там похоже моя ситуация »Там совсем не ваша ситуация.

Просканируйте систему любым приглянувшимся онлайн-сканером - Онлайн проверка всего компьютера и отдельных файлов на вирусы (http://forum.oszone.net/thread-177094.html)

:o это становится весело...

Оглашаю полный список:
не запускаются любые "фиксеры" (открываются и тут-же закрываются) AVZ, AVP tools, RSIT, HiJackThis и т.д.
не скачивает файлы, архивы, "иное" содержащее, хотя бы, в части названия ("avz","drWeb","avp" и т.д)
не открываются сайты:
- оф.антивирусного ПО ; www.drweb.com , www.kaspersky.ru , www.esetnod32.ru и т.д.
- сайты, форумы поддержки ; www.virusinfo.ru и т.д.
- сайты он-лайн сканирования так как лежат на оф.сайтах антивирсного ПО
изменения имени "фиксеров" ничего не дает, полиморфные версии ведут себя так-же
CureIT(вчерашний) ничего не обнаружил.
в реестре не имеется записей по поводу сайтов, и програм по крайней мере по имени, как это делает Kido
Kido Killer ничего не изменил

единственное что удалось сделать, - это запустить avz из архива, и состряпать лог с "кракозябрами" вместо кириллицы

основной симптом - то что DPCs своим NDIS.sys жрет ресурсы процессоров при обращении пользователей к общим папкам
при помощи FileMoon определилось что "фиксеры" "клоузит" некто из набора "services.exe" но он прочно сидит в
памяти.


на подходе лог Malwarebytes's пока это единственное, что в этом плане запустилось

ИМХО:
вирус маскирующийся под драйвер или низкоуровневый аппаратный процесс,
который при запуске модифицирует одну или несколько системных сетевых служб...

PS:
в развитие ИМХО версии
который при запуске модифицирует одну или несколько системных сетевых служб... »
как завязать вирус с установкой SP2 и обновлений безопасности -
судя по всему тех служб, которые использует вирус... просто не было в SP1...
"инструментарий" для вируса содержался в SP2 или обновлениях безопасности...
потому и показалось что они причина... а сам вирус может сидел у меня уже давно.

это становится весело... »
хорошее настроение увеличивает позитифф))
не запускаются любые "фиксеры" (открываются и тут-же закрываются) AVZ, AVP tools, RSIT, HiJackThis и т.д. »
вирус их блокирует и??не открываются сайты:
- оф.антивирусного ПО ; www.drweb.com , www.kaspersky.ru , www.esetnod32.ru и т.д.
- сайты, форумы поддержки ; www.virusinfo.ru и т.д. »
возможно прописаны статические адреса (host может быть чистый при этом)вирус маскирующийся под драйвер или низкоуровневый аппаратный процесс,
который при запуске модифицирует одну или несколько системных сетевых служб... »
стандартный вирус..вы просто запустили ситуацию!!!
комбо к примеру помог бы вам..но у вас сервер..может удалить лишнее..поэтому так все и происходит..
попробуйте из safe mode сделать лог avz
распакуйте AVZ
1)зайдите в безопасном 1) AVZ => Файл => Стандартные скрипты => скрипт номер 1
2. AVZ => Исследование системы необходимо переключить "Только активные службы и драйверы" на "Все службы и драйверы" => Пуск укажите где сохранить протокол.
3. Необходимо упаковать протокол в архив zip или rar и прикрепите к сообщению.

возможно прописаны статические адреса (host может быть чистый при этом) »
где это можно посмотреть...

PS:
я уже все подготовил, есть запасной сервер (в виде сильной машины), на худой конец одноранговая сеть...
у меня есть все нужные бекапы и дистрибутивы... да и конфигурация пустяковая-
переустановка сервака - не проблемма, так-же как и грузануться из-по лив-сд,
или из под линухи и вырезать все кроме нужного, а потом с дистрибутива подправиться...
Мне интресно победить эту "зверушку" иначе... это бесценный опыт...
гоняясь за этим вирусом я уже цепанул очень много полезной инфы.
Вам Arbitr, особенное спасибо...

Вам Arbitr, особенное спасибо... »
спасибо
я бы тогда еще посоветовал проверить ключики
Посмотрите в реестре:
ветка
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметр shell и userinit

БРАВО!!! :clapping:
уже кое что есть
в парметре shell все ОК.
значение: explorer.exe

а вот в userinit...
значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3b1845bc.exe,C:\WINDOWS\system32\gesemd.exe,
кстати уже налазил в system32 какую-то бяку 3bcfg4tm.exe // киллЁ »
замечу, что 3bcfg4tm.exe и 3b1845bc.exe это не одно и то-же, но вот это самое "3b"
заставляет задуматься...
ни того ни другого сейчас в system32 нет... по крайней мере ни проводник ни total, методом поиска там ничего не находят.
первый (3bcfg4tm.exe) я убил вчера, со вторым (3b1845bc.exe) вообще не знаком :)

gesemd.exe - пока вообще загадка надо почитать что это...
а как должен выглядеть userinit? должно ли там быть что-то кроме C:\WINDOWS\system32\userinit.exe?

