Проблемы при загрузке ОС

Доброго времени суток.
При попытке загрузить Windows, с включённым модемом, система практически сразу же перезагружается. С выключённым модемом или при загрузке в безопасным режиме всё ок. Если же включить можемпосле загрузки ОС, то cFosSpeed регистрирует, что идет скачивание практически на максимальной скорости и через пару секунд компьютр перезагружается. Поэтому [B]Скрипт сбора информации для раздела "Помогите!" virusinfo.info [/B]я делал при отключённом интеренете.
Заранее спасибо.

Также AVPTool зафиксировал Type_Win32 модификации

[QUOTE]>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных[/QUOTE]
Система поражена файловым вирусом.
Рекомендации тут: [url]http://virusinfo.info/showthread.php?t=15927[/url].
Перед началом лечения обязательно [b]отключите восстановление системы![/b]

После ликвидации файлового вируса порядок действий следующий:
1. Скачать заново AVZ и HijackThis.
2. Обновить базы AVZ.
3. Пофиксить в HijackThis:
[code]
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Администратор\reader_s.exe
O4 - HKCU\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
[/code]
4. Перезагрузить компьютер.
5. Сделать новый комплект логов.

Можно ли записать образ LiveCD с заражённого компьютера?

Я думаю, что можно. Вряд ли вирус способен внедриться в ISO образ.

[QUOTE=Bratez;368209]Я думаю, что можно. Вряд ли вирус способен внедриться в ISO образ.[/QUOTE]
А если вирус находится в памяти компьютера? Виндузятники в основном используют неру, который способен подвесить любой процесс производящий обращение к CD/DVDROM. Из-за чего привод может быть намертво заблокирован.

Александр, насколько я понял, вопрос был не о том, удастся ли выполнить запись, а о том, будет ли полученный диск свободен от вируса. Я полагаю, что будет.

Сделал всё вышеуказанное, но
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
так и осталось

[QUOTE=greemL1n;368234]Сделал всё вышеуказанное, но
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
так и осталось[/QUOTE]
А вы уже что всю машину просканировали по этой методике [url]http://virusinfo.info/showthread.php?t=15927[/url]

Я воспользовался LiveCD и так как у меня зашифрованы все жёсткие диски кроме системного это не заняло много времени

Вы нам пришлите зараженный avz.exe, только предварительно прочтите правила как надо присылать зараженные файлы.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=greemL1n;368245]Я воспользовался LiveCD и так как у меня зашифрованы все жёсткие диски кроме системного это не заняло много времени[/QUOTE]
И что же он нашел? Вы запускаете avz и вирус сразу же его заражает.

Чем зашифрованы?

Отправлено

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

Best Crypt Volume

[QUOTE=Bratez;368232]Александр, насколько я понял, вопрос был не о том, удастся ли выполнить запись, а о том, будет ли полученный диск свободен от вируса. Я полагаю, что будет.[/QUOTE]
Он может и будет свободен от вируса, но где гарантия что все запишется так как надо.

Имхо, лишние движения на машине зараженной файловым вирусом крайне не желательны.

Virut.56 - совсем свежий. Возможно в той сборке DrWeb CD его просто еще не было. KAV его тоже пока не видит.

Что посоветуете?

Ну вот у Вас новый Virut. Кстати Касперский его пока не видит.

Скачайте Live CD Vba32 у меня в подписи. И просканируйте машину с помощью него/ все зараженные файлы естественно лечить/ Меню там не сложное так что разберетесь там все на русском

[size="1"][color="#666686"][B][I]Добавлено через 55 секунд[/I][/B][/color][/size]

[QUOTE=Bratez;368263]Virut.56 - совсем свежий. Возможно в той сборке DrWeb CD его просто еще не было. KAV его тоже пока не видит.[/QUOTE]
Он его не сможет обновить/

Ок, спасибо, сейчас сделаю.

