Posmotrite logi

Posmotrite logi, pls. Ne mogu daje perekluchit' raskladku klaviatury

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
DeleteService('pibeelut');
DeleteService('tueag67ai5souau');
QuarantineFile('0000094F.sys','');
TerminateProcessByName('c:\windows\system32\wuaucldt.exe');
QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
QuarantineFile('c:\documents and settings\admin\wuaucldt.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe,C:\Documents and Settings\Admin\Application Data\fxembk.exe,C:\Documents and Settings\Admin\Application Data\vuout.exe,C:\Documents and Settings\Admin\csrss.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\jlwcbb.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zjexkuzbrps.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\cdrom.sys','');
QuarantineFile('C:\WINDOWS\system32\zoodobousyv.exe','');
QuarantineFile('c:\windows\system32\wuaucldt.exe','');
DeleteFile('c:\windows\system32\wuaucldt.exe');
DeleteFile('C:\WINDOWS\system32\zoodobousyv.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\zjexkuzbrps.sys');
DeleteFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\mnryv.exe,C:\Documents and Settings\Admin\Application Data\fxembk.exe,C:\Documents and Settings\Admin\Application Data\vuout.exe,C:\Documents and Settings\Admin\csrss.exe,explorer.exe,C:\Documents and Settings\Admin\Application Data\jlwcbb.exe');
DeleteFile('c:\documents and settings\admin\wuaucldt.exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFile('0000094F.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe_Reader');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','syncman');
DeleteFileMask('%windir%\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]

После выполнения скрипта перестал грузиться в обычном режиме, вылетает в синий экран (IRGL_NOT_LESS_OR_EQUAL)

В безопасном режиме?

в безопасном грузиться, а в обычном нет

Выполните рекомендации после скрипта из безопасного режима

Ок.

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

карантин отослал. Сейчас сделаю логи

New log's

c:\windows\system32\drivers\cdrom.sys запакуйте с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

В имена этих файлов вирус добавил лишние пробелы перед расширением. Удалите лишние пробелы и верните файлам их настоящие имена
[code]<pre>
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\program files\BlazeVideo\BlazeDVD\mediadetector .exe
c:\program files\Download Master\dmaster .exe
c:\program files\ESET\ESET NOD32 Antivirus\egui .exe
c:\program files\Realtek\InstallShield\azmixersel .exe
c:\program files\VistaDriveIcon\vistadrv .exe
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
</pre>[/code]Вполне возможно, что переключение языков заработает

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\dedahikous.exe

Driver::
xoib6k3yudo

Folder::

Registry::

FileLook::
c:\windows\system32\drivers\cdrom.sys

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

переключение раскладки клавиатуры заработало. Не удается заархивировать cdrom.sys - отказано в доступе

Выполните скрипт для ComboFix

Далее:
1. Загрузитесь с LiveCD или подключите винчестер к другому компьютеру
2. Скопируйте [B]c:\windows\system32\drivers\cdrom.sys[/B] в другую папку и переименуйте
3. Запакуйте переименованный файл с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

карантин выслал

Ничего нового от Вас не получено

карантин virus.rar, в нем cdrom.sys
сейчас повторю

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

извините, не обратил внимания, что разрешена загрузка только zip файлов. Сейчас повторю

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

отправил

c:\windows\system32\drivers\cdrom.sys замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]

Сделайте еще раз лог ComboFix

Новый лог

В логе плохого не видно

В нормальном режиме компьютер запускается?

В нормальном режиме запускается, только опять пропало переключение раскладки клавиатуры, языковой панели нет на панели задач. В настройках "языки и рег.стандарты" кнопка "языковая панель" не доступна.

Запакуйте, пожалуйста, папку [B]C:\Qoobox[/B] с паролем [B]virus[/B] и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Скачайте архив во вложении, распакуйте и внесите информацию в реестр (двойной клик левой кнопкой мыши + подтверждение)

Языковая панель появилась?

Ok

[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]

Сейчас выполню

[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]

Письмо отослал, ComboFix удалил. В архиве файk ctfmon[1]. Я понимаю так, что это exe файл?

В архиве 4 файла с расширением [B]reg[/B]. Информацию из всех внести в реестр (что и как делать с ними написано в предыдущем сообщении)

Страно, скачиваю файл "больным" компом, а врхиве только один файл. А когда скачиваю другим-есть все 4 файла

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Все эти записи в реестре были

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[B]thyrex[/B], спасибо большое за помощь. Не буду больше морочить Вам голову, переустановлю винду и дело с концом. Топик можно закрывать

Логи AVZ сделайте еще раз

ComboFix удалили? Языковая панель не появилась?

сделал все, языковая панель не появилась. Сейчас повторю логи

Информацию в реестр внесли? Проверьте еще раз наличие файла ctfmon.exe

файл ctfmon.exe есть (сравнивал с файлом на рабочем компе), записи в реестре тоже есть. Логи повторил

У Вас в реестре похоже нет информации из файла ctfmon1.reg

Проблема решилась. Топик можно закрывать. To Thyrex спасибо за помощь.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\application data\mnryv.exe - [B]Trojan.Win32.Buzus.dsbk[/B] ( DrWEB: Trojan.DownLoad1.54003, BitDefender: Trojan.Buzus.HG, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\admin\wuaucldt.exe - [B]Backdoor.Win32.HareBot.bei[/B] ( DrWEB: Trojan.DownLoad1.34432, BitDefender: Trojan.Generic.3782008, AVAST4: Win32:Rootkit-gen [Rtk] )[*] \cdrom.sys - [B]Trojan-Dropper.Win32.Mazik.yl[/B] ( DrWEB: BackDoor.Bulknet.477, BitDefender: Rootkit.Kobcka.Patched.Gen, AVAST4: Win32:Cutwail-AH [Rtk] )[*] c:\windows\system32\wuaucldt.exe - [B]Backdoor.Win32.HareBot.bei[/B] ( DrWEB: Trojan.DownLoad1.34432, BitDefender: Trojan.Generic.3782008, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]