и что нам в общем все это дает?

Re: gesemd.exe - пока вообще загадка надо почитать что это... »
почитал... короче в состав системы это точно не входит... т.к. инфы за такую вещь гугл вобще не нашел...
боюс только что это может быть что-то связанное с HASP для 1С или с Крипто-ПРО...
уж больно лаконичное название для вируса "gesemd.exe"
кстати проверил байты - в названиях кириллических символов нет!

в принципе что в юзер инит смело убивайте, ведь это не ваше)))
чистите ветку и логи!!

3bcfg4tm.exe и 3b1845bc.exe »
эти смелоgesemd.exe »
этот сделайте копию в карантин(архив)и убивайте

чистите ветку и логи!! »
а что еще в этой ветке надо поглядеть...
или имелось виду значение параметра "юзеринит"

или имелось виду значение параметра "юзеринит" »
да только его
так что, теперь AVZ можете запустить RSIT HJT???
не забудьте AVZ актуальна 4,35 и обновить базы

а вот в userinit... »
должно быть так и обязательно с запятой
C:\WINDOWS\system32\userinit.exe, »

на подходе лог Malwarebytes's пока это единственное, что в этом плане запустилось »
А где лог МБАМ ?

MБAM застревает в процессе... совсем... и намертво вешает систему.
Проверка из под Dr.Web LiveCD ничего не дала... за исключением нескольких потенциально SpyWare *.html
и подозрительных архивов... избавился от них... но как и ожидалось "туфтовый улов"

вот удалось запустить AVP Tool /// есть лог...
Но выполнение скриптов похоже не работает...
пробовал выполнить простое удаление... как-то все на месте...
кое - как из архива запустился AVZ /// вот тоже прикладываю...

и еще вдруг пригодится... это лог FileMoon в момент когда пытаешься запустить AVZ

C:\DOCUME~1\admzm\LOCALS~1\Temp\s3chipid.sys вам знаком??
сможете проверить на virustotal.com ссылку приложите
Выполните скрипт AVP. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
DeleteFile('C:\WINDOWS\system32\3b1845bc.exe');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
если карантин будет пустой, попробуйте сами найти этот файл заархивировать и отправить newviruskaspersky.com
далее у вас уже должны будут получиться логи AVZ и RSIT на вермя выполнения AVZ отключите все программы и антивирусное ПО првоерка займет 5-10 минут, перегружайтесь и ждем логи

p.s. кстати если сервак, и все так серьезно..почему элементарный автозапуск не отключен??? не говоря уже о других настройках политик

а потому, что админ раздолбай... его потому и уволили... и вот пока нового не приняли, эта "мзда" легла на программера
т.е. меня... сейчас буду пробовать скрипт...
кстати оформил официальный запрос в сл.поддержки Лаборатории Касперского посмотрим, что они там скажут....
и вот еще есть один лог... "ихней" GetSystemInfo

лог GSI конечно круто, но даже не знаю кто его возьмется смотреть)))
нет, после скрипта повторить лог AVZ предварительно все отключив и лог RSIT

Абсолютная победа!!!!!! :nnn:
особо помогла
GMER (http://www.gmer.net/) принимайте на вооружение :)

Гадом оказалась NdSpl.dll засевшая в C:\Documents and Settings\admzm\Temp\ которая средствами rundll32 и shell32 селилась во внедренных библиотеках...
о чем гордо свидетельствовал параметр vmApplet все той-же ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
возьмите на заметку

вобще штука интересная т.к. она судя по всему плодила и отслеживала все "прикосновения" к своим питомцам:
3b1845bc.exe,
3bcfg4tm.exe,
и бог знает еще сколько она успела "нашлепать" и сама поубивать...

Наблюдать за сие творением было оч интересно... так как изолировав её в памяти все симптомы исчезли, но при попытке
ее выгрузить и удалить - посыпались ошибки с участием вышеназванных 3b***.exe :ninja: между ними по любому связь...
решил таки узнать кто кого порождает... причем мне было проще поверить в то, что это exe-шник dll-ку,
а оказалось все наоборот :o

Вот как дело было...
снова запускаю NdSpl.dll во внедренные библиотеки... и ВУАЛЯ! ...
непродолжительный скачок нагрузки на процессор... и где-то в ...system32\ появляется некий
fgp4lmk.exe , стоит его хотя-бы выделить его в проводнике - NdSpl.dll выгружается из памяти
(при этом судя по всему - напрягает систему себя попозже перезапустить)...
и если ты этот файлик не "кил" то следующий раз посетив каталог ...system32\ ты его там уже не найдешь...
да и вобще ничего до поры до времени... через случайный временной интервал - опять подгружается NdSpl.dll

ну и собственно говорят "эта песня хороша - начинай сначала"

вот так...