Привет всем. Схватил вирус: отключен деспетчер задач, не запускаются антивирусные программы(в том числе и AVZ) , не заходит на антивирусные сайты.

Воспользовался полиморфным авз и hijackthis

not_bad, Здравствуйте!!! Утилита RSIT запускается или нет?
Внимание !!! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите базы и переделайте лог AVZ. Нам нужен архив, а не текстовая его часть.

Утилита RSIT запускается

У Вас файловый вирус!
На чистой машине качаете Dr.Web LiveCD (http://www.freedrweb.com/livecd/) , записываете на DVD и сканируетесь на дефолтных настройках. Предварительно подключите флешки и другие сменные накопители, которые потенциально могут быть заражены.
Потом поновой скачиваете утилиты AVZ и RSIT и делаете ими логи!

Полиморфный авз не обновляется. и я не знаю где находятся его логи

ашине качаете Dr.Web LiveCD »
У меня не заход на сайты антивирусов, будьте добры, скинуть зеркало)

Полиморфный авз не обновляется. и я не знаю где находятся его логи »
Пост №4 выполняйте!

У меня не заход на сайты антивирусов, будьте добры, скинуть зеркало) »
not_bad, скачивать надо на незаражённой машине, там же и записать на диск. Если скачаете на своей, то заразите этот образ ещё до того как запишите на диск.

not_bad, более подробно можете почитать здесь http://forum.oszone.net/post-1867330-10.html

У меня не заход на сайты антивирусов, будьте добры, скинуть зеркало) »
выполнять надо
На чистой машине »
!

Выполнил ваши инструкции с Dr.Web LiveCD: Деспетчер зароботал, но антивирусные программы и их сайты все еще заблокированы(

not_bad, а лог RSIT? :)

И еще virusinfo_cure не загрузился на ваш сайт т.к. размер: 7МБ

1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\pmklo.sys','');
QuarantineFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.e xe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.e xe');
if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
DeleteFileMask('C:\DOCUME~1\9335~1\LOCALS~1\Temp','*.exe',false);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
ExecuteWizard('SCU',2,3,true);
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);
end.

Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы (http://www.oszone.net/virusnet/), укажите ссылку на тему и ник на форуме.

2.Также подготовьте лог SecurityCheck by screen317:

Скачайте SecurityCheck by screen317 (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или с зеркала (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе.

Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь.

!!!Внимание
_____________________
Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть.

Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT.

Вот)

А RSIT?

Internet Explorer 7 Out of date!
Java(TM) 6 Update 6
Java version out of date!
Adobe Flash Player 10.3.183.5 Flash Player out of Date!
Adobe Reader 9 Adobe Reader out of date!
- Скачайте и установите Internet Explorer 8 (http://windows.microsoft.com/ru-RU/internet-explorer/products/ie/home)(даже если им не пользуетесь)
- Обновите Java до актуальной версии (http://www.oszone.net/go.php?url=http://java.com/ru/download/windows_manual.jsp?locale=ru&host=java.com)
- Обновите Adobe Flash Player до актуальной версии (http://www.oszone.net/go.php?url=http://www.adobe.com/support/flashplayer/downloads.html)
- Обновите Adobe Reader до актуальной версии (http://www.oszone.net/go.php?url=http://get.adobe.com/reader/)
- Cкачайте и установите все последние обновления для безопасности Windows (http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe


Полиморфный AVZ у вас как назван? svchost.pif?

Я выполнил данный скрипт:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('abp470n5');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
DeleteService('msupdate');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);

Возможно ли мне после этого скрипта, выполнить ваш скрипт?
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\pmklo.sys','');
QuarantineFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.exe');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','H:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winscyp.exe ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winjkalqo.e xe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\9335~1\LOCALS~1\Temp\winfbbeiq.e xe');
if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221');
DeleteFileMask('C:\DOCUME~1\9335~1\LOCALS~1\Temp','*.exe',false);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\pmklo.sys');
ExecuteWizard('SCU',2,3,true);
BC_Activate;
ExecuteRepair(10);
RebootWindows(true);

Полиморфный AVZ у вас как назван? svchost.pif? »
Полиморфный АВЗ (да и обычную) удалил.
Скачал заново. Логи делал обновленным АВЗ

Я выполнил данный скрипт: »
а где вы его взяли? Возможно ли мне после этого скрипта, выполнить ваш скрипт? »
нужно было выполнять только те рекомендации которые указываю я. А не от посторонних...

Спасибо Вам за помощь, все снова заработало) Очень благодарен Вам

а где вы его взяли? »
Здесь http://virusinfo.info/showthread.php?t=118971 :)

Здесь http://virusinfo.info/showthread.php?t=118971 »
:sorry:

Вследствии повреждения системы, я не смог зайти на virusinfo.info (этот сайт, так же как антивирусные сайты блокировался), поэтом я обратился сюда.

not_bad, не надо было создавать темы на двух ресурсах... у вас что с проблемой?