c:\windows\system32\ju8hqxw5\j001.exe');
QuarantineFile('c:\windows\system32\ju8hqxw5\j001.exe','');
TerminateProcessByName('c:\windows\system32\xixyblvu\j001.exe');
QuarantineFile('c:\windows\system32\xixyblvu\j001.exe','');
TerminateProcessByName('c:\windows\system32\xlm57tld\j001.exe');
QuarantineFile('c:\windows\system32\xlm57tld\j001.exe','');
TerminateProcessByName('c:\windows\system32\wcetsaho\j001.exe');
QuarantineFile('c:\windows\system32\wcetsaho\j001.exe','');
TerminateProcessByName('c:\windows\system32\wdcfm7rn\j001.exe');
QuarantineFile('c:\windows\system32\wdcfm7rn\j001.exe','');
TerminateProcessByName('c:\windows\system32\jn3wrw5e\j001.exe');
QuarantineFile('c:\windows\system32\jn3wrw5e\j001.exe','');
TerminateProcessByName('c:\windows\system32\jx1nihje\j001.exe');
QuarantineFile('c:\windows\system32\jx1nihje\j001.exe','');
TerminateProcessByName('c:\windows\system32\vew7dibd\j001.exe');
QuarantineFile('c:\windows\system32\vew7dibd\j001.exe','');
TerminateProcessByName('c:\windows\system32\vuvqq4jb\j001.exe');
QuarantineFile('c:\windows\system32\vuvqq4jb\j001.exe','');
TerminateProcessByName('c:\windows\system32\usmj78io\j001.exe');
QuarantineFile('c:\windows\system32\usmj78io\j001.exe','');
TerminateProcessByName('c:\windows\system32\uehtckou\j001.exe');
QuarantineFile('c:\windows\system32\uehtckou\j001.exe','');
TerminateProcessByName('c:\windows\system32\uscyjar0\j001.exe');
QuarantineFile('c:\windows\system32\uscyjar0\j001.exe','');
TerminateProcessByName('c:\windows\system32\ttajc71z\j001.exe');
QuarantineFile('c:\windows\system32\ttajc71z\j001.exe','');
TerminateProcessByName('c:\windows\system32\z\j001.exe');
QuarantineFile('c:\windows\system32\z\j001.exe','');
TerminateProcessByName('c:\windows\system32\tqxyoevj\j001.exe');
QuarantineFile('c:\windows\system32\tqxyoevj\j001.exe','');
TerminateProcessByName('c:\windows\system32\s22iqtj5\j001.exe');
QuarantineFile('c:\windows\system32\s22iqtj5\j001.exe','');
TerminateProcessByName('c:\windows\system32\rs6skoyj\j001.exe');
QuarantineFile('c:\windows\system32\rs6skoyj\j001.exe','');
TerminateProcessByName('c:\windows\system32\rhh8wlzs\j001.exe');
QuarantineFile('c:\windows\system32\rhh8wlzs\j001.exe','');
TerminateProcessByName('c:\windows\system32\qqfzn5ds\j001.exe');
QuarantineFile('c:\windows\system32\qqfzn5ds\j001.exe','');
TerminateProcessByName('c:\windows\system32\q0qkgef2\j001.exe');
QuarantineFile('c:\windows\system32\q0qkgef2\j001.exe','');
TerminateProcessByName('c:\windows\system32\p0lr3ek8\j001.exe');
QuarantineFile('c:\windows\system32\p0lr3ek8\j001.exe','');
TerminateProcessByName('c:\windows\system32\p0trs2eo\j001.exe');
QuarantineFile('c:\windows\system32\p0trs2eo\j001.exe','');
TerminateProcessByName('c:\windows\system32\oarijnro\j001.exe');
QuarantineFile('c:\windows\system32\oarijnro\j001.exe','');
TerminateProcessByName('c:\windows\system32\os17aixz\j001.exe');
QuarantineFile('c:\windows\system32\os17aixz\j001.exe','');
TerminateProcessByName('c:\windows\system32\obtqwcqa\j001.exe');
QuarantineFile('c:\windows\system32\obtqwcqa\j001.exe','');
TerminateProcessByName('c:\windows\system32\n3bdwna8\j001.exe');
QuarantineFile('c:\windows\system32\n3bdwna8\j001.exe','');
TerminateProcessByName('c:\windows\system32\n0claht2\j001.exe');
QuarantineFile('c:\windows\system32\n0claht2\j001.exe','');
TerminateProcessByName('c:\windows\system32\nimazczd\j001.exe');
QuarantineFile('c:\windows\system32\nimazczd\j001.exe','');
