Жуткий зверь. HELP

[Scanalex]

Не дает открыть ни один документ Office (выдает надпись "файл инфицирован" или "файл все еще инфицирован"). При попытке сохранить на диск файл с CureIt выдал что-то про неправильный инкриптор и не сохранил. Переименование не помогло. Запустил с флэшки и все было нормально пока он не нашел какой-то зараженный файл, после чего в течении 1-2 секунд CureIt! исчезла с экрана. В safe mode загрузится не дает. Попытка запустить AVZ окончилась неудачно. Секунд 10 висели часики, но он так и не запустился. В списке процессов AVZ отсутствует. Поэтому смог добиться только лог от Hijack.
===
Если постоянно пытаться запустить AVZ, то он появляется на 1-2 сек. и тут-же исчезает. Никаких ошибок при этом не выдается.

[Scanalex]

Спецверсия AVZ ведет себя точно так-же. Запускается на 1-2 секунды и вылетает

[Bratez]

1. Загрузитесь в безопасном режиме.

2. Нижеперечисленные файлы скопируйте в отдельную папку, заархивируйте с паролем virus
C:\WINDOWS\system32\rqvt684.exe
C:\WINDOWS\TEMP\loader.exe
C:\WINDOWS\csrss.exe
C:\Documents and Settings\inter\ie_updates3r.exe

3. Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\rqvt684.exe"
O4 - HKLM\..\Run: [advap32] "C:\WINDOWS\TEMP\loader.exe"  /r
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - Winlogon Notify: xmm13g - xmm13g.dll (file missing)

4. Пуск - Выполнить - cmd,
в командной строке наберите:
sc delete "Google Online Services"
(именно так с кавычками) и нажмите Enter.

5. Перезагрузите компьютер, удалите файлы, перечисленные в п.2, а архив с ними загрузите тут: http://virusinfo.info/upload_virus.php?tid=24124.

6. Попробуйте сделать все логи, если никак - сделайте хоть Hijackthis.

[Scanalex]

Беда в том, что safe mode не работает. При попытке входа в него комп перегружается и все.

[Bratez]

Да, пардон, я пропустил... Ну попробуйте сделать все это в обычном режиме.

[Scanalex]

Если делать все в обычном режиме, то все зависает уже при попытке создать архив с файлами После перезагрузки пробовал фиксить указанные ветки - эффект тот-же, 100% занятость процессора и более ничего.

[drongo]

Грузиться с диска, например bart pe и делать всё выше сказанное.

[Scanalex]

Хорошая вещь bart pe. Вот только файловый менеджер его, ну никак не хочет показывать имена папок, вместо названий вермишель какая-то или просто пустое место, только иконки. Это нормально, или только у меня так?

[Bratez]

Это нормально, или только у меня так?

Видимо, только у вас.
Мой BartPE отлично показывает все имена, в том числе и русские.

[Scanalex]

Вот максимум, что удалось выжать после 2-х дневного шаманства. Несколько раз прогонял CureIt, в результате чего удалось запустить AVZ и восстановить safe mode. Прогнал CureIt под safe mode, нашел кучу всего. Что-то вылечил, что-то удалил. Потом в обычном режиме удалось сделать один лог AVZ. Второй лог получить не удалось, т.к. он опять начал самоликвидироваться. Пробовал запускать его с CD, но тогда непонятно куда он сохраняет лог, пишет что все выполнено, но самого лога на компе нет.

[Scanalex]

При проверке под safe mode (при выключенном восстановлении системы) в основном были найдены и вылечены файлы зараженные Win32.Sector.5. После этого при загрузке в обычном режиме AVZ не запускается (при запуске с диска экзешник удаляется, а с CD вообще не запускается), CureIt запустился только с CD и опять находит экзешники зараженные Win32.Sector.5. От сетки комп был все время отключен.

Добавлено через 1 час 23 минуты

Я так понял, пришло время переставлять Винду?

[pig]

Нет. Проверяйте систему CureIt, пока не изгоните Sector совсем. Можно попробовать это сделать с помощью LiveCD, тогда у зверя будет гораздо меньше шансов возобновиться во время сканирования.

Sector - файловый вирус. Лечится антивирусом хорошо, но очень уж активно размножается.

[Scanalex]

Как лучше проверять, из safe mode или обычной загрузкой? Safe mode-то периодически отрубается

Hijack после установки на диск и попытки запустить его, получает в свой экзешник ентот вирус, и есть ощущение, что его отчет малость подкорректирован вирусом.

Еще настораживает постоянное присутствие в процессах MDM.exe. После того, как его убиваешь руками, становиться возможным запустить AVZ.

[PavelA]

MDM.exe - если это правильный файл, то это дебаггер от МС.

[Scanalex]

Загрузился с LiveCD и, вроде, изгнал демонов. Сейчас делаются логи AVZ, будут готовы - обнародую. Пока из побочных эффектов только остатки Симантека, которые никак не удалить из реестра, и проблема с установкой Registry Organizer (выдает сбой при установке) Радует, что теперь Avast встал без проблем.

[Scanalex]

Вот свежие логи, посмотрите, пожалуйста

[PavelA]

Деинсталляци Симантека (на английском)
http://service1.symantec.com/SUPPORT...eg=hho&src=hot

Пока осталось еще достаточно много зверья. Будем бороться дальше.

[Scanalex]

А как бороться, если CureIt более ничего не находит?

[PavelA]

Выполнить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mmx19g.sys','');
 SetServiceStart('mmx19g', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\hprroi.sys','');
 SetServiceStart('aic32p', 4);
 DeleteFile('C:\WINDOWS\system32\drivers\hprroi.sys');
 DeleteFile('C:\WINDOWS\system32\mmx19g.sys');
BC_ImportDeletedList;
BC_DeleteSvc('mmx19g');
BC_DeleteSvc('aic32p');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин. Сделать новые логи.

[Scanalex]

AVZ сразу выдал "Ошибка: Undeclared identifier: "BS_DeleteService" в позиции 11:17"

Добавлено через 32 минуты

Скрипт выполнился, комп перегрузился. Папка "Quarantine" пуста. Логи выполняются, по готовности выложу.