Вирус. Всегда перезагружается виндовс

[Nik]

День добрый!
Искал ключ для переводчика ПРОМТ, зашол на сайт и сразу же заплакал Касперский, обнаружил 3 вируса. Сразу же перестал рабатать интернет, винамп, Task manager не могу запустить тоже. (Task Manager has been disabled by your Administrator) Касперский ничего не нашол. Весь комп тормозил... После перезагрузки компа, дальше загрузки виндовса не мог попасть, только через сейф мод.(комп всегда перезагружается не заходя в виндовс) Заходя через сейф мод увидел ещё одного пользователя "Administrator".
Как удалить второго пользователя? (поможет это)?
System Restore тоже не получаеться зделать.(число и месяц не могу выделить)

[MOCT]

День добрый!
Искал ключ для переводчика ПРОМТ, зашол на сайт и сразу же заплакал Касперский, обнаружил 3 вируса. Сразу же перестал рабатать интернет, винамп, Task manager не могу запустить тоже. (Task Manager has been disabled by your Administrator) Касперский ничего не нашол. Весь комп тормозил... После перезагрузки компа, дальше загрузки виндовса не мог попасть, только через сейф мод.(комп всегда перезагружается не заходя в виндовс) Заходя через сейф мод увидел ещё одного пользователя "Administrator".
Как удалить второго пользователя? (поможет это)?
System Restore тоже не получаеться зделать.(число и месяц не могу выделить)

сделайте ИССЛЕДОВАНИЕ системы с помощью AVZ, а не простое сканирование

пришлите на исследование файлы по правилам форума (искать из AVZ с включенным противодействием руткитам):
C:\Documents and Settings\nik\Local Settings\Temporary Internet Files\Content.IE5\MZUJYDEF\winudu[1].exe
C:\Documents and Settings\nik\Local Settings\Temporary Internet Files\Content.IE5\MZUJYDEF\winudu[2].exe
C:\System Volume Information\_restore{E72F3D8F-E4AE-4836-BDB7-FD69D2936019}\RP135\A0164074.exe
rpcc.exe
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\WINDOWS\system32\aspi24159.exe
C:\WINDOWS\system32\agss32.dll

[RiC]

Ещё пришлите -
C:\WINDOWS\system32\stonedrv.exe

[Alexey P.]

Шикарный набор. Скорее всего через VML эксплоит.
Должны быть еще:
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\adir.dll
C:\WINDOWS\system32:lzx32.sys
(его winmad[1].exe дропает)
Поискать по маске C:\WINDOWS\system32\vx*.*
Поискать по маске C:\WINDOWS\system32\dlh9jkdq*.*

[Nik]

Спасибо за ответы!
А есть ли AVZ на англ. языке?? У меня Вин не читает русский, всё в "?????"

[Shu_b]

А есть ли AVZ на англ. языке?? У меня Вин не читает русский, всё в "?????"

Есть, там: http://z-oleg.com/avz4en.zip

[Nik]

Англ. версию скачал. Спасибо!
Будем делать исследование.

[Alexey P.]

Кстати говоря, что за сайт, где Вы всё это нашли ?

[Nik]

Переводчик скачал с translate.ru, ключ искал через яндекс (сайт не помню, помню порно сайт выскочил)
Приложил исследование.
Что посоветуете?

[AndreyKa]

Итого, найдите и пришлите, как описано в Приложении 2 Правил, следующие файлы:

Код:

C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\Documents and Settings\nik\Desktop\Programs\Antiviruses - Kaspersky 4 & 5 + keys, DrWeb + keys, McAfee, TRemover + keys\Antiviruses - Kaspersky 4 & 5 + keys, DrWeb + keys, McAfee, TRemover + keys\FixKlez.com 
C:\Documents and Settings\nik\Local Settings\Temporary Internet Files\Content.IE5\MZUJYDEF\winudu[1].exe
C:\Documents and Settings\nik\Local Settings\Temporary Internet Files\Content.IE5\MZUJYDEF\winudu[2].exe
C:\System Volume Information\_restore{E72F3D8F-E4AE-4836-BDB7-FD69D2936019}\RP135\A0164074.exe
C:\WINDOWS\system32:lzx32.sys
C:\WINDOWS\system32\adir.dll
C:\WINDOWS\system32\agss32.dll
C:\WINDOWS\system32\aspi24159.exe
C:\WINDOWS\system32\dlh9jkdq*.*
C:\WINDOWS\system32\stonedrv.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\vx*.*
rpcc.exe

[Nik]

Всё, что нашол AVZ отправил.