TerminateProcessByName('c:\windows\system32\m8nqr3o8\j001.exe');
QuarantineFile('c:\windows\system32\m8nqr3o8\j001.exe','');
TerminateProcessByName('c:\windows\system32\meo41kc3\j001.exe');
QuarantineFile('c:\windows\system32\meo41kc3\j001.exe','');
TerminateProcessByName('c:\windows\system32\mwcmu17o\j001.exe');
QuarantineFile('c:\windows\system32\mwcmu17o\j001.exe','');
TerminateProcessByName('c:\windows\system32\ljkp0134\j001.exe');
QuarantineFile('c:\windows\system32\ljkp0134\j001.exe','');
TerminateProcessByName('c:\windows\system32\li13lfi1\j001.exe');
QuarantineFile('c:\windows\system32\li13lfi1\j001.exe','');
TerminateProcessByName('c:\windows\system32\k2s0ktjf\j001.exe');
QuarantineFile('c:\windows\system32\k2s0ktjf\j001.exe','');
TerminateProcessByName('c:\windows\system32\kcqrbfwf\j001.exe');
QuarantineFile('c:\windows\system32\kcqrbfwf\j001.exe','');
TerminateProcessByName('c:\windows\system32\kur14jha\j001.exe');
QuarantineFile('c:\windows\system32\kur14jha\j001.exe','');
TerminateProcessByName('c:\windows\cl200961.exe');
QuarantineFile('c:\windows\cl200961.exe','');
DeleteFile('c:\windows\cl200961.exe');
DeleteFile('c:\windows\system32\kur14jha\j001.exe');
DeleteFile('c:\windows\system32\kcqrbfwf\j001.exe');
DeleteFile('c:\windows\system32\k2s0ktjf\j001.exe');
DeleteFile('c:\windows\system32\li13lfi1\j001.exe');
DeleteFile('c:\windows\system32\ljkp0134\j001.exe');
DeleteFile('c:\windows\system32\mwcmu17o\j001.exe');
DeleteFile('c:\windows\system32\meo41kc3\j001.exe');
DeleteFile('c:\windows\system32\m8nqr3o8\j001.exe');
DeleteFile('c:\windows\system32\nimazczd\j001.exe');
DeleteFile('c:\windows\system32\n0claht2\j001.exe');
DeleteFile('c:\windows\system32\n3bdwna8\j001.exe');
DeleteFile('c:\windows\system32\obtqwcqa\j001.exe');
DeleteFile('c:\windows\system32\os17aixz\j001.exe');
DeleteFile('c:\windows\system32\oarijnro\j001.exe');
DeleteFile('c:\windows\system32\p0trs2eo\j001.exe');
DeleteFile('c:\windows\system32\p0lr3ek8\j001.exe');
DeleteFile('c:\windows\system32\q0qkgef2\j001.exe');
DeleteFile('c:\windows\system32\qqfzn5ds\j001.exe');
DeleteFile('c:\windows\system32\rhh8wlzs\j001.exe');
DeleteFile('c:\windows\system32\rs6skoyj\j001.exe');
DeleteFile('c:\windows\system32\s22iqtj5\j001.exe');
DeleteFile('c:\windows\system32\tqxyoevj\j001.exe');
DeleteFile('c:\windows\system32\z\j001.exe');
DeleteFile('c:\windows\system32\ttajc71z\j001.exe');
DeleteFile('c:\windows\system32\uscyjar0\j001.exe');
DeleteFile('c:\windows\system32\uehtckou\j001.exe');
DeleteFile('c:\windows\system32\usmj78io\j001.exe');
DeleteFile('c:\windows\system32\vuvqq4jb\j001.exe');
DeleteFile('c:\windows\system32\vew7dibd\j001.exe');
DeleteFile('c:\windows\system32\jx1nihje\j001.exe');
DeleteFile('c:\windows\system32\jn3wrw5e\j001.exe');
DeleteFile('c:\windows\system32\wdcfm7rn\j001.exe');
DeleteFile('c:\windows\system32\wcetsaho\j001.exe');
DeleteFile('c:\windows\system32\xlm57tld\j001.exe');
DeleteFile('c:\windows\system32\xixyblvu\j001.exe');
DeleteFile('c:\windows\system32\ju8hqxw5\j001.exe');
DeleteFile('C:\WINDOWS\system32\cifig.exe');
DeleteFile('C:\WINDOWS\system32\hupyqu.exe');
DeleteFile('C:\WINDOWS\mslsrv32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
DeleteFile('C:\WINDOWS\system32\scmasvstart.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ScmSrv\Parameters','ServiceDll');
DeleteFile('C:\Documents and Settings\Admin\Шаблоны\WowTumpeh.com');
DeleteFile('%windir%\Tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

