Поймал вирус

Окажите помощь пожалуйста. Настраивал в офисе сеть, при этом пришлось расшарить некотрые папки на своем компе, после этого стал замечать, что комп стал долго думать, глянул, а у меня проц почти постоянно на 100% загружен, хотя никаких других признаков вируса нет. Попробовал запустить AVZ, выкинуло + исчез рабочий стол, пришлось перезагрузиться. после этого комп стал долго загружаться, хотя и dr.Web и outpost работают нормально, обновления идут. Проверил Вебом - чисто, загрузился через LiveCD, проверил AVPtool - чисто... Но при этом не запускается ни AVZ ни[COLOR=Black] [/COLOR][COLOR=Black]HijackThis ни в каком виде, не помогает ни переименование, ни полиморфный avz.... даже на пару секунд не появляются... кроме этого в логах аутпоста видно, что winlogon лезет на порнушные сайты, блокировка аутпостом портов и айпишника, куда пытается залезть[/COLOR][COLOR=Black] winlogon, привела к завису компа...
вот такие вот дела, что делать? винду перставлять ой как не хочется, да и сделать это ввиду одного диска - трудновато... поможете?
[/COLOR]

Попробуйте сделать лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]

ComboFix тоже не запускается, ни в каком виде, не переименованный, ни какой...

1.скачайте [B]Live CD[/B] с возможностью поиска и исправления в реестре. Например, [B]ERD Commander[/B].
2.Загрузитесь с этого диска.
3.Кнопка Пуск - Выполнить - [B]erdregedit[/B]
4.Посмотрите в реестре:
[B]ветка[/B]

[CODE]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon[/CODE]

[B]параметр[/B]

[CODE]userinit[/CODE]

[B]параметр[/B]

[CODE]shell[/CODE]

Содержимое этих параметров напишите в своем сообщении

userinit - userinit
shell - explorer.exe
кстати, combofix с livecd бесполезно запускать?

Бесполезно.
[QUOTE='Dginko;732415']userinit - userinit[/QUOTE] Такого быть не может, Вы смотрите реестр самого livecd, скорее всего, а нужно заражённой машины. Зная этого зверя, там должно быть что-то в этом духе - [CODE]C:\WINDOWS\system32\userinit.exe,файл/файлы с бесмысленными именами[/CODE].

да действительно, сорри
userinit - c:\windows\system32\userinit.exe,C:\WINDOWS\system32\poposrc.exe,C:\WINDOWS\system32\unlkzfr.exe,C:\WINDOWS\system32\rsxigr.exe,
еще есть ветка f0b0c18d - C:\WINDOWS\system32\unlkzfr.exe такая папка есть в windows и много весит...

userinit - [B]C:\WINDOWS\system32\userinit.exe,[/B] - должно быть так, включая запятую, исправляйте, удаляйте файлы, который перечислены после запятой и пробуйте запустить АВЗ

редактировать с livecd или загружаться в полноценную? сами эти exe не надо удалить, а то ведь они опять могут прописаться?

Надо удалить, я дополнил пост. Редактируйте с livecd, хотя я думаю принципиальной разницы нет.

а параметр f0b0c18d удалять? еще есть usrint с C:\WINDOWS\system32\zeuijw.exe тоже какие-то непонятные.

Да, это всё звери. Только будьте крайне аккуратны при работе с реестром.

Логи

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\CTERFXFX.DLL','');
QuarantineFile('C:\WINDOWS\system32\drivers\SaiBus.sys','');
BC_ImportAll;
ExecuteRepair(20);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

пишет "ошибка загрузки. данный файл уже был загружен"

Что с проблемой?

да вроде нормально все, спасибо.