Жуткий зверь. HELP

Не дает открыть ни один документ Office (выдает надпись "файл инфицирован" или "файл все еще инфицирован"). При попытке сохранить на диск файл с CureIt выдал что-то про неправильный инкриптор и не сохранил. Переименование не помогло. Запустил с флэшки и все было нормально пока он не нашел какой-то зараженный файл, после чего в течении 1-2 секунд CureIt! исчезла с экрана. В safe mode загрузится не дает. Попытка запустить AVZ окончилась неудачно. Секунд 10 висели часики, но он так и не запустился. В списке процессов AVZ отсутствует. Поэтому смог добиться только лог от Hijack.
===
Если постоянно пытаться запустить AVZ, то он появляется на 1-2 сек. и тут-же исчезает. Никаких ошибок при этом не выдается.

Спецверсия AVZ ведет себя точно так-же. Запускается на 1-2 секунды и вылетает :(

1. Загрузитесь в безопасном режиме.

2. Нижеперечисленные файлы скопируйте в отдельную папку, заархивируйте с паролем [i]virus[/i]
[b]C:\WINDOWS\system32\rqvt684.exe
C:\WINDOWS\TEMP\loader.exe
C:\WINDOWS\csrss.exe
C:\Documents and Settings\inter\ie_updates3r.exe[/b]

3. Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\rqvt684.exe"
O4 - HKLM\..\Run: [advap32] "C:\WINDOWS\TEMP\loader.exe" /r
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)
[/code]
4. Пуск - Выполнить - [b]cmd[/b],
в командной строке наберите:
[b]sc delete "Google Online Services"[/b]
(именно так с кавычками) и нажмите Enter.

5. Перезагрузите компьютер, удалите файлы, перечисленные в п.2, а архив с ними загрузите тут: [url]http://virusinfo.info/upload_virus.php?tid=24124[/url].

6. Попробуйте сделать все логи, если никак - сделайте хоть Hijackthis.

Беда в том, что safe mode не работает. При попытке входа в него комп перегружается и все.

Да, пардон, я пропустил... Ну попробуйте сделать все это в обычном режиме.

Если делать все в обычном режиме, то все зависает уже при попытке создать архив с файлами :( После перезагрузки пробовал фиксить указанные ветки - эффект тот-же, 100% занятость процессора и более ничего.

Грузиться с диска, например bart pe и делать всё выше сказанное.

Хорошая вещь bart pe. Вот только файловый менеджер его, ну никак не хочет показывать имена папок, вместо названий вермишель какая-то или просто пустое место, только иконки. :( Это нормально, или только у меня так?

[quote=Scanalex;237586]Это нормально, или только у меня так?[/quote]
Видимо, только у вас.
Мой BartPE отлично показывает все имена, в том числе и русские.

Вот максимум, что удалось выжать после 2-х дневного шаманства. Несколько раз прогонял CureIt, в результате чего удалось запустить AVZ и восстановить safe mode. Прогнал CureIt под safe mode, нашел кучу всего. Что-то вылечил, что-то удалил. Потом в обычном режиме удалось сделать один лог AVZ. Второй лог получить не удалось, т.к. он опять начал самоликвидироваться. Пробовал запускать его с CD, но тогда непонятно куда он сохраняет лог, пишет что все выполнено, но самого лога на компе нет.

При проверке под safe mode (при выключенном восстановлении системы) в основном были найдены и вылечены файлы зараженные Win32.Sector.5. После этого при загрузке в обычном режиме AVZ не запускается (при запуске с диска экзешник удаляется, а с CD вообще не запускается), CureIt запустился только с CD и опять находит экзешники зараженные Win32.Sector.5. От сетки комп был все время отключен.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 23 минуты[/I][/B][/color][/size]

Я так понял, пришло время переставлять Винду? :(

Нет. Проверяйте систему CureIt, пока не изгоните Sector совсем. Можно попробовать это сделать с помощью LiveCD, тогда у зверя будет гораздо меньше шансов возобновиться во время сканирования.

Sector - файловый вирус. Лечится антивирусом хорошо, но очень уж активно размножается.

Как лучше проверять, из safe mode или обычной загрузкой? Safe mode-то периодически отрубается :(

Hijack после установки на диск и попытки запустить его, получает в свой экзешник ентот вирус, и есть ощущение, что его отчет малость подкорректирован вирусом.

Еще настораживает постоянное присутствие в процессах MDM.exe. После того, как его убиваешь руками, становиться возможным запустить AVZ.

MDM.exe - если это правильный файл, то это дебаггер от МС.

Загрузился с LiveCD и, вроде, изгнал демонов. Сейчас делаются логи AVZ, будут готовы - обнародую. Пока из побочных эффектов только остатки Симантека, которые никак не удалить из реестра, и проблема с установкой Registry Organizer (выдает сбой при установке) :( Радует, что теперь Avast встал без проблем.

Вот свежие логи, посмотрите, пожалуйста

Деинсталляци Симантека (на английском)
[url]http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?OpenDocument&lg=en&ct=us&seg=hho&src=hot[/url]

Пока осталось еще достаточно много зверья. Будем бороться дальше.

А как бороться, если CureIt более ничего не находит?

Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mmx19g.sys','');
SetServiceStart('mmx19g', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\hprroi.sys','');
SetServiceStart('aic32p', 4);
DeleteFile('C:\WINDOWS\system32\drivers\hprroi.sys');
DeleteFile('C:\WINDOWS\system32\mmx19g.sys');
BC_ImportDeletedList;
BC_DeleteSvc('mmx19g');
BC_DeleteSvc('aic32p');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Загрузить карантин. Сделать новые логи.

AVZ сразу выдал "Ошибка: Undeclared identifier: "BS_DeleteService" в позиции 11:17"

[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]

Скрипт выполнился, комп перегрузился. Папка "Quarantine" пуста. Логи выполняются, по готовности выложу.

Новые логи

Осталось разобраться кого оставлять: Симантека или Аваста, и можно сказать, что лечение закончено.

Симантек уже покоцан волшебной утилиткой :) Большое спасибо всем, кто помогал! :)