[MOCT]

Всё, что нашол AVZ отправил.

присланные файлы:
C:\Documents and Settings\nik\Desktop\Programs\Antiviruses - Kaspersky 4 & 5 + keys, DrWeb + keys, McAfee, TRemover + keys\Antiviruses - Kaspersky 4 & 5 + keys, DrWeb + keys, McAfee, TRemover + keys\FixKlez.com - чистый
C:\System Volume Information\_restore{E72F3D8F-E4AE-4836-BDB7-FD69D2936019}\RP135\A0167116.exe - троян Trojan-Dropper.Win32.Agent.apb
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll - троян Trojan.Win32.Agent.oh
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll - троян Trojan-Proxy.Win32.Xorpix.ao
C:\WINDOWS\system32\rpcc.exe - троян Trojan-Dropper.Win32.Agent.awi
C:\WINDOWS\system32\dlh9jkdq8.exe, C:\WINDOWS\system32\vx.tll - мусор, удаляйте

троянские программы нужно удалить, например отложенным удалением из AVZ

[Nik]

Всё удалил через AVZ (File-Delayed file deletion)
Комп всеравно всегда перезагружается.Тут я только через сейф мод.
Прислать исследование AleXey_P и Ric?

[MOCT]

Комп всеравно всегда перезагружается.Тут я только через сейф мод.
Прислать исследование AleXey_P и Ric?

сделайте новые логи и прикрепите их к теме

[Nik]

Alexey P:
Искал по маске C:\WINDOWS\system32\vx*.*
--------------
Log of the AVZ antivirus utility version 4.20
Scanning started at 9/27/2006 11:30:27 PM
Database loaded 49931 signatures, 2 NN profile, 55 scripts cure, AV base from 27.09.2006 13:03
Heuristics microprograms loaded : 360
Digital signatures of system files loaded: 51699
Heuristic analyzer mode Medium heuristics level
Cure mode: disabled
System is loaded in the Safe Mode with Network mode
1. Searching for rootkits and programs that intercept API functions
1.1 Searching for user-mode API hooks
Analysis kernel32.dll, export table found in section .text
Analysis ntdll.dll, export table found in section .text
Analysis user32.dll, export table found in section .text
Analysis advapi32.dll, export table found in section .text
Analysis ws2_32.dll, export table found in section .text
Analysis wininet.dll, export table found in section .text
Analysis rasapi32.dll, export table found in section .text
Analysis urlmon.dll, export table found in section .text
Analysis netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver is successfully loaded
SDT found (RVA=082B80)
Kernel ntoskrnl.exe located in the memory at the address 804D7000
2. Scanning the memory
Processes found: 14
Modules loaded: 182
Memory check completed
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors have been detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Check disabled by the user
7. Heuristic system check
>>> Pay attention - task manager is blocked
Check completed
Files scanned: 389, extracted from archives: 0, malicious programs found 0
Scanning terminated at 9/27/2006 11:30:48 PM
Scanning lasted 00:00:20
--------------

сделайте новые логи и прикрепите их к теме

Отправил.

[MOCT]

Отправил.

1. просили прикрепить логи к теме
2. не нужно отправлять по несколько раз одни и те же файлы

[Nik]

Извеняюсь!

Сегодня прикреплю логи.

[Nik]

Свежие логи:

[AndreyKa]

Свежие логи:

AVZ меню Сервис -> Менеджер автозапуска -> удалить строки (кнопка с крестиком) с упоминанием следующих файлов:
C:\Documents and Settings\All Users\Documents\Settings\artm_new.dll
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
C:\WINDOWS\system32\agss32.dll
C:\WINDOWS\system32\stonedrv.exe
rpcc.exe

PS. Будьте внимательны, не удалите ничего лишнего.

[AndreyKa]

AVZ меню Сервис -> Менеджер файла Host

Оставьте там только строчку:
127.0.0.1 localhost

все остальные, расположенные ниже, удалите.