Проблемы с вирусами!

Здравствуйте!
По моему какойто крутой вирус подцепил:
Сначала комп вылетал в синий экран 2-3 раза в течение 3 дней, потом при запуске просто стал перегружатся или пытаться загрузится с диска А, но не всегда. Через раз Востанавливает диск С.
После пропали папки Корзина и Мои документы
Недоступен поиск из меню пуск - просто не открывается
ПУСК > ПРОГРАМЫ > ПУСТО, хотя программы на диске С все остались
Исчезли папки из Панели Управления: Свойства папки и еще штук 11 (названия не помню - пустые места от них остались)
Я проверил 6-м Каспером в безопасном режиме - ничего не видит
Проверил [COLOR=black]DrWeb - CureIT в безопасном - тоже 0[/COLOR]
Далее все сделал по Вашей инструкции НО НЕ СМОГ ОТКЛЮЧИТЬ ВОСТАНОВЛЕНИЕ СИСТЕМЫ!!!! Просто не дает!
Помогите, пожалуйста!

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\Outlook Express\setup50.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\Winlognotif.dll','');
RebootWindows(false);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
[CODE]R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://$admin/
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone (HKLM)[/CODE]
Это Вы сами прописывали?
Диск D это Ваш второй логический диск?

D:\autorun.inf он уже в карантине ,тоже пришлите его по правилам .
Можно попробовать починить , если то что предложил махим не поможет , выполнив скрипт :

[code]
begin
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(8);
RebootWindows(true);
end.
[/code]

Я пока только закарантинил троян для дальнейшего изучения. К лечению пока не приступал, так что очень может что после восстановления с помощью AVZ троян восстановит все как было. :(

[QUOTE][/QUOTE]
1. Диск D у меня DVD - ROM физический, вообще у меня два физических диска. Диск C не разбит на логические.
2. Запустил первый скрипт и второй скрипт - как вы и сказали никаких изменений, только значек Эксплорера вернул свой первоначальный вид - ранее он был темно синий ( на каком этапе он стал таким - не знаю - это давно уже).
3. Высылаю файлы с карантина по правилам.
[B][COLOR="Red"]Перечитайте ещё раз правила! По правилам Ваш карантин загрузил я.[/COLOR][/B]

Вы не ответили на мой вопрос из поста №2.
Один файл из карантина очень похож на троян, но его ни один антивирус пока не детектит. Подождем ответ из вир. лаба.

[quote]Это Вы сами прописывали?
Диск D это Ваш второй логический диск?[/quote]
Извините, если вопрос по поводу "сам прописывал" - нет сам ничего не прописывал - т.к. в этом деле LAMER.
[quote][B][COLOR=#ff0000]Перечитайте ещё раз правила! По правилам Ваш карантин загрузил я.[/COLOR][/B][/quote]
Вроде все сделал как написанно в ПРАВИЛАХ... Сархивировал что было в карантине и прикрепил к посту... Вы не получили? Или я что- то не понял в правилах?

[COLOR="Red"][B]Внимание !!!

Не открывайте малоинформативные темы с заголовком "Помогите", "Спасите" и т.д.
Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip),
если Вас об этом не просили.
************************************************** ****************************
Приложение 3. Как прислать запрошенные файлы.

1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу [url]http://virusinfo.info/upload_virus.php[/url] , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Загружать только один (1) раз, если вам кажется что не получилось- спросите об этом в теме.


[/B][/COLOR]

Отправил карантин через "Прислать запрошенные файлы" вверху страницы. Спасибо за терпение.

Не обижайтесь, Вы читать умеете? [QUOTE]По правилам Ваш карантин загрузил я.[/QUOTE]

[QUOTE=MaXim;108742]Один файл из карантина очень похож на троян, но его ни один антивирус пока не детектит. Подождем ответ из вир. лаба.[/QUOTE] Правильно. Будем ждать. Сдавай ;) (с)

Может я ТУПОЙ но я не понимаю смысла фразы "Ваш карантин загрузил я" поскольку я понимаю так что я должен отправить вам сархивированный файл карантина (без сарказма). Я уже сказал что плохо разбираюсь в данной сфере.
[QUOTE]1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу [url]http://virusinfo.info/upload_virus.php[/url][/QUOTE]
Этот пункт я выполнил - вы получили архив?

