Помогите избавиться от Win32/AutoRun.FakeAlert.CH

[Музык@нт]

Здравствуйте, недавно "поймал" вирус Win32/AutoRun.FakeAlert.CH, и не могу от него избавиться!
Началось все с того, что при включении компьютера, на мониторе появилось сообщение "Входной сигнал вне диапозона"... Пришлось подключить к входу S-video телевизор. После загрузки Windows вылетело окно предыпреждения ESS 4 - "В файле таком-то обнаружен вирус - Win32/AutoRun.FakeAlert.CH... файл был удален", как я понял это был драйвер ATI и по-этому монитор "не показывал"...
После этого вылетело еще одно окно ESS 4 - "В файле таком-то обнаружен вирус - Win32/AutoRun.FakeAlert.CH... файл был удален" на этот раз это был драйвер SoundMax и я остался без звука...
И так продолжалось довольно долго... NOD ловил вирусы то в папке WINDOWS/sistem 32/..., то в WINDOWS/temp/..., то в Local Settings... в общей сложности около 60 шт... и все - Win32/AutoRun.FakeAlert.CH...
После "ручного" полного сканирования ESS 4, удаления вирусов, установки удаленных "дров" и последующей перезагрузке компа, вирусы опять появлялись...
Зашел на "Ваш" форум прочитал инструкцию по удалению Win32/AutoRun.FakeAlert... , скачал AVZ, Dr.Web CureIt и HijackThis...
Просканировал весь комп ESS 4... после чего отключил в нем "защиту файлов в реальном времени" и нажал на перезагрузку компа для того, чтобы зайти в безопасном режиме и просканировать комп Dr.Web CureIt... но, зайти в него не могу... - при нажатии на "Безопасный режим" начинается его загрузка, а через несколько секунд появляется "синий экран смерти" и комп перезагружается, останавливаясь опять на экране выбора режимов загрузки... и так до бесконечности...
Пробывал запустить Dr.Web CureIt при обычной загрузке Windows... прога зависает на "подготовке к сканированию"... выключить ее удается только через диспетчер задач"...
После всех этих процедур комп постоянно пытается что-то записать на диск А (floppy)... вставил диск... записался autorun.exe и autorun.inf... последний NOD удаляет а exe остается... через некоторое время все опять повторяется... (((
Помогите, пожалуйста!
Как от этого всего избавиться?

P.S. Да, и еще... после каждой перезгрузке компа, свободное место на диске С постоянно меняется, от 8 Гб до 40 Кб... может это к "делу" и не относится, но все же...

[AndreyKa]

Без логов AVZ и HijackThis вам сложно будет помочь.
Пришлите файл a:\autorun.exe (с дискеты) так, как написано в приложении 2 Правил.

[Rene-gad]

+ AndreyKa
Пролечитесь от файловых вирусов, загрузившись с LiveCD. Информация и возможные варианты: http://virusinfo.info/showthread.php?t=15927

[Музык@нт]

Без логов AVZ и HijackThis вам сложно будет помочь.
Пришлите файл a:\autorun.exe (с дискеты) так, как написано в приложении 2 Правил.

Извините но, не получится... после проверки компа AVZ, этого файла - autorun.exe - я не нашел... ни на дискете, ни на флешке... (может, оно и к лучшему!)

[Музык@нт]

Вот логи AVZ и HijackThis ...

Жду помощи...

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('logon.exe','');
 DeleteService('B343F2181206B9E0');
 QuarantineFile('C:\Documents and Settings\Aleks\Рабочий стол\B343F2181206B9E0\B343F2181206B9E0','');
 DeleteFile('C:\Documents and Settings\Aleks\Рабочий стол\B343F2181206B9E0\B343F2181206B9E0');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин по Правилам.

[Музык@нт]

Выполнить скрипт:...

Скрипт выполнил, AVZ написал, что "скрипт выполнен без ошибок"...
После этого появилось окно NOD`а - "Файл - C:\WINDOWS\system32\Drivers\vdmwndm4.sys - вероятно модифицированный Win32/Agent троянская программа, удален, помещен в карантин."
Комп перезагрузился...
При загрузке Винды, появилось окно NOD`а - "Файл - C:\DOCUME~1\Aleks\LOCALS~1\Temp\rdl1.tmp - Win32/AutoRun.FakeAlert.CH - червь, удален, помещен в карантин."

Прислать карантин по Правилам.

А я, разве, не по правилам прислал? Или это насчет новых логов?!

[Музык@нт]

Новые логи:

[Музык@нт]

Насчет карантина... извините, сразу не понял...
Файл выслал... получили?
Жду ответа...

[PavelA]

Профиксить:

Код:

F2 - REG:system.ini: Shell=Explorer.exe logon.exe

[Музык@нт]

Профиксить:...

Извините, я в "этом" непонимаю... я больше по звуку ... объясните, пожалуйста, как это сделать и в какой проге?

[PavelA]

http://virusinfo.info/showthread.php?t=4491 - прочитайте здесь.

[thyrex]

+ к совету PavelA

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\logon.exe','');
 DeleteService('B343F2181206B9E0');
 DeleteFile('C:\Documents and Settings\Aleks\Рабочий стол\B343F2181206B9E0\B343F2181206B9E0');
 DeleteFile('C:\WINDOWS\system32\logon.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Музык@нт]

PavelA
Профиксил... что делать дальше?

[thyrex]

Сообщение №13 прочтите

[Музык@нт]

Сообщение №13 прочтите

Спасибо за подсказку!

Скрипт выполнил... после этого появилось окно NOD`а - "Файл - C:\WINDOWS\system32\Drivers\vdmwndm4.sys - вероятно модифицированный Win32/Agent троянская программа, удален, помещен в карантин."
Этот файл, случайно, не файл AVZ, что-то NOD на него "обзлился"?!

После перезагрузки NOD молчит...
Карантин отправил.
Вот новые логи:

[Музык@нт]

thyrex
Насчет карантина... я поторопился, говоря, что отправил.... при загрузке файла, появляется окно - "Ошибка загрузки, файл уже был загружен..."

[thyrex]

Ладно, обойдемся без карантина

Лог gmer сделайте

[Музык@нт]

thyrex

Вот лог Gmer:

[Музык@нт]

thyrex

Лог Gmer прикрепил... какие действия производим дальше?