Я у себя обнаружил вирус не помню каой имено ,win32......., он заразил все файлы  .exe DrWeb вылечил, но в результате лечения были испорчено половина дистриба!
Кто знает подскажите пожалумста как востановить???

den007
http://polygon.iphosting.ru/win/faq.php#repair

Да канечно это всё я знаю , с виндой у меня всё нормально-переставлял,проверял!!!
НАВЕРНО МНЕ ПРИДЁТСЯ ПОПРОЩАТСЯ С МОИМ ДИСТПРИБОМ!!!

Система Windows XP Pro Rus. У меня немного другая проблема. Есть симптомы заражения вирусом ("Сетевой червь W32.Blaster.Worm"). Однако Dr.Web 4.29 ничего не находит. Спец. утилиты от Каспеского (Clrav.com) и аналогичная от Symantec тоже ничего не находят. Что еще можно предпринять? Можно ли избавиться от этой гадости, если полностью переустановить систему? И есть ли вероятность заражения при сохранении перед этой процедурой своих документов Word, избранного IE и Opera 7.11, сейвов от игр, Outlook (адресная книга, папки)? Буду благодарен за любую информацию или ссылку на ее источник.

Тема перемещена сюда (http://forum.oszone.net/topic.cgi?forum=17&topic=563)

amigo-64, здесь не все логи, выложите логи по правилам (http://forum.oszone.net/thread-98169.html),
Прогнал утилиты AVZ, cureit и HijackThis в безопасном режиме »
Логи не надо формировать в безопасном режиме.
Прикрепите 3 файла : virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip, желательно также сделать 2 дополнительных лог файла сформированные с помощью DSS: main.txt и extra.txt

Pili, всё сделал по "правилам..", архивчик влагаю :).. только что такое DSS - не ведаю, а потому main.txt и extra.txt нету. Ну, давайте, помогайте мне! :)

amigo-64, удалил ваше вложение, в нем есть virusinfo_cure.zip!
почитайте внимательно п. 4.2 правил, в нем есть предупреждене о файле virusinfo_cure.zip и о DSS тоже

amigo-64, На что жалобы? Логи в принципе чистые, можно конечно проверить некоторые файлы
В меню AVZ (http://z-oleg.com/avz4.zip) - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Dc4.scr','');
QuarantineFile('WINIO.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\WINIO.sys','');
QuarantineFile('c:\windows\cthelper.exe','');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRfox000

На что жалобы?я первый пост удалил, чтобы не мусорить, но ещё раз напомню: клавиатура и мышь по USB не работают, но накопители работают нормально и без лишних вопросов. Во всех портах (их 8).
Всё остальное - в ПС.
внимательно п. 4.2 правилтут, что-ли? (http://forum.oszone.net/rules.html) - не нашёл ничего такого..

amigo-64, присланные файлы чистые, WINIO.sys в карантин не попал, поищите вручную (через AVZ), если не найдете, выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('WINIO');
SetServiceStart('WINIO', 4);
QuarantineFile('WINIO.sys','');
DeleteFile('WINIO.sys');
DeleteService('WINIO');
BC_DeleteFile('WINIO.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
больше придраться по логам не к чему, про DSS описано в правилах. п.3.2
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого не надо?

что из этого не надо? вот здесь не понял вопроса, - если это указаны мои службы, то из них ничего не нужно.
Скрипт выполнил: мельком увидел, что найден вирус (какой-то червь, название не запомнил) и комп сразу перезагрузился.
"Мастер поиска и устранения проблем" в браузере и системе не нашёл ничего подозрительного, - обычные настройки.
USB мышь и клава так и не работают. Ну, что ж, видимо, придётся откатываться. Спасибо за помощь!

amigo-64, если ничего из служб не надо, выполните скрипт
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
ExecuteRepair(6);
ExecuteRepair(8);
end.
USB мышь и клава так и не работают »
проблема не связана с вирусами, в логах чисто, хотя логи DSS (http://www.techsupportforum.com/sectools/Deckard/dss.exe) не увидел.

Pili, выполню чуть позже, - сейчас машина занята. А DSS я скачал (не знал, что это сканер), запустил и прилагаю лог.

