Требуется помощь

Добрый день.
Комп. - ХР SP2, NOD32 (четверка), Comodo.
Вчера возникла проблема - комп на все действия стал ругаться, что у вас не достаточно прав (пользователь был не с правами админа), в том числе и на попытку выключить комп через меню пуск, на запуск любой программы (почта, инет, и тд). Комодо и нод из трея пропали (хотя в процессах висели). Из под администратора ситуация такая же (не получилось запустить ни курента, ни авз), в безопасном режиме не грузится, после загрузки с диска Dr.Web LiveCD и сканировании компа (два диска физических), ничего найдено не было, при попытки загрузиться снова ситуация не поменялась. После отката системы на пару дней (возможность была зайти только через диспетчера процессов-помощь) не изменилось ничего.
Щас инфа с обоих дисков перекинута на один (подключали к другому компу), диск этот отключен (лежит на полочке), первый диск отформатирован, установлена винда, пока все (сеть отключена).
Очень нужны файлы со второго диска (да и диск сам тоже) но есть опасение, что враг на нем щас, вопрос что делать?
Комп в офисе был чем-то вроде сервера, на втором диске (который щас на полочке) была общая папка, для работы офиса. В офисе еще 4 компа и сетевой принтер.
Может и их чем нить проверить?
На флешке, которая была последней подключена к умершему компу, найдены два вируса (нодом тоже):
G:\RECYCLER\S-51-9-25-3434476501-1644491937-601003330-1214\Wrgsv.exe - Win32/AutoRun.KS червь - очищен удалением - изолирован [1]
G:\RECYCLER\S-51-9-25-3434476501-1644491937-601003330-1213\Mrgsv.exe - IRC/SdBot троянская программа - очищен удалением - изолирован [1]
Остальные компы пока нормально себя чувствуют (на двух стоит нод, на одно каспер), проверку пока не запускал.

[QUOTE=Fox-RK;436537]
Очень нужны файлы со второго диска .[/QUOTE]
В смысле? Это пользовательские файлы? Просканьте их любым обновленным Антивирусом и можете ими далее пользоваться.

Это и пользовательские файлы, и базы 1С, и почта (тундерберд), и история аськи. Просканировать то можно, но вот чего то ж было, что порушило систему, а антивирусник (нод) обновлялся несколько раз в день, вот и вопрос чем другим проверить? не хочется еще разок такую болячку занести. При копировании копировали полностью весь системный диск (с) не разбирая. Щас включу его тоже, и поновой нодом (пока токо он есть).

Враг жив, подцепил второй диск, нодом с свежими базами просканил, ничего не нашел, но он есть, комодо периодически сообщает о попытке создать в систем32 файла - набор букв (2-4 символа), нод молчит.

Заплатки на систему все стоят?

логи

а еще комодо блокирует штуку такую:
C:\Windows\msddrv42.exe которая чего то хочет сделать каждые 2-4 секунды

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msddrv42.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\msddrv42.exe');
QuarantineFile('c:\windows\msddrv42.exe','');
DeleteFile('c:\windows\msddrv42.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

сделано

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Повторите п.2 раздела Диагностика.

Отключил восстановление
Выполнил скрипт
ех, а далее поторопился, удалил все логи и карантин
поэтому выполнил диагностику всю
логи прикрепил

[QUOTE]Восстановление системы: включено[/QUOTE]????
[COLOR="Red"][B]Отключите Антивирус и Файрвол.[/B][/COLOR]
Выполните скрипт в AVZ:
[code]
begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Повторите п.2 раздела Диагностика.

[QUOTE]Восстановление системы: включено[/QUOTE]
под администратором захожу - восстановление системы отключено
под пользователем посмотреть не могу, проводник от имени администартора не запускается, а так вкладка восстановления отсутствует.

[QUOTE]Отключите Антивирус и Файрвол.[/QUOTE]
комодо выключаю полностью (exit), в анивирусе пункт отключить защиту от вирусов и шпионских программ (выгрузить полностью нет кнопки выхода) - достаточно, или убрать из автозагрузки, и посмотреть в процессах и там убить?

комодо при загрузке системы ругается на файлы в директории C:\Documents and Settings\Director\Local Settings\Temp\
файлы цыфры.exe, удалял данные файлы вручную, появляются снова при перезагрузке

скрипт сделал
логи

Пролечитсь от файлового вируса: [url]http://virusinfo.info/showthread.php?t=15927[/url]

Провел лечение
Лечение с помощью Live CD Vba32 Rescue
файл отчета приложен

[QUOTE]комодо при загрузке системы ругается на файлы в директории C:\Documents and Settings\Director\Local Settings\Temp\
файлы цыфры.exe[/QUOTE]
пока так и осталось

Папку C:\Documents and Settings\Director\Local Settings\Temp
очистите полностью.

:clapping: всем спасибо, вроде выздоровел комп, никто не ругается, ничего не тормозит. одна маленькая штука чуть чуть мешает, при загрузке открывается окошко мои документы.

Кажется, мы с вами кое-что упустили...

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-2393502773-2696634685-415977039-0598\mwau.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=50542[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

ех, теперь чавото выскочило окошко
svhost.exe - ошибка приложения
инструкция по адресу "0x6f8917c2" обратилась по адресу "0x6f8917c2". память не может быть "read".
это почему? помогите и эту штуку убрать пожалуйста, если чего нить нажать, то отрубает доступ к общей папке, которая на этом компе находится

карантин пустой, точнее в нем есть папка сегодняшняя, но она пустая
логи

Сделайте еще [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].

высокчило еще окошко
winlogon.exe - ошибка приложения (пока отодвинули в сторонку не нажимаем ничего)
логи гмер

пост 18 и 21, посмотрите пожалуйста

В логах ничего подозрительного больше не видно.
Ставьте критические обновления Windows, вышедешие после SP3.

Извините, что долго не реагировал, отдыхал. Всем огромное спасибо, комп жив, поставил заплатку, окошко пропало, признаков врагов нету.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\msddrv42.exe - [B]Backdoor.Win32.SdBot.obb[/B] ( DrWEB: Trojan.Siggen.3093 )[/LIST][/LIST]