Вирусный ноутбук :-)) Win32.Sector.17

[Vedmedya]

Првиетствую! Прошу о помощи, помогите вылечить компьютер от вирусов.
Dr. Web CureIt! при быстрой проверке находит Win32.Sector.17 по адресу c:\windows\system32.
На флешку закидывает два файла авторан и kibe.pif
Диспетчер задач деактивный? При нажатии ctrl+alt+del - ответ Диспетчер задач отключен администратором.
Так же не могу прислать логи, поскольку при открытии приложения в том числе АВЗ, через 1-3 сек. закрывается, тоже самое происходит при попытке обновления антивируса НОД32.
Не имею вохможности войти в Safe mode - компьютер перезагружается и загружается только в обычном режиме.
Плиз подскажите с чего начать?

[eifory]

Начните с этого - http://virusinfo.info/showpost.php?p=306441&postcount=2.
Нужно загрузиться с DrwebLivecd и выполнить полную проверку.

[Vedmedya]

Первую часть сделал. Скачал переписал на СД, запустил, все проверил, вылечил и удалил.
Плиз подскажите как дальше действовать?

[eifory]

- флешки тоже проверьте!

Дальше попробуйте сделать логи по правилам.

[Vedmedya]

мне выходить из DrwebLivecd? загружаться в нормальный режим Windows? или это можно сделать как-то в DrwebLivecd?

[eifory]

В режиме DrWebLiveCd - выберите проверку соответствующих флешкам разделов.
Потом диск вытащить и загрузиться в нормальном режиме. Сделать логи по правилам.

[Vedmedya]

Так и сделал, перезагрузился. Симптомы теже:-( на флешку закидывает bchoq.cmf, autorun.inf
AVZ запускаю и через секунду он закрывается.
В безопасный режим по прежнему зайти не могу, но процесс загрузки начинается, доходит до загрузки из папки систем32, потом на доли секунды появляется синее окошко с белыми буквами, которые прочесть не успеть, а дальше перезагрузка.

[eifory]

AVZ можно переименовать например в pooh.pif. Если не поможет - попробуйте скачать его заново на здоровой машине.

[Vedmedya]

сейчас перезагрузился с DrwebLivecd проверяю все заново. Валом зараженых infected with Win32.Sector.17.
Все файлы с разрешением *.exe

[Vedmedya]

Долгожданные логи.

[eifory]

- очистите все корзины и временные файлы Internet Explorer!
- выполните скрипт в AVZ (файл-выполнить скрипт. Подробнее):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 StopService('abp470n5');
 QuarantineFile('C:\RECYCLER\S-1-5-18\Dc25614.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-18\Dc23633.exe','');
 QuarantineFile('E:\iuvid.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\drivers\jklmqn.sys','');
 DeleteService('abp470n5');
 DeleteFile('C:\WINDOWS\system32\drivers\jklmqn.sys');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\iuvid.exe');
 DeleteFile('C:\RECYCLER\S-1-5-18\Dc23633.exe');
 DeleteFile('C:\RECYCLER\S-1-5-18\Dc25614.exe');
BC_ImportALL;
 BC_DeleteSvc('abp470n5');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.

- компьютер перезагрузится
- пришлите карантин (Правила - приложение 3)

Далее я бы посоветовал пройтись в безопасном режиме утилитой http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

- сделайте новые логи

[Vedmedya]

вроде как приготовился к перезагрузке, убрал все значки, высветил завершение работы убрал её и остановился. Сейчас на экране осталась только картинка на рабочем столе и курсор от мышки, который в свою очередь реагирует на перемещение мышки.
Что делать?

Добавлено через 1 минуту

Сорри :-) все нормально перезагрузился сам.

Добавлено через 12 минут

Добавлено через 55 секунд

карантин отправил. setup_7.0.0.290_23.05.2009_13-14 - скачал.
Безопасный режим не работает. Комп перезагружается.

Добавлено через 11 минут

Диспетчер задач неактивный.

Добавлено через 1 минуту

после перезагрузки компа, снова начал засырать флешку автораном с вирусом.

[eifory]

- в AVZ :
файл - восстановление системы - 10.Восстановление настроек загрузки в SafeMode - выполнить
- попробуйте проверку AVPTool в безопасном режиме

[Vedmedya]

есть.
В AVPTool ставить галочки возле проверки "Мои документы", "Почтовые базы", "Мой компьютер", "Локальный диск С" ?
Полную проверку делать?

[eifory]

Отметить все разделы (флешки тоже), почту и мои документы не обязательно.
Выберите настройка - действие - не запрашивать. Вперед

[Vedmedya]

Вроде все проверил, все поудалял. Признаков вирусов вроде не наблюдактся.
Но диспетчер задач по прежнему неактивный. - Дальнейшие действия мои какие? :-))
И подскажите пожалуйста какой антивирус лучше установить аваст проф. или нод32 3.0.669 (оба с ключами и обновлениями).
И еще вопрос к этому компьютеру часто приходят вирусные флешки, что и является источником всех бед, может выбрать антивирус с учетом этого?.
Благодарю за помощь.

Добавлено через 36 минут

Редактирование реестра запрещено администратором сети.

[eifory]

- в AVZ :
файл - восстановление системы - отметьте пункты 11 и 17 - выполнить
Позже по остальным вопросам напишу.

[Vedmedya]

Все сделал, нареканий нет:-)
Тотал командер на диске С видит папку в виде корзины "RECYCLER" в ней папка такая же папка в виде корзины с названием "S-1-5-18" на 3,5 Гб. - дальнейшее открытие этой папки не представляется возможным. Её удалить можно?

[eifory]

- все корзины почистить , временные файлы в папках temp удалить
- в AVZ :
файл - мастер поиска проблем - системные проблемы (степень опасности - все проблемы) - пуск - отмечайте автозапуск со сьемных носителей и жестких дисков - исправить отмеченные проблемы
- сделать логи AVZ и HiJackThis по правилам.

Что касается антивирусов - главное чтобы обновлялся. Попробуйте поочереди - может понравится что-то. А себе я поставил Avira.

[light59]

И подскажите пожалуйста какой антивирус лучше установить аваст проф. или нод32 3.0.669 (оба с ключами и обновлениями).
И еще вопрос к этому компьютеру часто приходят вирусные флешки, что и является источником всех бед, может выбрать антивирус с учетом этого?.
Благодарю за помощь.

Почитайте это http://virusinfo.info/showthread.php?t=30339, полезно будет...