Вирус:(

Поймал вирус, какой не имею понятия. Проблема в том что он выключил все антивирусы не дает включить avz и диспетчер задач.Каким то чудом только успел сделать скан Hijackthis`ом.Надеюсь этот лог хоть как-то поможет с решением проблемыЗаранее огромное Спасибо!

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]:
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,
[/CODE]
Попробуйте сделать логи при помощи AVZ из моей подписи.

avz работает(сейчас выложу логи), а hijackthis уже не запускается(

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

PavelA, подскажите плз а куда логи сохраняются с "полиморфного AVZ"?

Да, в его же директории должны быть.

спс нашел прикладываю

карантин тоже прислал

Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Женя\Local Settings\Application Data\Google\Update\GoogleUpdate.exe','');
DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}');
DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
DeleteService('catchme');
DeleteService('abp470n5');
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\phofin.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\phofin.sys');
BC_DeleteFile('C:\WINDOWS\system32\drivers\phofin.sys');
DeleteFile('C:\DOCUME~1\96EC~1\LOCALS~1\Temp\catchme.sys');
DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
DeleteFile('C:\Program Files\Ask.com\UpdateTask.exe');
BC_ImportAll;
executerepair(6);
executerepair(11);
executerepair(17);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
повторить логи.
Загрузить карантин.

новые логи

карантин тоже залил

выполнить:
[CODE]begin
SetAVZPMStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'd:\programs\agnitum\outpos~1\wl_hook.dllc:\progra~1\kasper~1\kasper~1\mzvkbd3.dll', ''));
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), ',,', 'd:\programs\agnitum\outpos~1\wl_hook.dll,c:\progra~1\kasper~1\kasper~1\mzvkbd3.dll'));
BC_DeleteFile('C:\WINDOWS\system32\drivers\phofin.sys');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки повторить логи.

Результат загрузки
Файл сохранён как 100214_131709_virus_4b77cda539ef6.zip
Размер файла 136236
MD5 6ff51b9c41eb84eaed03a523fd4f510b

Файл закачан, спасибо!

и логи

выполнить:
[CODE]begin
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.[/CODE]

C:\WINDOWS\system32\drivers\phofin.sys - через AVZ поищите этот файлик.
Если найдется, то пришлите через карантин.

нет такого файла

Проблемы после последнего скрипта остались?

да ничего не запускается ни антивирусы, ни диспетчер, ни просто обычные программы(

Включаем в бой тяжелую артиллерию.
сделайте лог Gmer. Как делать, смотрите в "Чаво".

У вас файловый вирус, пролечитесь одним из способов
[url]http://virusinfo.info/showthread.php?t=15927[/url]

Гриша, спасибо но не один из способов не подходит( т.к. антивирусы и все программы типа CureIt не запускаются( а компьютера под рукой второго нет только ноут(

Что мешает скачать лайв сиди на ноуте?

CureIT обязательно должен быть записан на CD.

а какой именно лайв сд качать?

Доктор Веб скачайте.

[QUOTE=PavelA;585747]Включаем в бой тяжелую артиллерию.
сделайте лог Gmer. Как делать, смотрите в "Чаво".[/QUOTE]
мож я чего не правильно делаю но гмер делал проверку в районе часа-полтора а потом повис(

[QUOTE='meat93;585815']мож я чего не правильно делаю но гмер делал проверку в районе часа-полтора а потом повис( [/QUOTE]

Не надо делать лог gmer

записал на диск live cd cure it пока cure it лечит вирусы посмотрим что будет в конце)

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 39 минут[/I][/B][/color][/size]

cure it удалил вирусы их было много что делать дальше?

Надо сделать повторную полную проверку CureIt
Если ничего не найдет, то делать логи AVZ

вторую часть не выполнять, пока.
[COLOR="Silver"]Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb ([url]ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso[/url])
или Rescue Disc от Kaspersky Lab ([url]http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/kav_rescue_2008.iso[/url]).
Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы,
как описано здесь ([url]http://virusinfo.info/showpost.php?p=557652&postcount=5[/url]), после чего образ записать на чистый диск,
а затем загрузиться с него на заражённой машине.[/COLOR]

даже при быстрой проверки после перезагрузки системы обнаруживаются вирусы причем с похожими названиями...

Проверьтесь с помощью Rescue Disc от Kaspersky Lab.
Либо с помощью лив сиди от доктора веба, обновленная ссылка [url]ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\женя\local settings\application data\google\update\googleupdate.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )[*] c:\windows\alcmtr.exe - [B]Virus.Win32.Sality.aa[/B] ( DrWEB: Win32.Sector.12, BitDefender: Win32.Sality.OG, NOD32: Win32/Sality.NAU virus, AVAST4: Win32:Sality )[/LIST][/LIST]