[url]ftp://vba.ok.by/vba/vbarescue.iso[/url] [COLOR="Red"]качать отсюда! [/COLOR] Объем около 80 метров

У меня написано что объём 18мб

Прежде чем сканировать внимательнейшим образом пройдитесь по настройкам (поставьте на максимум + сделайте лог и запишите его на флэш если у вас есть такая возможность)/ спасибо

Ок

Я вам дал другую ссылку/ сейчас разработчикам скажу чтобы поправили

Всё равно этот файл весит 18мб

[QUOTE]# wget -c [url]ftp://vba.ok.by/vba/vbarescue.iso[/url]
--14:03:53-- [url]ftp://vba.ok.by/vba/vbarescue.iso[/url]
=> `vbarescue.iso'
Распознаётся vba.ok.by... 193.232.92.2
Устанавливается соединение с vba.ok.by|193.232.92.2|:21... соединение установлено.
Выполняется вход под именем anonymous ... Выполнен вход в систему!
==> SYST ... готово. ==> PWD ... готово.
==> TYPE I ... готово. ==> CWD /vba ... готово.
==> PASV ... готово. ==> RETR vbarescue.iso ... готово.
Длина: 83*585*024 (80M) (не достоверно)
[/QUOTE]
У меня вроде как все нормально/

Вот сейчас всё ок

Если возникнут вопросы по использованию диска можете смело их задавать тут и тута [url]http://virusinfo.info/showthread.php?t=3623[/url]

Лог не забудьте записать будет интересно и мне и разработчикам

Извените, но как загрузится с этого СД?)

так же как и со всех:) выставляешь загрузку сиди и все В чем проблема то?

Появляется командная строка. Предлагается нажать TAB для просмотра команд и всё.

Выставляешь в биосе порядок загрузки первым сидюк и все О какой командной строке речь?

Я всё в точно так и сделал. После загрузки с СД сверху появляется GNU GRUB v. .. (не помню какой) а ниже grub > и мигающий курсор

[QUOTE=greemL1n;368388]Я всё в точно так и сделал. После загрузки с СД сверху появляется GNU GRUB v. .. (не помню какой) а ниже grub > и мигающий курсор[/QUOTE]

Cкорее всего криво записался сидюк. Даже загрузчик нормально не считался.

Значит мне нужно снова записать диск?

[QUOTE=greemL1n;368402]Значит мне нужно снова записать диск?[/QUOTE]

Да, попробуйте еще раз. Только на болванку посмотрите внимательно, может поцарапана.

Инфицированный файл из карантина VBA32 задетектировала как Virut.X5 и пролечила.

Я попробовал второй раз никаких изменеий

[size="1"][color="#666686"][B][I]Добавлено через 1 час 21 минуту[/I][/B][/color][/size]

Скачал образ заного и всё заработало. Но при попытке начать сканирование выдаёт что Нет примантированных дисков

[QUOTE=greemL1n;368407]
Скачал образ заного и всё заработало. Но при попытке начать сканирование выдаёт что Нет примантированных дисков[/QUOTE]

Есть еще один вариант, но он более сложный и потребует еще одну машину.

1. Вам нужно скачать с какого-нибудь нашего сервака файл Vba32Check.exe (порядка 55 метров)

2. Разархивировать его на диск

3. Папку Vba32Check записать на болванку. Все это нужно сделать на чистой машине, чтобы не заразились файлы

4. Вставить болванку и запустить с нее консольный сканер (Vba32Check/vba32w):

vba32w.exe /mr=2/as=2/bt-/af/rw/sfx/ar/ha=2/fc/fd/ic/nc/r="c:\vba32.rpt"/qi+"c:\ainfected"/qs+"c:\asuspicted" *:

А можно поподробнее про 4. пункт, а конкретно что значит последняя строка?

[QUOTE=greemL1n;368508]А можно поподробнее про 4. пункт, а конкретно что значит последняя строка?[/QUOTE]

Запускаете Far или Total Commander, на худой конец пойдет и cmd, в них открываете папку Vba32Check/vba32w. В командной строке вводите указанную мной выше строку.
Сканер просканирует все диски с лечением инфицированных файлов. Если нужно только диск C:\ , то замените в конце строки *: на с:\
Файлы также закарантинятся в папки c:\ainfected и c:\asuspicted

Просканировал компьютер с помощью Vba32Check, каковы мои дальнейшие действия?

[quote=greemL1n;369038]Просканировал компьютер с помощью Vba32Check, каковы мои дальнейшие действия?[/quote]

Прикрепите сюда лог работы программы c:\vba32.rpt, а остальные действия Вам уже написали здесь [URL]http://virusinfo.info/showpost.php?p=368204&postcount=2[/URL]

Спасибо, вот лог