куча специализированных программ."написанные" для каждого региона, для каждого ведомства отдельно... для восстановления надо связываться с "центром", что чревато "разборками".
система заражена по самое нехочу..но пока работает. с чего начать? дабы не задеть эти преславутые программы...
понятное дело ни диспетчер , ни реестр не работает. запуск программ(утилит антивирей) невозможен ни в каком режиме(безопасный и.т.д)(скрипты и утилиты для восстановления "безопасника" запустить невозможно)
с лайва тоже не "грузит".
жесткий перекидывал на другой комп(компы).... бесполезно. "вешает" тот комп или уходит в "невидимку".(проверен в дос режимах- бэдов нет.)
avz даже при положительном исходе запускать боюсь(имел случаи при которых он полностью удалял папки с инфой.... а это как бы не ахти...)
из всех мною испробованных утилит(на других машинах) с самыми минимальными потерями справлялся только DR.WEB CURELT!(в режиме повышенной защиты)
итак.... что посоветуют спецы? ....(логи выложить не могу по причине невозможности запуска авз и хчтака,ну и даже если б была такая возможность по причине боязни за утрату данных)
вот такая вот делема.......

avz даже при положительном исходе запускать боюсь(имел случаи при которых он полностью удалял папки с инфой »Первый раз слышу о таком самоуправстве AVZ. Если только Вы сами в настройках проверки не установили удаление зараженных файлов.

Без выполнения правил помочь будет трудно.

Попробуйте полиморфный AVZ (ссылка в моей подписи)

полиморфный AVZ попробовал. как и остальные утилиты при попытке их "включения" компьютер "уходит" в выключение.

yarcev20071, не пробовали CureIt!.exe (http://beta.drweb.com/files/?p=cureit%2FCureIt!.exe&lng=ru&t=f) (бета версия)?

пробовал. тоже самое.
с самыми минимальными потерями справлялся только DR.WEB CURELT!(в режиме повышенной защиты) »

вообще дело обстоит так.если к примеру на рабочем столе есть антивирь утилиты - компьютер сразу после включения -выключается.
если на флэшке в папке - то просмотреть флэшку дает. как заходишь в папку может сразу "рубануть", а может "подождать" попытки задействовать утилитку..... а потом выключается.

yarcev20071, Проверьте компьютер этой утилитой - NoVirusThanks Malware Remover (http://www.novirusthanks.org/products/novirusthanks-malware-remover/)

В дополнение ещё сделайте лог SDFix.

• Скачайте SDFix ( http://download.bleepingcomputer.com/andymanchesta/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

• Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Drongo,
скрипты и утилиты для восстановления "безопасника" запустить невозможно) »Потому SDFix - не выход

yarcev20071, скажите, У Вас никаких порнолокеров с просьбой отправит СМС на номер 3381 нет (не было) случайно?

thyrex, Всё верно. Читал бегло. :( Но лог RSIT сделать можно. :)

yarcev20071, скажите, У Вас никаких порнолокеров с просьбой отправит СМС на номер 3381 нет (не было) случайно? »
было. куча. особо противный с "боковыми" тё...ба... женщинами на белом фоне.(на номер 3381)
стандартного кода для разблокировки не существует..(перепробывал варианты с каспера,веба и езета) ни один не подошел, да еще и проверка кода по несколько минут идет.....

в общем утилитки не работают в этой среде. ни NoVirusThanks Malware Remover ни SDFix.
извиняюсь, но до RSIT не дошел.
удалось "подвязать" жесткий к другой системе. прошелся по нему, чем только мог.
единственное не знаю , как бы до реестра добраться....., т.к как понимаю от вирусочервяков избавился, но система все равно не хотит работать....так как надо.
(почему лайвы не грузятся? штук 6 испробовал.....)

особо противный с "боковыми" тё...ба... женщинами на белом фоне.(на номер 3381) »
Так я и думал. Его симптомы

ERD Commander пробовали? Он на базе Windows

ERD Commander пробовали? Он на базе Windows »
ага...пока никак. с решением этой темы придется подождать до пятницы
а так. пока этим http://forum.oszone.net/thread-176382.html займемся.

к сожалению приходиться продолжать решение этой проблемы раньше. возникла еще одна.
при загрузке системы начало выходить окно о необходимости активации системы(обычное окно , как при .....на самом деле не лицензионной оси. при нажатии кнопки да происходит перекидывание на начальное "меню", где предлагается ввести пароль пользователя.операционная система windows xp sp1 - 100% лицензионная!
знаю, что на форуме запрещены обсуждения кряков, взломов и.т.д , но мне кажется, что это все таки проделки зловреда.
если нет возможности решения именно этого аспекта вопроса попробую разобраться сам......
а так.... что имеем...
смог загрузиться в erd.выкладываю снимки автозагрузки и реестра(winlogon). (видно что shell вроде не в порядке)
посмотрите пожалуйста.
(снимки с мобильника. качество не очень...)

Проверьте, как и в прошлой теме, параметр AppInit_DLLs

Проверьте, как и в прошлой теме, параметр AppInit_DLLs »
пустой....

в систему вошел(пришлось воспользоваться....ну вы поняли)
к сожалению не успел "стянуть" флэшку из компьютера..... почти всю "снесло".
как бы восстановить безопасный режим. реестр заблокирован.
(на рабочем компьютере на флэшке нод детектирует салити......)
если будет возможность запуска SalityKiller - насколько велика вероятность...удаления "нужных" файлов?

если будет возможность запуска SalityKiller - насколько велика вероятность...удаления "нужных" файлов? »Он должен лечить файлы, а не удалять.

Файлы тем же антивирусом удаляются только при невозможности лечения

- прошелся SalityKiller - куча сдетектированных файлов
- разблокировался реестр и диспетчер задач
- запустил avz - не дойдя немного до момента скрипт выполнен - компьютер выключается.
-запускаю компьютер - заметно заражение.
- прошелся еще раз SalityKiller - заражения меньше раз в 10 но есть.
- с avz та же история
- прошелся SalityKiller - заражение есть.правда еще меньше.
-вроде удалось сделать логи avz- только в обратном порядке.2 а потом 3.
HiJackThis запустить не удалось.

Отключите восстановление системы!

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\dc.exe');
TerminateProcessByName('c:\windows\system\fun.exe');
TerminateProcessByName('c:\windows\system32\perfs.exe');
TerminateProcessByName('c:\windows\system32\smssv.exe');
TerminateProcessByName('c:\windows\sviq.exe');
TerminateProcessByName('c:\windows\system32\ubaacdb.exe');
SetServiceStart('wsefsea60', 4);
SetServiceStart('smssv.exe', 4);
QuarantineFile('C:\WINDOWS\system32\migpwd.exe','');
QuarantineFile('C:\WINDOWS\system\0.exe','');
QuarantineFile('C:\WINDOWS\System32\winsit.exe','');
QuarantineFile('C:\Documents and Settings\USER\Рабочий стол\сэд\Fun.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Fun.exe','');
QuarantineFile('C:\WINDOWS\System32\nnnnLcCR.dll','');
QuarantineFile('C:\WINDOWS\system32\config\Win.exe','');
QuarantineFile('C:\WINDOWS\rundll32.exe','');
QuarantineFile('C:\WINDOWS\inf\Other.exe','');
QuarantineFile('C:\WINDOWS\System32\msmsgs.exe','');
QuarantineFile('C:\DOCUME~1\USER\taskmgr.exe','');
QuarantineFile('c:\windows\system32\hmyhzn.dll','');
QuarantineFile('C:\WINDOWS\System32\Wecuenscc.dll','');
QuarantineFile('C:\WINDOWS\TEMP\BClib\krnln.fne','');
QuarantineFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne','');
QuarantineFile('C:\WINDOWS\TEMP\BClib\dp1.fne','');
QuarantineFile('c:\windows\system32\ubaacdb.exe','');
QuarantineFile('c:\windows\sviq.exe','');
QuarantineFile('c:\windows\system32\smssv.exe','');
QuarantineFile('c:\windows\system32\perfs.exe','');
QuarantineFile('c:\windows\system\fun.exe','');
QuarantineFile('c:\windows\dc.exe','');
DeleteFile('c:\windows\dc.exe');
DeleteFile('c:\windows\system\fun.exe');
DeleteFile('c:\windows\system32\perfs.exe');
DeleteFile('c:\windows\system32\smssv.exe');
DeleteFile('C:\WINDOWS\system32\migpwd.exe');
DeleteFile('c:\windows\sviq.exe');
DeleteFile('c:\windows\system32\ubaacdb.exe');
DeleteFile('C:\WINDOWS\TEMP\BClib\dp1.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\Exmlrpc.fne');
DeleteFile('C:\WINDOWS\TEMP\BClib\krnln.fne');
DeleteFile('C:\WINDOWS\System32\Wecuenscc.dll');
DeleteFile('c:\windows\system32\hmyhzn.dll');
DeleteFile('C:\DOCUME~1\USER\taskmgr.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0331602.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0332584.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0332585.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0332587.EXE');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0332588.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0332597.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0332598.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1185\A0333582.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1185\A0333583.exe');
DeleteFile('C:\WINDOWS\System32\winsit.exe');
DeleteFile('C:\WINDOWS\system\0.exe');
DeleteFile('C:\WINDOWS\System32\msmsgs.exe');
DeleteFile('C:\WINDOWS\inf\Other.exe');
DeleteFile('C:\WINDOWS\rundll32.exe');
DeleteFile('C:\WINDOWS\system32\config\Win.exe');
DeleteFile('C:\Documents and Settings\All Users\Документы\Fun.exe');
DeleteFile('C:\Documents and Settings\USER\Рабочий стол\сэд\Fun.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328386.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328387.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328388.EXE');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328389.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328418.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328419.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328582.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328583.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328584.EXE');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328585.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328629.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1182\A0328630.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1183\A0330582.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1183\A0330583.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1183\A0330584.EXE');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1183\A0330585.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1183\A0330635.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1183\A0330636.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0331587.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0331588.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0331589.EXE');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0331590.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0331594.exe');
DeleteFile('C:\System Volume Information\_restore{C2DE41E9-27C5-4B39-B0B4-1EF80298DEB5}\RP1184\A0331601.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Task');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','Task');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Oftice');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Oftice');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Oftice');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Oftice');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dc');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Driver');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Driver');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Windows Driver');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fun');
DeleteService('wsefsea60');
DeleteService('smssv.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

выкладываю..

yarcev20071, Архивы логов не открываются, пишет, не соответствует формату архива ???