amigo-64, нет ещё лога extra.txt
траффик инспектор установлен? Диск J это у вас что?
выполните скрипт из поста 13
и скрипт
procedure DisableAutorun;
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
end;

begin
DisableAutorun;
end.
Удалите в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2
найдите, заархивируйте с паролем virus и пришлите файлы, указанные ниже, на адрес user15802[at]mail.ru или выложите на ifolder.ru или slil.ru или другой файлообменник и дайте ссылку на него в ПМ, в теле письма указать ссылку на тему
2ifetri.cmd - на всех дисках
J:\m1t8ta.com
J:\juok3st.bat
J:\d.com
J:\nideiect.com
Внимание, не открывайте диск J двойным щелчком мыши - включите показ скрытых файлов. Рекомендую воспользоваться альтернативным файловым менеджером far или total commander) После того как заархивируете и вышлите, удалите эти файлы. Проверьте диск J антивирусом со свежими базами, не отключайте пока диск J
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Если вы ранее скачивали Combofix, скачайте новую версию. Сохраните Combofix на рабочий стол
1. Не переименовывайте Combofix
2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt в сообщение.
Прикрепите также новые логи AVZ virusinfo_syscheck.zip и hijackthis (c вкл. диском J)

Pili, всё сделал в такой последовательности, как было написано.
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 удалил.
2ifetri.cmd - на всех дисках »не найден.
J:\m1t8ta.com, J:\juok3st.bat, J:\d.com и J:\nideiect.com - удалил.
архивы в с этими файлами, а также новыми логами AVZ, combofix и hijackthis прикрепляю к посланию.
Ссылки на архивы systemscanner и J - в ПМ.
J:\ - это один из разделов на 5-м массиве, на нём хранятся, в основном, аудио файлы.
Traffic Inspector Agent установлен, - я по нему получаю доступ к локальной сети.

amigo-64, судя по логу avz скрипт из 13 не выполнялся - выполните. Содержимое файла Combofix (и логи DSS) лучше было скопировать в сообщение (исп-ся BB-коды)
удалите из реестра HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8fce4f2d-b352-11dc-ba17-a0a390a71836}
Поищите файл autorun.inf в корне всех дисков, что найдете в архиве в паролем virus
Вопрос - вы с помощью AVPTool проверялись? Если проверялись, то ставили на сканирование все диски? Если нет - рекомендую посканировать все диски.
На диск (в корень диска) J кроме вас ещё иммет кто-то право на запись?
Предыдущие файлы пока анализируются (по VT они чистые)
Соберем ещё файлы на анализ, выполните скрипт
В меню AVZ (http://z-oleg.com/avz4.zip) - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\BReWErS.dll','');
QuarantineFile('C:\WINDOWS\system32\bedcae1_s.dll','');
QuarantineFile('C:\WINDOWS\rm.exe','');
QuarantineFile('C:\WINDOWS\ms.config`.exe','');
QuarantineFile('J:\xo8wr9.exe','');
QuarantineFile('J:\ylr.exe','');
QuarantineFile('J:\h.cmd','');
QuarantineFile('C:\WINDOWS\system32\drivers\giveio.sys','');
QuarantineFile('C:\WINDOWS\system32\GkSui18.EXE','');
DeleteFile('J:\xo8wr9.exe');
DeleteFile('J:\ylr.exe');
ExecuteSysClean;
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru или выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

ComboFix можно деинсталлировать, нажмите пуск-выполнить, введите ComboFix /u
зы. кстати usb устройства могут не работать, если не разрешены в биосе.

Pili, выполнил скрипты начиная с поста #12 (13-й - это мой получается).
{8fce4f2d-b352-11dc-ba17-a0a390a71836} не нашёл, удалил всю ветку mountpoints2.
AVPTool проверялись?нет пока, у меня её не было.. скачаю - проверю, а сперва выполню сканирование avz и dss и выложу логи и quarantine.zip на slil.ru.
(в корень диска) J кроме вас ещё иммет кто-то право на запись?нет, только administrator, system и я (безопасность), общий доступ запрещён.
сейчас нашёл файлы autorun.inf , заархивировал, прилагаю к сообщению под паролем virus; сами файлы потом удалять или нет?
ComboFix деинсталлировал.
архив здесь: http://slil.ru/25560694
на счёт AVPTool: у меня же avast! стоит, его удалять, что-ли? не хотелось бы, - лицензия.. :)

amigo-64, я не просил найходить все autorun.inf
Поищите файл autorun.inf в корне всех дисков »
выполнил скрипты начиная с поста #12 (13-й - это мой получается). »
13 пост http://forum.oszone.net/post-755236-13.html тынц (http://forum.oszone.net/post-755236-13.html) соодержит скрипт, его и надо было выполнить.
скачайте AVPTool (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/) и проверьте все диски.
жду карантина

usb устройства могут не работать, если не разрешены в биосетам всё нормально.
скрипт, его и надо было выполнитьвыполнил. Карантин выложил на слил.ру.
сейчас делаю полную проверку всех дисков AVZ (базы свежие).
скачайте AVPTool и проверьте все диски.мне все нельзя проверять, - у меня на одном из разделов (М:\) полно варезу и троянов. проверю все кроме одного.
вот новый карантин:
Предупреждение:Карантин в общий доступ не выкладывать, в нем могут быть вирусы! См. правила