Попался какой-то вирус, который не лечится

[thyrex]

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[DIMANDUC]

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

вот

лог1.log

[thyrex]

Скачайте IceSword

В нижнем левом углу нажмите Files. Появится аналог проводника

Найдите файлы

C:\windows\System32\drivers\89211389.sys
C:\windows\system32\drivers\ovfsthceqfcetgrusingrurkjedbxtxbkpmenn.sys
C:\windows\system32\ovfsthptgyxmmroxdivpnawwsgxkurahwqbwsb.dll
C:\windows\system32\ovfsthpjumvlkeaynkbqfbfpfvkpdojkpocyjh.dat
C:\windows\system32\ovfsthanmdgblvgtqwudpctyxjbvvaioxsnhvg.dll
C:\windows\system32\ovfsthxsdcqfsqomheeenighdnamwetmebkebc.dll
C:\windows\system32\ovfsthcqjfhyxhuwvmyoumgabfstbawxlipnag.dat

Сначала правой кнопкой мыши Copy to (скопировать куда-нибудь, запаковать с паролем infected и отправить на newvirus@kaspersky.com, указав в письме пароль). Придет ответ сообщите

Затем правой кнопкой мыши - force delete каждому

 

Поискать и эти

ovfsthwi.dll
ovfsthff.dll

Также поступить с ними

 

Выберите Registry. Найти и удалить ветви реестра

HKLM\SYSTEM\ControlSet002\Services\89211389
HKLM\SYSTEM\ControlSet002\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk
HKLM\SYSTEM\ControlSet002\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main 
HKLM\SYSTEM\ControlSet002\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\delete 
HKLM\SYSTEM\ControlSet002\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\injector
HKLM\SYSTEM\ControlSet002\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\tasks
HKLM\SYSTEM\ControlSet002\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\modules
HKLM\SYSTEM\CurrentControlSet\Services\89211389
HKLM\SYSTEM\CurrentControlSet\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk
HKLM\SYSTEM\CurrentControlSet\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main 
HKLM\SYSTEM\CurrentControlSet\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\delete 
HKLM\SYSTEM\CurrentControlSet\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\injector
HKLM\SYSTEM\CurrentControlSet\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\tasks
HKLM\SYSTEM\CurrentControlSet\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\modules
HKLM\SYSTEM\ControlSet004\Services\89211389
HKLM\SYSTEM\ControlSet004\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk
HKLM\SYSTEM\ControlSet004\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main 
HKLM\SYSTEM\ControlSet004\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\delete 
HKLM\SYSTEM\ControlSet004\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\injector
HKLM\SYSTEM\ControlSet004\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\main\tasks
HKLM\SYSTEM\ControlSet004\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk\modules

 

Повторить лог gmer

Изменено 15 апреля, 2009 пользователем thyrex

[DIMANDUC]

Скачайте IceSword

Скачал, но не могу даже открыть программу, так как на компьютере появляется синий экран и на нем написано по-английски:

Problem has been detected amd Windows has been shut down to prevent damage your computer...

и там большое такое сообщение.

В конце:

STOP: 0*00000001(0*E179B000, 0*00000002, 0*00000000, 0*F408CF1)

Изменено 15 апреля, 2009 пользователем DIMANDUC

[thyrex]

Попробуем так. Придется обойтисб без отправки в лабораторию

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service 89211389
gmer.exe -del service ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk
gmer.exe -del file "C:\windows\System32\drivers\89211389.sys"
gmer.exe -del file "C:\windows\system32\drivers\ovfsthceqfcetgrusingrurkjedbxtxbkpmenn.sys"
gmer.exe -del file "C:\windows\system32\ovfsthptgyxmmroxdivpnawwsgxkurahwqbwsb.dll"
gmer.exe -del file "C:\windows\system32\ovfsthpjumvlkeaynkbqfbfpfvkpdojkpocyjh.dat"
gmer.exe -del file "C:\windows\system32\ovfsthanmdgblvgtqwudpctyxjbvvaioxsnhvg.dll"
gmer.exe -del file "C:\windows\system32\ovfsthxsdcqfsqomheeenighdnamwetmebkebc.dll"
gmer.exe -del file "C:\windows\system32\ovfsthcqjfhyxhuwvmyoumgabfstbawxlipnag.dat"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\89211389"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\89211389"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\89211389"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ovfsthitlijoqwowxnsswulkvotfmwqxtpibmk"
gmer -reboot

И запустите cleanup.bat

Изменено 15 апреля, 2009 пользователем thyrex

[DIMANDUC]

thyrex, akoK, wise-wistful, Falcon

всем вам - большое спасибо, но сейчас проблемы как таковой уже нет... Переустановил систему, так что вирус был удален.

Изменено 16 апреля, 2009 пользователем DIMANDUC