Нужна помощь

Добрый день.
Без Вашей помощи не разобраться.
Был обычный рабочи день, т.е. комп. работал с оф. программами, периодически просматривал сайты (по работе :)). И вдруг антивирус Avast 4.7 Home один за одним начал вылавливать вирусы (к сожелению не обратил внимания на их название, я их автоматом удалял), потом Аваст просканировал комп до запуска системы (ОС Win XP Pr, сетка из 4-х комп., выход в интернет через ADSL) и удалил еще два вируса. Но после этого, при запуске системы Аваст находит файл (C\WINDOWS\SYSTEM32\Deflib.sys) и система зависает. Только одна из нескольких попыток запустит комп успешная, периодически выскакивает синий экран (... damage to you computer. BAD_POOL_CALLER).
Попытка удалить файл(по адресу который дает Аваст) руками ( в "Безопасном режиме") - не успешна. Вирус опять появляется.
Логи прилагаю, если нужен фото полной надписи на синем экране, то тоже могу приложить.
Спасибо.

Извините, вот логи

Выполнить скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Orbitdownloader\orbitcth.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\temp\winlogon.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин по ссылке.

Подготовить диск с дистрибутивом ХР.

C:\WINDOWS\system32\linkdel.cmd - этот файлик мне кажется уже проверяли. если нет, то добавить его в карантин.

а почему не по правилам ? нужно обновить AVZ .
аваст вместе со всеми прогами кроме браузера отключить перед сканированием.

Прошу прощения.
AVZ только сегодня загрузил (вроде должен быть свежим, но в любом случае сейчас обновлю)
По поводу откл. аваст, то извиняюсь, наверное после перезагрузки при выполнении второго скрипта забыл выкл.
Мне повторить логи или выполнить, то что посоветовал PavelA?

[B]ig473[/B], выполнить, что сказал Павел.
читать внимательней правила.ещё не раз придётся делать логи, поверь ;)

Отправил, только опять слегка напортачил.:embarasse
Файлик вложил не в карантин, а отправил отдельным архивом.

Лучше переделай по Правилам. Он же не только к нам идет, но и в антивирусные компании.

Переделал. Добавил файл в архив (дам где карантин) с паролем "virus".

[QUOTE='ig473;135677']Переделал. Добавил файл в архив (дам где карантин) с паролем "virus".[/QUOTE]А почему нельзя сделать как написано, не понимаю ;( там автоматом нужный пароль ставиться.

Вот так номер: C:\WINDOWS\system32\linkdel.cmd оказался заразой !!
Будем удалять.
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
Сейчас посмотрю все остальное.

На будущее: на карантин AVZ автоматом ставит пароль. Самодеятельности тут не надо.

Сейчас буду выполнять.

ПС То, что AVZ автоматом ставит пароль понятно, а вот как в карантин надо было правильно добавить данный файл?

[B]ig473[/B], Приложение номер 2 правил прочитай

tcpip.sys - чистый
C:\WINDOWS\system32\ntoskrnl.exe - чистый
c:\windows\system32\winlogon.exe - чистый

При каждой перезагрузке аваст пишет " C\WINDOWS\SYSTEM32\Deflib.sys содержит образец Win32:Agent-KDS" и если я в течении двух секунд успел нажать "в хранилище", то дальше все оК, а если нет, то система виснет (если нажать "удалить", система тоже виснет)

[QUOTE]tcpip.sys - чистый
C:\WINDOWS\system32\ntoskrnl.exe - чистый
c:\windows\system32\winlogon.exe - чистый[/QUOTE]
Зато c:\windows\[COLOR="Red"]temp[/COLOR]\winlogon.exe - [B]Trojan-Proxy.Win32.Small.gk[/B].
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\Deflib.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и сделайте новые логи.

[QUOTE='Bratez;135723']Зато c:\windows\temp\winlogon.exe - Trojan-Proxy.Win32.Small.gk.[/QUOTE]
Ну, не могу я его проверять. У меня Симантек его влет убьет, а названия приличного не скажет.
Меня больше обрадовало, что системные файлы чистые.

Высылаю логи ...

Живуч гад :(
Повторим еще разок.
[CODE]begin
BC_DeleteFile('linkdel.cmd');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Есть правда смутное ощущение, что что-то мы не видим.
Сделай лог в Safe Mode из [url]http://virusinfo.info/showthread.php?t=10387[/url]

Теперь вроде все чисто.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Каково самочувствие пациента?

на всякий случай ...
выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Да, и еще такой скриптик:
[code]
begin
regkeyparamdel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'LinkDel');
end.[/code]

Пациент скорее жив ...
Выполнил предложенные скрипты, карантин выслал.
Спасибо.

хорошая новость ...
C:\WINDOWS\system32\sfc_os.dll - чистый
плохая новость ...
C:\WINDOWS\system32\ntoskrnl.exe [B]Trojan.Win32.Patched.at[/B]
необходимо заменить .... из дистрибутива
заменить можно так
Пуск/выполнить/cmd
expand d:\i386\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe
вместо d буква вашего cd
затем еще раз логи ...

[quote=V_Bond;135794].... из дистрибутива [/quote]
Этот этап для меня сложноват. Комп офисный, фирма маленькая (админа, техника и т.п. нет), кто устанавливал, где диски (самое главное есть ли они) - для нас это сложные вопросы. Завтра постараюсь разузнать.

вот залил вам [URL="http://slil.ru/24872801"]ntoskrnl.ex_[/URL]

Скачав файлик положите его например в корень диска C ,тогда его замена будет выглядеть так :
Пуск--выполнить--cmd
expand с:\ntoskrnl.ex_ c:\windows\system32\ntoskrnl.exe

и про логи не забудьте.

За файл спасибо, но закачать не получается. Ошибка [I]502 Bad Gateway[/I]
Попробовать позже? А можна с другого компа взять или он тоже может быть заражен ? (на работе сетка, пять компов).

лучше попробуйте позднее ... там файл гарантировано чистый...
или ищите диск...

Пробуй позже. Не рискуй. Других мы еще не проверяли, не знаем что там живет.

Файл нашел, спасибо.
Попытка замены закончилась [I]"не удается открыть системный файл c:\windows\system32\ntoskrnl.exe"[/I]

Либо что-то не так сделал, либо версия виндов не та.
Это home или pro?
Лог getsysteminfo не помешает для выяснения ситуации. сделай его, плс.

Извиняюсь за свои знания (вернее их отсутствие), но лог [I]getsysteminfo[/I] это скрипт в AVZ (срипт сбора информации...)?
[I]Про[/I] и там и там, [I]СП2[/I] тоже.

getsysteminfo - программа с сайта Касперского. ;)

Лог сделал, его прикрепить к сообщению или загрузить (создать архив с паролем virus)?

прикрепить ...

Прикрепить не получилось, он весит 1.42 МБ, по весу не проходит как вложение :(

Сжать rar-ом и прикрепить.

Виноват, затупил

Выполнить скрипт:
[CODE]begin
SetAVZGuardStatus(true);
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('C:\WINDOWS\system32\DefLib.sys');
BC_DeleteSvc('runtime');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать boot_clr.log