Вы его в первый раз загрузили не правильно и вместо вас по правилам это сделал модератор, а вы загрузили правильно загруженный модератором архив повторно.

[QUOTE=PEGAS;108758] вы получили архив?[/QUOTE]
Даже 2 раза. :)
[QUOTE]Сархивировал что было в карантине и прикрепил к посту...[/QUOTE]
Вот этого делать было нельзя.
Файлы ещё проверяются, но я не думаю, что в них будут неприятные сюрпризы. Если это не так - сообщу в этом же посте.

Вот теперь все понятно, т.е. мне уже не нужно было 2-й раз отправлять карантин т.к. MaXim уже перенес его куда надо (на препарирование гы-гы). Sorry ребята :) Короче теперь только жду от вас волшебных действий...

[QUOTE=PEGAS;108720]По моему какойто крутой вирус подцепил:
[/QUOTE]
По-моему у Вас с железом проблемы. Хорошо было бы узнать, что на синеве написано было. Попробуйте:
1. Очистить диск от мусора (Очистка Диска + читать [url]http://support.microsoft.com/?scid=kb%3Bru%3B812248&x=18&y=14)[/url]. Там же выберите опцию [U]Удалить старые пункты системного восстановления[/U].
2. Провести дефрагментацию и проверку диска chkdisk : [url]http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/chkdsk.mspx?mfr=true[/url]
3. При наступлении синевы обяэательно эаписать STOP: <код ошибки>, туо ошибки - написан [B]БОЛЬШИМИ_БУКВАМИ[/B] и в нижней части БСОДА - информацию о драйвере.

[quote]1. Очистить диск от мусора (Очистка Диска + читать [URL]http://support.microsoft.com/?scid=k...248&x=18&y=14)[/URL]. [/quote]
следовал за указаниями по ссылке:

[COLOR=gray]Чтобы устранить эту неполадку, выполните следующие действия. 1. Нажмите кнопку Пуск и выберите команду Выполнить. [/COLOR]
[COLOR=gray]2. В поле Открыть введите regedit и нажмите клавишу ВВОД. [/COLOR]
[COLOR=gray]3. Выберите следующий раздел реестра: [/COLOR]
[COLOR=gray]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches [/COLOR]
[COLOR=gray]4. В меню Файл выберите команду Экспорт, нажмите кнопку Рабочий стол, в поле Имя файла введите VolumeCaches и нажмите кнопку Сохранить. [/COLOR]

[COLOR=gray]Примечание. В файле VolumeCaches будет храниться резервная копия раздела реестра VolumeCaches. Если после выполнения данной процедуры возникнут проблемы, восстановите информацию в реестре, используя данную резервную копию. Чтобы восстановить раздел реестра VolumeCaches, дважды щелкните файл VolumeCaches.reg, находящийся на рабочем столе, и нажмите кнопку Да. [/COLOR]
[COLOR=gray]5. Разверните следующий раздел реестра: [/COLOR]
[COLOR=gray]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches [/COLOR]
[COLOR=gray][COLOR=red]6. Удалите раздел Compress old files.[/COLOR] [/COLOR]
[COLOR=gray]7. Закройте редактор реестра. [/COLOR]

[COLOR=red][B]НО у меня в реестре по этому пути просто нет Compress old file[/B] (вообще что такое Compress old file??? - может я опать что-то не понимаю) [/COLOR]
[quote]2. Провести дефрагментацию и проверку диска chkdisk : [URL]http://www.microsoft.com/resources/d....mspx?mfr=tr[/URL][/quote]
...извините с английским туго - русской ссылки нет? + дефрагментацию провести не могу т.к. исчезло все всплывающее меню: ПУСК >ПРОГРАММЫ > ПУСТОТА :(
[quote]3. При наступлении синевы обяэательно эаписать STOP: <код ошибки>, туо ошибки - написан БОЛЬШИМИ_БУКВАМИ и в нижней части БСОДА - информацию о драйвере.
[/quote]
... ну это когда только вывалится в синий экран - а я даже что бы он рестарт сразу не делал не могу настроить т.к. исчезли папки в панели управления
жду помощи...

