Не загружается в Safe Mode.

[real_sm]

Приветствую.

Начал выполнять правила, дошел до пункта:

2. Проверьте компьютер с помощью AVPTool или CureIt! в безопасном режиме. К найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять. После этого перезагрузитесь в обычный режим.

При попытке загрузиться в Safe Mode компьютер самопроизвольно перезагружается.

Как дальше продолжать?

[vegas]

Попробуйте пролечиться в обычном режиме, потом сделайте логи и выложите их

[real_sm]

2. Проверьте компьютер с помощью AVPTool или CureIt! в безопасном режиме. К найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять. После этого перезагрузитесь в обычный режим.

В безопасном не получилось, попробовал в обычном.
AVPTool перестал работать и исчез из процессов сразу после загрузки.
CureIt! запустился, начал тестировать. Где-то на 20% самопроизвольно закрылся explorer, а на 30% компьютер самопроизвольно перезагрузился. Приаттачиваю лог и карантин. Пароль на архив "virus".

1. Запустите AVZ*. Откройте меню "Файл"=>"Стандартные скрипты" и отметьте пункт "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование,

Сразу после запуска скрипта AVZ завис. Последняя строчка в логе начиналась на "1. Пои".

2. Подключитесь к сети Интернет, запустите AVZ*. Вновь откройте меню "Файл"=>"Стандартные скрипты" и отметьте теперь пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы

Сразу после запуска скрипта AVZ завис. Последняя строчка в логе начиналась на "1. Пои".

3. Запустите HijackThis*. В появившемся окне с пользовательским соглашением нажмите на кнопку I Accept. Если программа не запускается или прекращает работу после запуска, скачайте переименованный файл программы HijackThis здесь и в дальнейшем используйте его. Нажмите на кнопку "Do a system scan and save a logfile".

В процессе поиска (~15-20 строчек) HijackThis завис.

[vegas]

Скачайте отсюда полиморфный АВЗ и сделайте логи
http://narod.ru/disk/12203190000/avz.exe.html
HijackThis переименовывали?

[real_sm]

Скачайте отсюда полиморфный АВЗ и сделайте логи
http://narod.ru/disk/12203190000/avz.exe.html

Скачал, сделал. Приаттачиваю.

HijackThis переименовывали?

В прошлый раз не переименовывал. В этот раз переименовал, все равно завис.
Стал самопроизвольно открываться и загружать какую-то страницу на китайском языке Internet Explorer.

[vegas]

Выполните скрипт

Код:

begin
 SearchRootkit(true,true);
 SetAVZGuardStatus(true);
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\pagefile.pif','');
 QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe','');
 QuarantineFile('C:\NetApi000.sys','');
 QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
 QuarantineFile('C:\WINDOWS\system32\com\netcfg.dll','');
 QuarantineFile('c:\windows\system32\com\smss.exe','');
 QuarantineFile('c:\windows\system32\com\lsass.exe','');
 DeleteFile('c:\windows\system32\com\lsass.exe');
 DeleteFile('c:\windows\system32\com\smss.exe');
 DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
 DeleteFile('C:\WINDOWS\system32\dnsq.dll');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run-','Tok-Cirrhatus-1860');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run-','Tok-Cirrhatus-1860');
 DeleteFile('C:\pagefile.pif');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 BC_ImportALL;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_cleaner.log');
 BC_Activate;
 RebootWindows(true);
end.

Закачайте карантин по ссылке вверху страницы. Попробуйте запустить обычный АВЗ и HijackThis . Сделайте новые логи

[real_sm]

Скрипт выполнил.

Карантин закачал:

Файл сохранён как 090909_164412_virus_4aa7a31c7b0de.zip
Размер файла 252612
MD5 dc0de5b930cba0fbdf9a2f386754f4c7

Обычный AVZ зависает, HijackThis зависает.

Сейчас сделаю новые логи полиморфным AVZ.

[real_sm]

Вот.

[real_sm]

Учитывая срочность лечения, погуглил и выполнил в порядке нумерации скрипты, приаттаченные в файле AVZscripts.zip. После перезагрузки установился антивирус и собрались логи с обычного AVZ и HijackThis. Пофиксил в HijackThis:

O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

Пока что компьютер нормально работает.

Если не трудно, покажите, пожалуйста, что именно в скриптах починило компьютер, и что могло остаться.

[vegas]

Скрипты для каждого конкретного случая пишутся ИНДИВИДУАЛЬНО, использование чужих скриптов может привести к самым печальным последствиям для вашей ОС.
Лечение еще не закончено, у вас действующий файловый инфектор. Возвращаемся к началу раздела Помогите - делаем полное сканирование в безопасном режиме CureIt или AVPTool, а затем в обычном режиме делаем логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\pagefile.pif - Virus.Win32.Xorer.fa ( DrWEB: Win32.HLLP.Rox.16, BitDefender: Worm.Generic.17131, AVAST4: Win32:Xorer-N )
  2. c:\windows\system32\com\lsass.exe - Virus.Win32.Xorer.fa ( DrWEB: Win32.HLLP.Rox.16, BitDefender: Worm.Generic.17131, AVAST4: Win32:Xorer-N )
  3. c:\windows\system32\com\netcfg.dll - Virus.Win32.Xorer.ee ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.DZ, NOD32: Win32/Xorer.NAD virus, AVAST4: Win32:Pinx [Trj] )
  4. c:\windows\system32\com\smss.exe - Virus.Win32.Xorer.dt ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.DU, NOD32: Win32/Xorer.DR virus, AVAST4: Win32:Xorer-I )
  5. c:\windows\system32\dnsq.dll - Trojan-PSW.Win32.Agent.acp ( DrWEB: Win32.HLLP.Rox.16, BitDefender: Trojan.Generic.1735818, NOD32: Win32/Xorer.EY virus, AVAST4: Win32:Xorer-H )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !