Сейчас установил Dr Web но запустить не получается, какая то бяка блокирует

сейчас еще решил проверить быстрым сканом через Curelt. Нашел 5-6 файлов со статусом: win32.sector 5. Один из этих файлов rundll32.exe. Лечить их?

Diak,
Обычный AVZ (http://z-oleg.com/avz4.zip) не запускается? Cureit и AVPTool тоже не запускаются? Нет лога extra.txt от DSS
Еще раз отключите восстановление системы, скачайте и запустите IceSword (http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip). Выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
C:\WINDOWS\system32\drivers\engqnl.sys
C:\WINDOWS\system32\Drivers\Hmq62.sys
C:\WINDOWS\system32\Drivers\Yei04.sys
нажмите по ним правой кнопкой мыши и выберите force delete. На запрос подтверждения ответьте "да".
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('dpti930');
StopService('Hmq62');
StopService('Windows Inet Control Service');
SetServiceStart('Hmq62', 4);
SetServiceStart('dpti930', 4);
SetServiceStart('Windows Inet Control Service', 4);
QuarantineFile('C:\DOCUME~1\admkar\LOCALS~1\TempIadHide3.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteService('dpti930');
DeleteService('Hmq62');
DeleteService('Yei04');
DeleteService('Windows Inet Control Service');
DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
DeleteFile('Windows Inet Control Service.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Hmq62.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Yei04.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('Windows Inet Control Service.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Hmq62.sys');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Yei04.sys');
BC_DeleteSvc('Yei04');
BC_DeleteSvc('dpti930');
BC_DeleteSvc('Hmq62');
BC_DeleteSvc('Windows Inet Control Service');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Сохраните как fix.reg и примените
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ef5ef04-2bed-11dc-825d-cc888126add9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e576b8f8-9925-11dc-832c-00904b4e0f9a}]
Удалите combofix - пуск-выполнить combofix /u
Удалите из планировщика заданий Microsoft_Hardware_Launch_setup_exe.job
Сделайте новые логи AVZ (запустите обычный AVZ - не версию game.exe, обновите базы) и hijackthis
решил проверить быстрым сканом через Curelt »
запускать надо полную проверку, рекомендую ещё провериться с помощью AVPTool
Один из этих файлов rundll32.exe. Лечить их? »
да, и возможно вам потребуется выполнить sfc /scannow, потребуется установочный диск

AVZ нормальный( не game) не запускается. Dr web тоже. Curelt запускается нормально.

C:\WINDOWS\system32\drivers\engqnl.sys
C:\WINDOWS\system32\Drivers\Hmq62.sys
C:\WINDOWS\system32\Drivers\Yei04.sys »

IceSword не нашел эти файлы

В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет. »
Эт все сделал. Рег файл добавил, комбофикс и Microsoft_Hardware_Launch_setup_exe.job тоже удалил. AVZ все еще не хочет запускаться
quarantine.zip чуть позже отправлю, до дома доберусь

hijackthis.rar
отправил по мылу и залил в файлообменник.

Diak, часть файлов из карантина отправлена в вирлаб на доп. анализ
У вас файловый вирус Virus.Win32.Sality.y по Касперскому (по DrWeb это Win32.sector5), м.б. модификация, лечите с помощью cureit (лечить до тех пор пока не перестанет обнаруживаться), AVPTool или Dr.Web LiveCD (http://beta.drweb.com/news/show/3189/ru)
В настоящее время эффективны две стратегии лечения файловых вирусов:

1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном.

Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере.

2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место.

Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска.


Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.
источник (http://virusinfo.info/showthread.php?t=15927)

Можете отправить файлы (или целиком карантин), зараженные этим вирусом в ЛК на newvirus@kaspersky.com или в лабораторию DrWeb для уточнения корректности лечения вашей версии вируса (в вашем карантине это файлы vedxg6ame4.exe, mrofinu27.exe в архиве avz00007.dta и, как вы раньше упоминали, rundll32.exe)
После лечения рекомендую выполнить восстановление системных файлов - sfc /scannow и сделать лог AVZ virusinfo_syscheck.zip

понятно.
Сейчас начал проверять последним Курельтом. Проверил 1/3 но уже 79 win32.Sector5 нашел.
Такое ощущение, что он exe формат заражает( все, что он нашел - exe).

Diak, Это ещё не всё, возможно потребуется несколько раз проводить проверку, вирус на редкость живучий (рек-ся проверить ещё с помощью AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/), доп.-но проверить все флешки и др. носители), тут (http://ca.com/ru/securityadvisor/virusinfo/virus.aspx?ID=70172) описание.

Желательно сначала пролечится в защищенном режиме. Если после очередной проверки ничего не будет найдено, то тогда можно переходить к лечению в обычном режиме.

закончил, 220 нашел =). Вроде все исцелил/удалил. Сейчас надеюсь нормально перезагружусь и еще проверю

PavelA_VI
если вы имеете ввиду в безопасном режиме, то туда не зайти... Правка реестра уже не помогает ^^

Ура! Вобщем проверил я еще несколько раз - ничего не нашел. Сегодня утром компутер устанавливать анивирус еще не хотел, но после удаление win32.Sality все нормально заработало. Всем большое спасибо, особенно Pili ! С меня пиво/сок ^^ :clapping: :oszone:

Diak, пожалуйста :)
С помошью AVPTool ещё проверьте систему и сделайте логи AVZ virusinfo_syscheck.zip (2-ой скрит), hijackthis для контроля

уже отдал ноут, ибо хозяева напрягали. Хотел спросить, как курельт нашел сегодня столько заразы, а раньше это игнорировал? Это как то связано с отправкой карантина.зип на мыло?

Это как то связано с отправкой карантина.зип на мыло? »
Нет, на анализ в ЛК я отправил только зловреды, не определяемые антивирусом касперского.
а раньше это игнорировал? »
drweb умел лечить sector.5 с 2008-05-05 19:30, возможно у вас базы (или версия cureit) были старые, а возможно связано с тем что скриптами и предыдущим лечением убрали много другой заразы (в т.ч. и руткиты), кстати в системе жили зловреды, ворующие пароли - меняйте все пароли.

Никто не пробовал после этого вируса грузиться в Safe Mode? Попробуйте и будете удивлены. Винда не будет грузится. Поврежден реестр. Отсюда вопрос. Как починить реестр?

esel, если у вас проблема, создайте отдельную тему, выполнив требуемые действия (http://forum.oszone.net/thread-98169.html).