новый вирус?

Здравствуйте. Неделю назад подхватил вирус. Принесли на флэшке. Ни DrWeb, ни Cureit его не видят. Симптомы- блокировка диспетчера задач, свойств папки, поиска файлов. Помогите пожалуйста избавиться от вируса.

1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe [/CODE]

2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\bad1.exe','');
QuarantineFile('C:\WINDOWS\system32\bad2.exe','');
QuarantineFile('C:\WINDOWS\system32\bad3.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
QuarantineFile('c:\windows\system32\msmsgs.exe','');
QuarantineFile('c:\windows\explorer.exe','');
DeleteFile('C:\WINDOWS\system32\system.exe');
DeleteFile('C:\WINDOWS\system32\bad1.exe');
DeleteFile('C:\WINDOWS\system32\bad2.exe');
DeleteFile('C:\WINDOWS\system32\bad3.exe');
DeleteFile('F:\autorun.inf');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16728[/url]

Это вы добавили сайты в доверенную зону
[code]O15 - Trusted Zone: http://*.capitaller.ru
O15 - Trusted Zone: http://*.enum.ru
O15 - Trusted Zone: http://*.exchanger.ru
O15 - Trusted Zone: http://*.indx.ru
O15 - Trusted Zone: http://*.megastock.com
O15 - Trusted Zone: http://*.megastock.ru
O15 - Trusted Zone: http://*.oplata.info
O15 - Trusted Zone: http://*.paymer.com
O15 - Trusted Zone: http://*.publicant.ru
O15 - Trusted Zone: http://*.shareholder.ru
O15 - Trusted Zone: http://*.softactivation.com
O15 - Trusted Zone: http://*.telepat.ru
O15 - Trusted Zone: http://*.webmoney.ru
O15 - Trusted Zone: http://*.wmkeeper.com
O15 - Trusted Zone: http://*.wmtransfer.com[/code]

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Повторите логи...

спасибо, что откликнулись. карантин отправил. в список доверенных сайтов добавлял только webmony.

c:\windows\system32\msmsgs.exe - [b]Worm.Win32.AutoIt.i[/b]

[quote=guri;175747]спасибо, что откликнулись. карантин отправил. в список доверенных сайтов добавлял только webmony.[/quote]
Значит остальные следует удалить, пофиксить данные строки в hijackthis
[url]http://virusinfo.info/showthread.php?t=4491[/url]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\msmsgs.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
[b]Повторите логи[/b]

спасибо, но что я должен с ним сделать?

С помощью AVZ поищите [b]system.exe[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=guri;175757]спасибо, но что я должен с ним сделать?[/QUOTE]

Выполнить скрипт в посте №6 и повторить создание логов по правилам;)

скрипт выполнил, высылаю логи.

Вы фиксли в hijackthis?

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Диск F: что это?

простите за мою заторможенность, но что именно я должен фиксить?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

F- это флэшка

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\system.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
DeleteFile('F:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\system.exe');
BC_DeleteFile('C:\WINDOWS\system32\system.exe');
SysCleanAddFile('C:\WINDOWS\system32\bad3.exe');
SysCleanAddFile('C:\WINDOWS\system32\bad1.exe');
SysCleanAddFile('C:\WINDOWS\system32\bad2.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16728[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O4 - HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 - HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 - HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]

Из этого перечня профиксить ненужное:
[quote]O15 - Trusted Zone: [url]http://*.capitaller.ru[/url]
O15 - Trusted Zone: [url]http://*.enum.ru[/url]
O15 - Trusted Zone: [url]http://*.exchanger.ru[/url]
O15 - Trusted Zone: [url]http://*.indx.ru[/url]
O15 - Trusted Zone: [url]http://*.megastock.com[/url]
O15 - Trusted Zone: [url]http://*.megastock.ru[/url]
O15 - Trusted Zone: [url]http://*.oplata.info[/url]
O15 - Trusted Zone: [url]http://*.paymer.com[/url]
O15 - Trusted Zone: [url]http://*.publicant.ru[/url]
O15 - Trusted Zone: [url]http://*.shareholder.ru[/url]
O15 - Trusted Zone: [url]http://*.softactivation.com[/url]
O15 - Trusted Zone: [url]http://*.telepat.ru[/url]
O15 - Trusted Zone: [url]http://*.webmoney.ru[/url]
O15 - Trusted Zone: [url]http://*.wmkeeper.com[/url]
O15 - Trusted Zone: [url]http://*.wmtransfer.com[/url][/quote]

С помощь AVZ искать файлы: сервис-поиск файлов на диске
[b]system.exe, bad1.exe, bad2.exe, bad3.exe[/b]
Осторожно с флешками отключение автозагрузки:
[url]http://virusinfo.info/showthread.php?t=16459[/url]

AVZ нашёл system.exe только на флэшке. я её отформатировал.

в программе в кторой вы делали [b]hijackthis.log [/b] выберите(галку поставить:)) строки которые выделены на фикс и нажмите [b]Fix checked[/b]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Какие проблемы после выполнения скрипта остались?

выполнил всё попунктно. после выполнения скрипта пропал рисунок рабочего стола, и стали долго открываться диски и папки из приложений (в проводнике всё нормально). в HijackThis пофиксил эти строчки ещё в первый раз, так что сейчас их нет. доверенные сайты пофиксил. поиск system.exe bad1bad2 bad3 с помощью AVZ ничего не дал.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

жуть. в любых приложениях "открыть" "сохранить как" "обзор" тормозит по страшному. папки открываются больше минуты.

В avz файл-Мастер поиска и устранения проблем
Смотрим все проблемы средней тяжести и устраняем...

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Также выполните стандартный скрипт №2 и дайте лог (тоже посмотрю)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

и HijackThis тоже

Мастер поиска и устранения проблем- проблем не обнаружено.

[quote]пропал рисунок рабочего стола[/quote] [b]после ExecuteRepair(5);[/b] - бывает
[quote]стали долго открываться диски и папки из приложений[/quote] из каких приложений?

скрипт выполнил. высылаю логи.

пробовал во всех приложениях, которые есть на компьютере- блокнот, фотошоп, неро, сорел дро, ексель, ворд, окно прикрепления файлов кнопка "обзор", везде одно и то же.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

и свойства рабочего стола кнопка "обзор"- то же.

в CD ром диск стоит ? юсб устройства подключены ?
выполните скрипт ...
[code]
begin
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]

только что обнаружил на рабочем столе нечто с ярлыком папки, а в свойствах написано "приложение". причём ЭТО не моё. что делать?

прислать по правилам ...

cd-rom пустой, usb нет, скрипт выполнил- проблема осталась.

Как теория. Приостановите др. веб и попробуйте еще раз "обзор"

Ошибка карантина файла, попытка прямого чтения (731 247 20х30)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\731 247 20х30)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\731 247 20х30)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Documents and Settings\Администратор\Рабочий стол\731 247 20х30)
Карантин с использованием прямого чтения - ошибка
как быть?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

вот бяка какая! опять BADы появились!!!

расшеренные папки есть ? куда ходили в интернет? ...
ну и давайте новые логи ...

как мне переслать Вам этот файл?

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

расшареных папок нет. в интернете никуда не ходил. сижу на Virusinfo

заархивировать с паролем virus ... и отправить по ссылке над темой ...

Локальная сеть есть?

локальной сети нет. файл выслал

Вы загружали без пароля? Файла на сервере нет попробуйте еще раз.

с паролем virus. послал повторно.
Файл сохранён как 080121_120559_731 247 20х30_4794df0778e27.zip
Размер файла 198554
MD5 a8758b5531378b7b7a41f58a66153a07

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

приняли файл?

нет 404выпадает. Давайте логи опять. и отправьте мне файл в почту
akok<гАв>virusinfo.info

Или переименуйте архив, чтобы в имени пробелов не было.

Файл сохранён как 080122_003013_001_47958d750ba9d.zip
Размер файла 198554
MD5 a8758b5531378b7b7a41f58a66153a07

Файл получил...это [b]Worm.Win32.AutoIt.i[/b] в чистом виде. др веб должен ловить...
Когда вы в последний раз базы обновляли?

Скачайте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]это[/URL] и проверьте систему полностью и поудаляйте исходники...они могли все диски загадить
После проверки пакет логов в студию....;)

новые логи

[url]www.photodex.com[/url] вы этим пользуетесь?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Вы AVPTool прошлись по системе?

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('C:\WINDOWS\system32\sxs.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\cmuda3.sys','');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportQuarantineList;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16728[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

хмм....повторное заражение было что-ли? Ограничения вернулись.

photodex-ом не пользуюсь.
а что такое AVPTool? и как им пользоваться?
базы DrWeb вчера обновлял.