Прогрессивный вирус

Здравствуйте.
Началось все с того, что перестали отображаться скрытые файлы. Потом именно с моего компьютера перестала открываться моя страничка «в контакте», писал, что пароль не тот. Вчера вечером антивирус (авира) стал выдавать подряд сообщения о вирусах, которые нужно удалить. Затем стали вылазить на компе сообщения о том, что системные файлы повреждены и нужно вставить диск с виндой, чтобы все восстановить. Я диск вставляла, но он писал, что диск не тот.
Потом у меня комп вообще перестал работать в обычном режиме, только в безопасном и то не с первой попытки – т.е. он загружался, рабочий стол появлялся, но через пару секунд вис.
После утилитки dr.web вроде загрузился, интернет даже подключился.
Комп выдают постоянно какие-то сообщения об ошибках, все время пишет, что не может прочитать или найти диск и т.д. и т.п. И еще с каждой перезагрузкой не может открывать определенные приложения, т.е. сначала он не мог открывать файлы jpg и оперу, после перезагрузки картинки и оперу открывает, зато exe и архивы не может и все в таком духе.
И avz.exe у меня открылся, только после того, как я его переименовала, а до этого открывался и через 1с закрывался.
Вообщем, помогите пожалуйста!))))))) :>

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aic32p');
QuarantineFile('C:\WINDOWS\system32\drivers\ongnmi.sys','');
QuarantineFile('C:\WINDOWS\urt4400.dll','');
DeleteFile('C:\WINDOWS\urt4400.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ongnmi.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи

скрипт выполнила, только ничего не изменилось

???

такой лог [url]http://www.gmer.net/[/url] сделайте ...

не знаю, так сделала или нет

деинсталируйте OUTPOSt и заново выполните скрипт и повторите логи авз

OUTPOSt удалила, скрипт выполнила.
Пока ничего не изменилось

Правда скрытые папки стали отображаться и в контакт вроде входит.
А ошибки так и вылазиют и программы с файлами так и не все открываются.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.


В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Rundll32.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\ongnmi.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\ongnmi.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]


Пришлите карантин quarantine.zip согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи AVZ

На первый взгляд стало немного лучше. Теперь при загрузке выдает только одно сообщение - рис.1 (ничего, что я картинки прикрепила?) и еще, когда я пытаюсь открыть диспетчер устройств - выдает ошибку рис.2.

У вас файловый вирус Virus.Win32.Sality (Win32.Sector.5).
Пролечитесь с помощью LiveCD.
[url]http://virusinfo.info/showthread.php?t=15927[/url]
После лечения, сделайте новые логи по правилам.

Вообщем пролечилась я и Dr.Web LiveCD, и Live CD Vba32 Rescue. А до этого мне удалось скачать утилиту Dr.Web и проверить ей через безопасный режим (нашел и якобы исцелил за 200 инфицированных объектов и удалил парочку троянов) и через обычный (нашел 418 инфицированный объектов тоже якобы исцелил).
В итоге ничего так и не изменилось!
Вот новые логи+карантин от Live CD Vba32

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\ongnmi.sys','');
DeleteService('aic32p');
QuarantineFile('C:\Documents and Settings\Гуж\Application Data\Microsoft\Installer\{444E008B-AB2B-4F10-AB44-840F1E0CE659}\NewShortcut1.BBD4A38C_B875_4E46_B27C_5CAECB0257C4.exe','');
QuarantineFile('C:\WINDOWS\system32\spool\d','');
DeleteFile('C:\WINDOWS\system32\spool\d');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\UDC','EventMessageFile');
DeleteFile('C:\WINDOWS\system32\drivers\ongnmi.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению

Один вопрос. Надеюсь вы скачивали и записывали LiveCD на незараженной системе? Иначе есть нехорошая вероятность что все сканы зря.

LiveCD я записывала на диск на другом компе. На 100% не могу быть уверена, что он ничем не заражен, но видимых проявлений вроде никаких не было.

shapel, скрипт сделала. Все те же ошибки.
Карантин отправила.

Подключите вашу флэшку (если есть),
пролечитесь этой утилитой [url]http://support.kaspersky.ru/viruses/solutions?qid=208636131[/url]
Логи повторите.

Все равно те же ошибки выдает. Может это вообще не с вирусом связано???

Выполните скрипт в avz:

[CODE]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\Rundll32.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
end.
[/CODE]
карантин пришлите по правилам.

Выполнила. Закачала.

