Internet Security заблокировал систему

[Nucleus]

Здравствуйте!
Подцепили заразу под видом обновления "Адоб Флэш Плеера"
Вылезло окно Internet Security со списком "обнаруженного вредоносного ПО" и варианты: Лечить, Удалить... выбираешь - появляется окно с сообщением об отправке смс.
Антивирусные утилиты не работают - не запускаются или приводят к перезапуску. Редактор реестра тоже. Вкладка восстановление системы отсутствует. Работает зато msconfig. В безопасном режиме все тоже самое.
Были проделаны следующие попытки лечения:
1. запуск Винды с восстановительного диска ERD Commander;
2. лечение утилитой nod32_20100116_4778.exe, которая нашла и удалила множество зараженных объектов с именем *.Криптик.Троян и Z-Bot
3. Лечение антивирусом Dr.Web - обнаружен и удален вирус Троян.Винлок
После всех этих мероприятий окно при запуске винды не вылезло (хотя мелькал что-то, видимо "остатки"), антивирусы и системные утилиты по прежнему не запускаются. Блокированы установка оборудования - выходит сообщение: "не удалось установить устройство. обратитесь к поставшику ПО". Такое было при подключение флэшки и усб-мыши. Все exe.файлы запускаются с ошибкой, однако запускаются. Удалось сделать в безопасном режиме лог-файл программы HijackThis.

[PavelA]

Gmer запускается?

[Nucleus]

gmer не запускается - выходит не само окно, а рамка того блокировочного окна и пропадает тут же. это в безопасном режиме.
В среде ERD Commander запускается, но прежде выводит 2 ошибки: create file ".sys" access denied. И the system cannot find the file specified.

[PavelA]

Значит, пойдем по другому пути пойдем: делаем лог МБАМ, делаем лог GetSystemInfo

[Nucleus]

http://www.getsysteminfo.com/read.ph...b6a2d8b0b07203

МБАМ установилась только в нормальном режиме, после сообщения об ошибке запуска.

[PavelA]

C:\WINDOWS\system32\dllcache\c_936.nls:GhtTEvVCH4X YpRlMFwxS - вот этого куда-нибудь скопируй загрузившись с Лайв СД, а потом удали.

Кстати, вирус еще Аваста заблокировал.

[Nucleus]

Сделал. Теперь антивирусные утилиты запускаются и работают! Выполнил стандартные скрипты и сделал логи AVZ. Что дальше?

[PavelA]

выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('J:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\inf\netejxmp.inf:GhtTEvVCH4XYpRlMFwxS:$DATA','');
 DeleteFile('C:\WINDOWS\inf\netejxmp.inf:GhtTEvVCH4XYpRlMFwxS:$DATA');
 executeRepair(13);
 executeRepair(6);
 executeRepair(11);
 executeRepair(17);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторить логи снова.
Проверить работу а/вируса.

[Nucleus]

Остался по-прежнему запрет на установку устройств. выходит сообщение: ошибка программы установки устройства. Windows не удается загрузить программу для установки Mouse (или Volume). Обратитесь к поставщику. (в первом случае для усб-мыши, во втором - флэшка). Успешно установился антивирус Avira. Аваст из панели управления не удалился, вышла ошибка при удалении и предложение удалить из списка.

Как я понял, самого вируса в системе уже нет? Осталось только залечить последствия его действий и на этом можно считать работу успешно выполненной. Или нет? Получается что вот этот файлик C:\WINDOWS\system32\dllcache\c_936.nls:GhtTEvVCH4X YpRlMFwxS - блокировал все антивирусы и манипулировал действиями системы - он и есть вирус?

[PavelA]

Получается что вот этот файлик C:\WINDOWS\system32\dllcache\c_936.nls:GhtTEvVCH4X YpRlMFwxS - блокировал все антивирусы и манипулировал действиями системы - он и есть вирус?

Этот + второй, которого скриптом убивали.

Добавлено через 1 минуту

Надо лог GSI сделать. Это утилита с сайта Касперского. При помощи нее разберемся с Авастом. Скорее всего про запрет на установку устройств в ее логе тоже увидим.

[Nucleus]

Сделано.

http://www.getsysteminfo.com/read.ph...6acdafa960e21b

Что это за вирусы пошли такие, что антивирусы не помогают и без помощи профессионалов-программистов не обойтись? Как же быть "простым смертным" теть Машам и другим пользователям Авастов, Авир, Нодов и прочих, у которых нет средств на покупку Каспера полнофункционального например? Интернет-то сейчас и компьютеры почти у каждого третьего есть...
Вам спасибо ребята, что помогаете!!!

[Nucleus]

проблема с ошибкой решилась копированием в Windows\System32 файла sfcfiles.dll с другой машины. На "больном" этого файла вообще не было, видимо вирь постарался. Спасибо ребята, большое!

[PavelA]

В редакторе реестра найти:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths

Упомининие об Авасте удалить.

Если боитесь это делать, то попробуйте: AVZ -- Файл -- Восст. системы -- п.6 отметить и выполнить