Карантин выслал. Логи прилагаю. ComboFix запустить не удалось, пишет что nod32 запущен, хотя я его вырубил через диспетчер.

После запуска ComboFix и нескольких нажатий ок компютер перезагрузился. У меня стоит автоматическая загрузка deamon tools при запуске windows, так вот он не запустился а выскочила ошибка.
---------------------------
DAEMON Tools Lite
---------------------------
Для этого приложения необходима, как минимум, Windows 2000 и SPTD 1.60 или выше.
Отладчик ядра должен быть деактивирован.
---------------------------
ОК
---------------------------
Также вирус вырубил брадмауер и я не могу его запустить.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Еще после запуска системы через 10-20 мин. выскакивает сообщение
---------------------------
svchost.exe - Ошибка приложения
---------------------------
Инструкция по адресу "0x6f8916e2" обратилась к памяти по адресу "0x6f8916e2". Память не может быть "read".


"ОК" -- завершение приложения
"Отмена" -- отладка приложения
---------------------------
ОК Отмена
---------------------------
После нажатия ок или отмена интернет вырубается. Помогите пожалуйста!!!

Выполните скрипт в AVZ
[code]begin
ExecuteRepair(10);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пробуйте зайти в безопасный режим и сделать лог ComboFix из него

В безопастный зашел. Запустил combofix. Появилось сообщение
---------------------------
Warning !!
---------------------------
ComboFix has detected the following real time scanner(s) to be active:antivirus: ESET NOD32 Antivirus 4.0Antivirus and intrusion prevention programs are known to interferewith ComboFix's running. This may lead to unpredictable results orpossible machine damage.Please disable these scanners before clicking 'OK'.
---------------------------
ОК
---------------------------

Нажал ок, мне выдало следующие

---------------------------
Warning !!
---------------------------
antivirus: ESET NOD32 Antivirus 4.0The above real time scanner(s) are still active but ComboFix shallcontinue to run. Kindly note that this is at your own risk
---------------------------
ОК
---------------------------

Нажал ок, и ничего.
На диске создалась папка c:\ComboFix\CF13804.cfxxe
Подскажите что делать, может деинсталировать nod32?

Деинсталлируйте. Потом заново поставите

combofix пишет что у меня нет установленной консоли восстановления, предлагает установить, но я так и не смог этого сделать. Он завершает работу, потом предлагает перезагрузится, но на диске c файла combofix.txt нет, есть только папка combofix, а в ней куча файлов. Можно как то без combofix обойтись, а то у меня уже компютер колбасит, языковая панель исчезает.

Пробуйте еще раз сделать лог. Консоль восстановления можно не устанавливать. Языковую панель приведем в порядок после завершения лечения

Уже второй день вожусь с combofix, все перепробовал. Он вроди как делает лог, потом просит перезагрузить компютер, захожу на диск C, там две новые папки: ComboFix и Qoobox. Файла ComboFix.txt нет. Что же делать?

Скачайте [url=http://images.malwareremoval.com/random/RSIT.exe]RSIT[/url]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([b]RSIT[/b]) в корне системного диска.

Сделал.

выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Ограниченная\restorer32_a.exe','');
QuarantineFile('C:\WINDOWS\system32\servises.exe','');
DeleteFile('C:\WINDOWS\system32\servises.exe');
QuarantineFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe','');
DeleteFile('C:\Documents and Settings\Ограниченная\restorer64_a.exe');
QuarantineFile(' C:\WINDOWS\explorer.exe:userini.exe','');
DeleteFile(' C:\WINDOWS\explorer.exe:userini.exe');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe','');
DeleteFile('C:\Documents and Settings\Admin\Рабочий стол\YCCY\YCCY.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
повторить логи AVZ и Хиджака.

А также сделать лог [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]

При перезагрузке по прежнему руская раскладка пропадает. Пока не вырублю процесс mlyipcm.exe интернет не работает.
Логи сделал.

Когда отключим: Восстановление системы: включено!!! Так до Нового Года биться можем. :(>:(>:(:rtfm:

Вчера специально смотрел, было отключено. Как включилось, сам в шоке. Отключил.

Повторите скрипт: [url]http://virusinfo.info/showpost.php?p=666350&postcount=13[/url]
после него повторите логи.

Вот что мне выдала эта програмулька [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]

Что мне удалять из всех этих файлов?

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

Подскажите пожалуйста. Боюсь что-то лишнее грохнуть