Дорогие пользователи прошу вашей помощи.
На компе win xp pro sp3(на виртуальном разделе есть еще win 7(C:\win7.vhd)) и куча вирусов, ИЛИ ОДИН НО ОГО-ГО.

Для начала скачал PC wizard 2010 с оффсайта - установил. Нашел кучу вирусов - удалил.
На следующий день - не могу зайти на сайты антивирусов, AVZ и т.д. (нашел сервис вырубил было все ок, два дня, потом все сызнова)

sfc /scannow в обычном режиме не реагирует в безопасном пишет ошибка 0x000006ba отказано в доступе.
Та же ситуация если пытаюсь запустить службу RPC "ошибка 5 отказано в доступе". Служба RPC отключена.
НЕ могу открыть ни одну флеху и не работает ДВД.

Теперь еще по глупости в win 7 запустил chkdsk диска С: - захожу в win XP а там нету пуска + веселый бонус, не могу выполнить команду "вставить" ее просто нет, Ctrl+V тоже.
В общем прошу хелп ми.

P.S. cure it - пробовал не помогло. Поставил KIS 2010 лицензионный, та же история.
формат и переустановку не предлагать.

Обязуюсь вополнять все варианты кроме формат С:

dezik_fas, Привет.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)


Если DNS не ваши, включите в фикс и их.

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E906A45-4DED-423F-91C4-E8C5F0F99DBB}: NameServer = 82.144.192.130,82.144.192.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{5E906A45-4DED-423F-91C4-E8C5F0F99DBB}: NameServer = 82.144.192.130,82.144.192.131
O17 - HKLM\System\CS2\Services\Tcpip\..\{5E906A45-4DED-423F-91C4-E8C5F0F99DBB}: NameServer = 82.144.192.130,82.144.192.131
O17 - HKLM\System\CS3\Services\Tcpip\..\{5E906A45-4DED-423F-91C4-E8C5F0F99DBB}: NameServer = 82.144.192.130,82.144.192.131
O17 - HKLM\System\CS4\Services\Tcpip\..\{5E906A45-4DED-423F-91C4-E8C5F0F99DBB}: NameServer = 82.144.192.130,82.144.192.131
O17 - HKLM\System\CS5\Services\Tcpip\..\{5E906A45-4DED-423F-91C4-E8C5F0F99DBB}: NameServer = 82.144.192.130,82.144.192.131

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Что с проблемой?

НУ здравствуй мой "Добрый доктор АЙБОЛИТ"!!!
Первый пунк выполнил, второй не выполнял, т.к. ДНСки мои у меня модем => роутер => и домашняя сетка из трех компов. Я почему то забыл об это упомянуть...

КАРАНТИН НЕ ОТПРАВЛЯЛ в лаболаторию т.к. он пуст... Вот демонстрирую сей файл.

Жду дальнейших указаний.


Запустил меня на сайт Каспера, sfc все тоже ДВд и флехи точно так же.

Хм. теперь мне еще и отказано в доступе... пытался запустить "Службы" в Папке администрирование в панеле управления.
тоже самое пишет когда пытаюсь что-то выполнить в выполнить. + диспетчер задач не появляется.

Запустил меня на сайт Каспера, sfc все тоже ДВд и флехи точно так же. »Мысль не понял, подробнее пожалуйста.
Хм. теперь мне еще и отказано в доступе... пытался запустить "Службы" в Папке администрирование в панеле управления.
тоже самое пишет когда пытаюсь что-то выполнить в выполнить. + диспетчер задач не появляется. »
Такой скрипт выполните
begin
ExecuteRepair(6);
ExecuteRepair(11);
RebootWindows(true);
end.

Плюс логи RSIT (http://www.forum.oszone.net/post-717373-2.html)

Еще до выполнения скрипта перезагрузился, диспетчер задач стал работать, и выполнить теперь работает. Но скрипт на всякий случай выполнил.
Раньше меня не пускало на сайты любых антивирусов, а теперь я свободно на них захожу. (после того как профиксил и выполнил скрипт из первого сообщения)
Sfc /scannow не запускается, я выполняю эту команду, а она ничего не пишет. Если выполнить ее cmd /k sfc /scannow - комаднная строка вообще не реагирует.
Пытался запустить службу RPC - та же ошибка что и была раньше "отказано в доступе ОШИБКА 5."
Двд не открывается пишет что он пуст, отя там есть диск с виндой. Когда вставляю флеху пишет что оборудование нужно отформатировать.

dezik_fas, Выполните такой скрипт

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');
QuarantineFile('%windir%\system32\sfcfiles.dll','');
RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');
CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');
DeleteFile('%windir%\system32\sfcfiles.bak');
DeleteService('sfc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Сделайте повторные логи AVZ + RSIT

Отправил файл на исследование, Жду...

В приложении новые логи.

Забыл упомянуть, я пробовал заменить файлы службы SFC на другие с такой же винды только здоровой, все безуспешно, заменил файлы все относящиеся к службе SFC в папках system32 и dllcache.

Это просьба участника dezik_fasСпасибо вам за помощь, но в дальнейшем вы бы не могли скрипты вставлять в файлы *.txt т.к. у меня не работает функция вставить. И мне приходится набивать скрипт вручную, это не смертельно но все же не рационально.

Отключите восстановление системы

Скрипт в файле, как вы и просили

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

Спасибо что опубликовали мою просьбу, у меня не работает и ctrl +v.
Я писал это в первом сообщении

+ веселый бонус, не могу выполнить команду "вставить" ее просто нет, Ctrl+V тоже. »


Malwarebytes Anti-Malware - установил не запускается ругается, его ругня в прикрепленном файле.

Так выполнять скрипт или сначала мелвар? ...

Попытался отключить восстановление системы, винда ругнулась. ругань в файле 2.жпг

Запущу скрипт.

Так выполнять скрипт или сначала мелвар? ... »Скрипт сначала.

Выполнил скрипт.
Установил Мелвар выдал ошибку прин скрин в файле 1.jpg
Как я уже писал, не удалось отключить восстановление системы - выдал ошибку прин скрин в 2.jpg
Сделал новые логи.

З.Ы. от KAV - ничего.

dezik_fas, Больше я ничего не вижу вредного в логах. Проверьтесь ещё утилитой CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) или Kaspersky Virus Removal Tool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/)

Помогите запустить Malwarebytes' Anti-Malware.

CureIT ничего не дал, я же писал в шапке. Но все же попробую еще раз.

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

БОЛЬШОЕ СПАСИБО, ВАМ ЗА ПОТРАЧЕННОЕ НА МЕНЯ ВРЕМЯ, но все же хочу секономить немного времени Вам и себе.
на счет комбо фикс я писал....

P.S. cure it, combo fix и тому подобную хрень не предлагать - пробовал не помогло. Поставил KIS 2010 лицензионный, та же история. »

НО из уважения к Вам я все таки сделаю эту хрень.

dezik_fas, нужен лог комбофикс;)
а смотреть его хэлперы будут:)

пробовал не помогло »
Кроме "пробовал " надо анализировать лог и комбофикс помогает вычислить - удалить вирус .

мои подозрения подтвердились, ПРИНОШУ СВОИ ИЗВИНЕНИЯ :flag:, комбо фикс - нашел. :jump: