Прошу помощь в лечении заражённого ПК

[Havik]

Здравствуйте. Обращаюсь к вам за помощью в лечении компьютера от вирусов, Касперский Интернет Секьюрити седьмой версии перестал запускаться, в диспетчере задач можно увидеть что загруженность центрального процессора достигает 100%, с помощью утилит (IceSword122en, VirusRemovalTool_7.0.0.223_29.08.2008_11-36), которыми надо было провести сбор информации и прикрепить файлы к этой теме - была проведена проверка на вирусы и попытка от них избавиться - итог: эти утилиты тоже перестали запускаться но я смог получить название зловредных программ, безопастный режим перестал функционировать, замечено странное поведение компьютера (вирус управляет хранителями экрана и т.д.). Доступ к интернету отсутствует (сейчас я работаю за другой машиной). Пробовал переустанавливать антивирусник, редактировать работу реестра и объектов автозапуска, также провёл чистку от вирусов ручным методом (насколько позволяет опыт) - результат нулевой.

 

Полазив по просторам инета я нашёл кое-какую информацию о некоторых из вирусов, заразивших ПК:

 

1. Virus.Win32.Xorex.du-fb--ed.Trojan-PSW.Win32.Agent.acp (Trojan-PSW.Win32.Agent.a) - предназначение кража паролей

2. Win32.SpyAway.ag (not-a-virus:FraudTool.Win32.SpyAway.a) - 13 окт 2007, относится к зоне риска

3. Not-a-virus:RiskTool.Win32.HideWindows - разные опасные утилиты

4. AdWare.Win32.MyWebSearch.bm (not-a-virus:AdTool.Win32.MyWebSearch.bm) - 22 окт 2007, относится к зоне риска

5. RemoteAdmin.Win32.RAdmin.n (Backdoor.Win32.RAdmin.n) - троянская программа удаленного администрирования

6. FraudTool.Win32.SpyAwey.ad

 

В скобках указано то название, которое более подходит под модификацию заданного поиску вируса, вирусы были обнаружены при проверке программой VirusRemovalTool_7.0.0.223_29.08.2008_11-36, которая тоже перестала запускаться!

 

Заражение произошло с флэш карты, хотя KIS 7 ничего не обнаружил.

 

Пожалуйста помогите вылечить ПК, на нём находится достаточно важная информация, формотирование которой нежелательно.

 

P.S. оформить тему правильно не могу, т.к. антивирусные программы не запускаются.

Изменено 1 сентября, 2008 пользователем Havik

[Falcon]

А если AVZ переименовать как-нибудь? Без ее логов тяжело придется.

Изменено 1 сентября, 2008 пользователем Falcon

[Havik]

А если AVZ переименовать как-нибудь? Без ее логов тяжело придется.

Я скачал эту программу 4 дня назад, работал в ней мало пока она работала. Сейчас даже после правильного удаления и новой установки антивирусный софт не пашет. Если есть варианты, можно по подробней что делать писать, а то вдруг не пойму. Логи у установочника, это как?!

[Falcon]

Вот попробуйте вот это:

http://rs310.rapidshare.com/files/116949749/pingpong.pif

 

Это переименованный спец. AVZ Ждем логи.

[ТроПа]

с помощью утилит (IceSword122en, VirusRemovalTool_7.0.0.223_29.08.2008_11-36), которыми надо было провести сбор информации и прикрепить файлы к этой теме

Пардон это где написано, что нужны логи IceSword и VirusRemovalTool ?

[Kapral]

VirusRemovalTool

Это AVPTool?

[ТроПа]

Kapral , похоже что да. просто в правилах не написано что нужен его лог. притом интересно как пользователь делал логи IceSword.

Изменено 2 сентября, 2008 пользователем wise-wistful

[ROME'D'ROS]

Havik ,а Восстановление системы работает?Если запускается - сделай...У меня был похожий случай,всё отказывалось запускаться,безопасный здох,я сделал Откат системы,и всё встало на свои места...Попробуй...

[Havik]

Восстонавление системы не работает. Проги эти вычитал н этом форуме, с помощью одной скрипты запускать, а с помощью другой патчить системные файлы. Я уже понял что тупанул насчёт прог, спасибо за AVZ, скачал сделал логи. Плюс заметил что 4 процесса от вирусов идут и 4 в автозагузке прописаны. Через msconfig пытался что-либо сделать, пишит зайдите под администратором или отказано в доступе! Ну это вирус наверно, т.к. только 1 учётная запись под администратором.

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

 

Покапавшись в системе может можно было бы что-нибудь придумать (установить например другой антивирусник, просто предпочитаю КАВ или КИС и менять продукт не собираюсь), но какой-то из вирусов отключает касперского, и касперский (KIS 7) по ходу дела - его не видит. Если бы вы добавили этот вирус в антивирусные базы..., я думаю это не плохая идея.

[Falcon]

D:\pagefile.pif - часть Trojan-PSW.Win32.WOW.a (рекомендации возможных действий прилагаются), либо придаток Xorer'а.

 

d:\windows.0\system32\com\smss.exe, d:\windows.0\system32\com\lsass.exe - подозреваю Virus.Win32.Xorer.ec (или иную модификацию).

 

Ждем, что скажут спецы.

Изменено 3 сентября, 2008 пользователем Falcon

[Havik]

часть Trojan-PSW.Win32.WOW.a (рекомендации возможных действий прилагаются),

Самая основная проблема, по которой я к вам обратился была в том, что ни один антивирусный продукт (Kis 7, IceSword122en, VirusRemovalTool_7.0.0.223_29.08.2008_11-36) не запускался. Это тоже вызвано действиями этого троянца? По возможности вы не могли бы предоставить исполняемый скрипт, для полной уверенности, ведь не один же вирус, вдруг я не смогу всё сделать првильно как указано в ссылке, то я бы запустил бы скрипты через AVZ. Имхо.

Falcon, так же все кто помогает мне с моим горем огромное спасибо.

Ждем, что скажут спецы.

Ждём.

[Falcon]

Самая основная проблема, по которой я к вам обратился была в том, что ни один антивирусный продукт (Kis 7, IceSword122en, VirusRemovalTool_7.0.0.223_29.08.2008_11-36) не запускался. Это тоже вызвано действиями этого троянца?

Havik, нет, это скорее Xorer шалит.

не могли бы предоставить исполняемый скрипт, для полной уверенности, ведь не один же вирус, вдруг я не смогу всё сделать првильно как указано в ссылке, то я бы запустил бы скрипты через AVZ.

Могли бы, не сомневаюсь, что я в состоянии вам помочь, но логи спецов иногда куда полнее, поэтому подождем немного, чтобы уже никакой заразе не дать шанса выжить

Изменено 3 сентября, 2008 пользователем Falcon

[Гриша]

У вас Xorer готовтесь к бою

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SetAVZGuardStatus(True);
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
DeleteFile('D:\windows\system32\com\lsass.exe');
DeleteFile('D:\windows\system32\com\smss.exe');
DeleteFile('D:\WINDOWS\system32\com\netcfg.dll');
DeleteFile('D:\WINDOWS\system32\com\netcfg.000');
DeleteFile('D:\WINDOWS\system32\dnsq.dll');
DeleteFile('D:\pagefile.pif');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\NetApi000.sys');
DeleteFile('D:\WINDOWS\System32\drivers\alg.exe');
DeleteFile('D:\037589.log');
DeleteFile('D:\WINDOWS\system32\AntiTool.exe');
DeleteFileMask('D:\', 'lsass.exe.*', false);
DeleteFileMask('D:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
BC_ImportALL;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
ExecuteRepair(6);
RebootWindows(true);
end.

 

Повторите логи...

[MONKEY765]

Поще переустановить систему. А вообще надо иметь Acronis True Image - 10-15 мин и система OK!

[Elly]

Поще переустановить систему.

нет, не проще.