Такой лог сделайте [url]http://virusinfo.info/showthread.php?t=53070[/url]

надеюсь то выкладываю

Удалите в MBAM:

[CODE]
Заражено папок:
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.
[/CODE]

В AVZ выполните скрипт:

[CODE]
begin
QuarantineFile('D:\ИГРЫ\1\1\66\snap.exe','');
QuarantineFile('D:\Андрей\е\Inst\GRAPH\ACD24_KG.EXE','');
CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip');
end.
[/CODE]

Карантин quarantine3.zip пришлите на ссылке вверху темы.
Какие ошибки возникают сейчас?

Ошибки теже. Только еще стало перед приветствием выходить окно с непонятными символами (восновном квадратами), вместо букв. Нажимаю ок - загрузка винды продолжается

Отключите антивирус, фаервол. Оставьте запущенным только AVZ. Выполните скрипт:
[code]
begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon');
ExecuteRepair(7);
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится. Что с окошком?

NetFramework установите последнюю версию.

Обновите Internet Explorer, Acrobat Reader, поставьте на систему последние обновления безопасности (хостфиксы, заплатки).

Скрипт выполнила. Окошко все равно появляется, правда написано теперь что-то другое, т.к. квадратиков стало раза в 2 меньше. Ошибки так и выходят. Единственное теперь стал запрашивать выбор пользователя при загрузке, раньше автоматически выбирал.

[QUOTE='миднайт;506809']NetFramework установите последнюю версию.

Обновите Internet Explorer, Acrobat Reader, поставьте на систему последние обновления безопасности (хостфиксы, заплатки).[/QUOTE]
Это после лечения проделать?
Да, и еще! Я авиру ни запустить (а1), ни удалить не могу (а2), выдает следующие ошибки

Сделайте новый комплект логов. Будем эту заразу искать!

Я еще в предыдущем сообщении про авиру дописала.
А вот новые логи.

Выполнить скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\mobile PhoneTools\mPhonetools.exe','');
QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Wins32.exe','');
DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\Wins32.exe');
DelCLSID('67KLN5J0-4OPM-00WE-AAX5-77EF1D187563');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

пока все также

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\SoftwareDistribution\Download\e8c318288ae3e1cbee69853a21e3e720\BIT31.tmp','');
BC_ImportAll;
Executerepair(7);
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

ничего не изменилось((
А логи загрузить не могу, выдается ошибка загрузки, что я превысила предел на форуме.

[QUOTE='NLO;508693']ничего не изменилось(([/QUOTE]
Опишите подробнее проблему

Вылазеют 2 ошибки: одна при загрузке компа, другая при нажатие на диспетчер устройств (копии экрана с ними я уже вставляла в этой теме). Потом, при загрузки винды, перед приветствием выходит окно с квадратами вместо букв, в нем можно только ок нажать.
И антивирус авира не удаляется и не загружается - выходят ошибки (картинки с этими ошибками я тоже уже выкладывала).
Были еще проблемы, но они уже устранились.

[QUOTE=]Сообщение от миднайт


NetFramework установите последнюю версию.

Обновите Internet Explorer, Acrobat Reader, поставьте на систему последние обновления безопасности (хостфиксы, заплатки).[/QUOTE]
Вы это сделали? Надо сделать! По поводу Авиры... похоже вирус "погулял". Надо удалить и заново установить.

А как мне удалить авиру, если обычным путем(через установку и удаление программ) не удаляется? Если только перезаписать...
Последние обновления безопасности (хостфиксы, заплатки)я вроде ставила - я в центре обеспечения безопасности windows поставила авт. обновление и он загрузил их 25. (так надо было сделать??)
Internet Explorer и Acrobat Reader загрузила

По поводу обновления все правильно сделали.
Чтобы удалить Авиру, загрузитесь в безопасном режиме и в папке Program Files найдите папку с Авирой и удалите.

И еще 2 проблемки:
1) Безопасный режим не загружается, а идет на перезагрузку. Я заходила через восстановление службы каталогов.
2) Папка с авирой не удаляется, выдается ошибка "Не удается удалить mfc71u. Нет доступа. Диск может быть защищен или переполнен от записи, либо файл занят другим приложением".
В службах все что связано с авирой я на всякий случай отключала.

Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
Executerepair(10);
Executerepair(11);
Executerepair(17);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.[/CODE]
Компьютер перезагрузится
После этого попробуйте загрузиться в безопасном режиме