Перестает работать система.

[omeh2003]

Здраствуйте, дома стоит 3-и компьютера. Первый совсем перестал загружатся. Началось с того что Dr.Web Выдал какую то ошибку при запуске, и после этого система зависла. После перезагрузки обратил внимание что некоторые файлы и каталоги стали менять название, типа было "control" а стало "cntrql". Сразу скачал AVZ и просканировал систему, но ничего ненашлось. После перезагрузки в безопасном режиме AVZ тоже ничего ненашел. При этом неудавлось запустить Guard, выдавалась ошибка. После того как установили AVZдрайвер и перезагрузились, AVZ в логе написал что то типа " приложение avz.exe было изменено, данные сканирования могут быть неверны". С дисков этот компьютер тоже перестал загружатся. Даже при отключенных жестких дисках c Live CD неудается подклюсится к сети и запустить антивирусы. При запуске с CD Linux, во время загрузки пишет что ядро было изменено неизвестным процессом и вешает систему.
В общем этот компьютер перестал работать совсем.

С вторым компьютером через день случилась примерно такая же история. Но там я нестал ничего пытаться исправить, сразу вырубил, и теперь пишу с третьего.

Судя по всему он тоже заражен. Антивирусы нашли пару троянов. Но очень странное что то с интернетом. Файрвол показывает что на этот компьютер каждую секунду кто то ломится по 138,137 порту. И при загрузке в безопасный режим запускает вначале приветствие, хотя раньше этого не было и в самом безопасном режиме настройки какие то странные, разрешие экрана высокое и есть все что и в обычном режиме работы.

Высалаю то что собирает AVZ и Hijeck на этом компьютере...


P.S. Забыл сказать, у первого компьютера начали неправильно отображатся слова на экране даже в таблице которая появляется перед загрузкой системы. В ней написанна информация о устройствах и процессоре. Вот там тоже половина букв уже неправильная.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\цук\Шаблоны\Brengkolang.com','');
 QuarantineFile('C:\DOCUME~1\ЦУК\LOCALS~1\Temp\oUltraf.sys','');
 DeleteFile('C:\Documents and Settings\цук\Шаблоны\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
выполните http://virusinfo.info/showthread.php?t=15927

[pig]

При запуске с CD Linux, во время загрузки пишет что ядро было изменено неизвестным процессом и вешает систему.

По-моему, оперативная память сдохла.

Добавлено через 1 минуту

P.S. Забыл сказать, у первого компьютера начали неправильно отображатся слова на экране даже в таблице которая появляется перед загрузкой системы. В ней написанна информация о устройствах и процессоре. Вот там тоже половина букв уже неправильная.

Точно, железо.

[omeh2003]

выполните скрипт
пришлите карантин согласно приложения 3 правил ...

При выполнение скрипта выдало сообщение "Ошибка прямого чтения файла ". В безопасном режиме та же реакция. По поиску файлы ненаходятся.

выполните http://virusinfo.info/showthread.php?t=15927

Если я "больной" винт подключу к последней вроде бы здоровой машине, я вообще без компов неостанусь?

[omeh2003]

Простите что так долго немог ответить, все 3-и компьютера перестали нормально функционировать. На поломку железа непохоже, слишком одинаковые симптомы на разных машинах. Худо-бедно смог загрузить первую машину и провести иследование системы. Складывается такое ощущение что та дрянь которая сидит в системе загружается при старте раньше всех. Пробовал ставить несколько антивирусов, сразу после установки они находят троян buzus и какойто back door. Но немогут их удалить. Просят перегрузить систему. А после перезагрузки, говорят что с этими файлами все нормально. А некоторых файлов которые они видели до перезагрузки, уже нету. Один из процессов svhost занимает очень много памяти, но если его пытаться удалить, то либо выдается сообщение что у меня нету прав либо система крушится и перезагружается. В avz в пункте меню менеджер внедренных dll показывает приличное кол-во dll из windows/system32 определяет их как keyloger или троян с вероятностью от 0.6 до 99. Но приэтом считает их всех доверенными...
Уже незнаю что дальше делать
P.S. Может это важно, но последняя запись об обнаружение в DrWeb выглядит так:
"07-07-2008 17:27:03 [CL] C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\cache4\opr045U9\data001 - инфицирован Exploit.PDF
07-07-2008 17:27:03 [CL] C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\cache4\opr045U9 - архив инфицирован
07-07-2008 17:27:12 [CL] C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\cache4\opr045U9 - удален
07-07-2008 17:27:12 [CL] C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\cache4\opr045UM - инфицирован Exploit.PDF
07-07-2008 17:27:24 [CL] C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\profile\cache4\opr045UM - удален
07-07-2008 17:32:48
07-07-2008 17:32:48 SpIDer Guard переведён в режим паузы пользователем "OMEH\Admin". Антивирусная защита временно ОТКЛЮЧЕНА.
07-07-2008 17:32:48
07-07-2008 17:34:44
07-07-2008 17:34:44 SpIDer Guard переведён в нормальный режим пользователем "OMEH\Admin". Антивирусная защита ВКЛЮЧЕНА."

Что странно, но я неотключал Guard`а хотя в журнале значится, что он был отключен, а затем включем.