[QUOTE=PEGAS;108779]НО у меня в реестре по этому пути просто нет [/QUOTE]
может уже и удален. Пуск - Выполнить... написать [I][SIZE="4"]cleanmgr[/SIZE][/I]+ Ввод
[QUOTE]...извините с английским туго - русской ссылки нет? + дефрагментацию провести не могу[/QUOTE]
Пуск - Выполнить... написать [I][SIZE="4"]%SystemRoot%\system32\dfrg.msc[/SIZE][/I]+ Ввод
[QUOTE]... ну это когда только вывалится в синий экран - а я даже что бы он рестарт сразу не делал не могу настроить т.к. исчезли папки в панели управления[/QUOTE]Правым мышем кликнуть на символ [B]Мой компьютер/Свойства/Дальнейшие.../Пуск и воостановление/Установки[/B] и уберите крючок против [B]Автоматически стартовать...[/B].
[HIDE]Просьба перевести на русский... :)[/HIDE]

Присланные файлы чистые.

[B][COLOR="Green"]MaXim - спасибо (и всем остальным ребятам команды)[/COLOR][/B] :)[B][COLOR="green"]![/COLOR][/B] А не мог кто то удаленно (теоретически) все эти вышеперечисленные вещи так настроить - уж больно логично все пропало: как будто настроены изменения так что-бы их невозможно было восстановить в исходное состояние. Как мне кажется если валится железо то не работают какие-то вещи в хаотическом порядке или просто ничего не работает.
Ну, а вообще, какие рекомендации если все чисто и вирусняка нет? Может не морочится и Винды просто снести и заново поставить???

[COLOR="Blue"]И еще вопрос (sorry за offtop): кто может помочь с настройкой файервола роутера D Link DI - 524 (как закрыть порты и настраивать правила для програм - NET перерыл толкового русcкоязычного ничего не нашел... а с "англицким" как я уже говорил у меня туго)? Если не трудно, направьте плз.[/COLOR]

[QUOTE=PEGAS;108816]А не мог кто то удаленно (теоретически) все эти вышеперечисленные вещи так настроить [/QUOTE]
На темы [U]Может быть-Не может быть[/U] Вам нужно к гадалке обратиться ;) .
[QUOTE]Может не морочится и Винды просто снести и заново поставить???[/QUOTE]
Запретить это Вам тут никто не может. :), но попробуйте еще сделать то, что я тута [B]Сегодня в 08:14[/B] сочинил .

Спасибо, поробую вечером и отпишу, если что. :)

[QUOTE=PEGAS;108816]кто может помочь с настройкой файервола роутера D Link DI - 524 Если не трудно, направьте плз.[/QUOTE]
[url]http://forum.dlink.ru/viewtopic.php?t=39462&sid=8dee23f413c109c69917a664c7d4ff1a[/url] ;)

[QUOTE]может уже и удален. Пуск - Выполнить... написать cleanmgr+ Ввод[/QUOTE]
[QUOTE]Пуск - Выполнить... написать %SystemRoot%\system32\dfrg.msc+ Ввод[/QUOTE]
[QUOTE][/QUOTE]
Все сделал - ничего не помогло.
Неплохо бы систему откатить - как запустить откат системы через командную строку "ВЫПОЛНИТЬ" ??????

[QUOTE=PEGAS;108974]Неплохо бы систему откатить - как запустить откат системы через командную строку "ВЫПОЛНИТЬ" ??????[/QUOTE]
попробуйте так:
[CODE]%SystemRoot%\System32\restore\rstrui.exe[/CODE]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]