Здравствуйте.
Подхватила вирус: черный экран, отправьте смс, введит код. Мне знакомый дал код, который подошел и компьютер разблокировался, НО: у меня заблокирован диспетчер задач, локальный дисr отображается как съемный и у меня нет к нему доступа и я читала правила создания тем, но проблема в том, что я не могу открыть ни одну страницу с необходимой утилитой! Моb разные ссылки - пожалуйста, но я не могу ни проверку сделать, ни сформировать данные для лечения. Подскажите, как быть в таком случае?

Утилиты из правил (http://forum.oszone.net/thread-98169.html) можно скачать на любой другой машине и перенести на Ваш компьютер через флешку, например
Или запустить утилиты прямо с флешки

Подскажите, как быть в таком случае? »
Пуск (Пуск + R) - выполнить - обзор - выбор нужной программы

Вот данные

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\netprotdrvss');
TerminateProcessByName('c:\windows\system32\user32.exe');
TerminateProcessByName('d:\md.exe');
QuarantineFile('C:\WINDOWS\system32\Drivers\uzmymjk3.sys','');
QuarantineFile('C:\WINDOWS\system32\els.dll','');
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\System32\polagent.dll','');
QuarantineFile('c:\windows\system32\netprotocol.dll','');
QuarantineFile('c:\windows\system32\netprotdrvss','');
QuarantineFile('c:\windows\system32\user32.exe','');
QuarantineFile('d:\md.exe','');
QuarantineFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx','');
QuarantineFile('C:\huadio.tmp','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx');
DeleteFile('C:\huadio.tmp');
DeleteFile('D:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('d:\md.exe');
DeleteFile('c:\windows\system32\netprotdrvss');
DeleteFile('c:\windows\system32\netprotocol.dll');
DeleteFile('c:\windows\system32\user32.exe');
DeleteService('autorun');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.


>>> Подозрение на маскировку ключа реестра службы\драйвера "fqwgec" у вас кидо, сделайте логи gmer
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Осталась проблема с загрузкой сайтов, содержащих антивирусные программы!

Попробуйте

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteRepair(20);
RebootWindows(true);
end.

у вас кидо, сделайте логи gmer »
Посл запуска выскочил синий экран с ошибкой и пришлось перезагружать компьютер.

Скрипт AVZ. »
Проблема осталась.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме. »
Здравствуйте,


autorun.inf - Worm.Win32.AutoRun.gvb
autorun_0.inf - Net-Worm.Win32.Kido.ir
jwgkvsq.vmx - Net-Worm.Win32.Kido.ih

В настоящий момент эти файлы детектируются. Пожалуйста, обновите антивирусные базы.

bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini, bcqr00005.ini, bcqr00006.ini, bcqr00007.ini, bcqr00008.ini, bcqr00009.ini, bcqr00010.ini, bcqr00011.ini, bcqr00012.ini, bcqr00013.ini, bcqr00014.ini, bcqr00015.ini, bcqr00016.ini, bcqr00017.ini, bcqr00018.ini, bcqr00019.ini, bcqr00020.ini, bcqr00021.ini, bcqr00022.ini, bcqr00023.ini, bcqr00024.ini, els.dll, huadio.tmp

Вредоносный код в файлах не обнаружен.

md.exe, user32.exe - Trojan-Ransom.Win32.Chameleon.bt
netprotdrvss - Backdoor.Win32.Buterat.ei
netprotocol.dll - Backdoor.Win32.Buterat.eh

Детектирование файлов будет добавлено в следующее обновление.

С уважением, антивирусная лаборатория

Посл запуска выскочил синий экран с ошибкой и пришлось перезагружать компьютер. »
У вас установлены Daemon tools или Alcohol 120%? Если да, то деинсталируйте их и заново попытайтесь сделать лог Gmer.

У вас установлены Daemon tools или Alcohol 120%? »
Нет, не установлены.

NatChu, Выполните рекомендации по пунктам.

1. Скачайте архив MGtools.rar (http://forum.oszone.net/attachment.php?attachmentid=39102&d=1265111395) прикреплённый ниже, распакуйте его и запустите файл MGtools.exe, дождитесь окончания работы утилиты, после чего в директории C: у вас появится архив MGlogs.zip (C:\MGlogs.zip) прикрепите его к следующему сообщению

2. Скачайте - Quick Killer - GUI для консольных утилит Лаборатории Касперского (http://www.forum.oszone.net/thread-164133.html) - распакуйте и запустите файл Quick Killer.exe - установите переключатель в положение KidoKiller - выставьте галочки напротив пунктов:

1. Записать в лог 'report.txt'
2. По окончании не ждать нажатия клавиши...

Нажмите кнопку Выполнить, дождитесь окончания работы утилиты и после чего в той же директории появится файл report.txt прикрепите его сюда.

Вот

NatChu, Вирус кидо был успешно удалён. :)

16:5:5:125 3792 C:\WINDOWS\system32\aketxu.dll infected Net-Worm.Win32.Kido ... 16:5:5:968 3792 cured

Программу - VKLife - универсальная программа для скачивания музыки, видео... (http://www.vklife.ru/) вы скачивали? Если да, то хорошо.

Жалобы на работу компьютера ещё какие остались?

Программу - VKLife - универсальная программа для скачивания музыки, видео... вы скачивали? Если да, то хорошо. »Да, я. Ее нужно удалить?

Жалобы на работу компьютера ещё какие остались? »
Нет! Все получилось, сайты открываются. Огромное спасибо!!!!!!!

Да, я. Ее нужно удалить? »Нет, зачем же? Если она ваша, пусть у вас и будет, только она у вас запускается из кеша интернет. Это и смущает. :)
O4 - HKLM\..\Run: [VKLife] C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\K6TDBL77\VKLife_1.7.1[1].exe -Hide

Все получилось, сайты открываются. Огромное спасибо!!!!!!! »Тогда незабывайте отмечать тему решённой - Отметить решенной (http://www.forum.oszone.net/resolved.php?do=resolved&threadid=165799&keys=7c0da016e9cc4b85a32840ba75c01fcc). :)