[Diak]

Сейчас установил Dr Web но запустить не получается, какая то бяка блокирует

[Diak]

сейчас еще решил проверить быстрым сканом через Curelt. Нашел 5-6 файлов со статусом: win32.sector 5. Один из этих файлов rundll32.exe. Лечить их?

[Pili]

Diak,
Обычный AVZ не запускается? Cureit и AVPTool тоже не запускаются? Нет лога extra.txt от DSS
Еще раз отключите восстановление системы, скачайте и запустите IceSword. Выберите в меню File, появится аналог проводника, найдите в нем указанные файлы

Цитата:

C:\WINDOWS\system32\drivers\engqnl.sys C:\WINDOWS\system32\Drivers\Hmq62.sys C:\WINDOWS\system32\Drivers\Yei04.sys

нажмите по ним правой кнопкой мыши и выберите force delete. На запрос подтверждения ответьте "да".
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('dpti930');
 StopService('Hmq62');
 StopService('Windows Inet Control Service');
 SetServiceStart('Hmq62', 4);
 SetServiceStart('dpti930', 4);
 SetServiceStart('Windows Inet Control Service', 4);
 QuarantineFile('C:\DOCUME~1\admkar\LOCALS~1\TempIadHide3.dll','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 DeleteService('dpti930');
 DeleteService('Hmq62');
 DeleteService('Yei04');
 DeleteService('Windows Inet Control Service');
 DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
 DeleteFile('Windows Inet Control Service.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Hmq62.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Yei04.sys');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteFile('Windows Inet Control Service.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Hmq62.sys');
 BC_DeleteFile('C:\WINDOWS\system32\Drivers\Yei04.sys');
 BC_DeleteSvc('Yei04');
 BC_DeleteSvc('dpti930');
 BC_DeleteSvc('Hmq62');
 BC_DeleteSvc('Windows Inet Control Service');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Сохраните как fix.reg и примените

Код:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ef5ef04-2bed-11dc-825d-cc888126add9}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e576b8f8-9925-11dc-832c-00904b4e0f9a}]

Удалите combofix - пуск-выполнить combofix /u
Удалите из планировщика заданий Microsoft_Hardware_Launch_setup_exe.job
Сделайте новые логи AVZ (запустите обычный AVZ - не версию game.exe, обновите базы) и hijackthis

Цитата Diak:

решил проверить быстрым сканом через Curelt »

запускать надо полную проверку, рекомендую ещё провериться с помощью AVPTool

Цитата Diak:

Один из этих файлов rundll32.exe. Лечить их? »

да, и возможно вам потребуется выполнить sfc /scannow, потребуется установочный диск

[Diak]

AVZ нормальный( не game) не запускается. Dr web тоже. Curelt запускается нормально.

Цитата Pili:

C:\WINDOWS\system32\drivers\engqnl.sys C:\WINDOWS\system32\Drivers\Hmq62.sys C:\WINDOWS\system32\Drivers\Yei04.sys »

IceSword не нашел эти файлы

Цитата Pili:

В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет. »

Эт все сделал. Рег файл добавил, комбофикс и Microsoft_Hardware_Launch_setup_exe.job тоже удалил. AVZ все еще не хочет запускаться
quarantine.zip чуть позже отправлю, до дома доберусь

[Diak]

hijackthis.rar
отправил по мылу и залил в файлообменник.

[Pili]

Diak, часть файлов из карантина отправлена в вирлаб на доп. анализ
У вас файловый вирус Virus.Win32.Sality.y по Касперскому (по DrWeb это Win32.sector5), м.б. модификация, лечите с помощью cureit (лечить до тех пор пока не перестанет обнаруживаться), AVPTool или Dr.Web LiveCD

Цитата:

В настоящее время эффективны две стратегии лечения файловых вирусов: 1) Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска!). Сделайте полную проверку "больного" в режиме Safe Mode, затем в нормальном. Этот способ может не помочь, если антивирус DrWeb не знает модификацию вируса, заразившего Ваш компьютер. Если это так, отправьте несколько зараженных файлов в вирусную лабораторию Dr. Web. В течении суток CureIT! "научится" лечить вирус, правда утилиту придется скачать заново на "чистом" компьютере. 2) Второй способ предполагает наличие здорового компьютера с установленным антивирусом Касперского или Dr. Web. Именно эти антивирусы делают упор на сигнатурный детект, который необходим в лечении классических вирусов. Антивирусные базы должны быть самыми свежими. Достаньте жесткий диск "зараженного" компьютера и подключите к "здоровому". Запустите полную проверку антивирусом. По окончании проверки\лечения верните диск на место. Данный способ также не гарантирует успеха, если антивирус не знает вирус. Кроме того его нельзя применять если один из компьютеров находится на гарантии или у Вас нет соответствующих навыков перестановки жесткого диска. Ни один из вышеперечисленных способов не гарантирует 100% восстановления поврежденных файлов и их работоспособности. Если поврежденные данные для Вас очень ценны, рекомендуем обратится в сервисный центр.

источник

Можете отправить файлы (или целиком карантин), зараженные этим вирусом в ЛК на newvirus@kaspersky.com или в лабораторию DrWeb для уточнения корректности лечения вашей версии вируса (в вашем карантине это файлы vedxg6ame4.exe, mrofinu27.exe в архиве avz00007.dta и, как вы раньше упоминали, rundll32.exe)
После лечения рекомендую выполнить восстановление системных файлов - sfc /scannow и сделать лог AVZ virusinfo_syscheck.zip

[Diak]

понятно.
Сейчас начал проверять последним Курельтом. Проверил 1/3 но уже 79 win32.Sector5 нашел.
Такое ощущение, что он exe формат заражает( все, что он нашел - exe).

[Pili]

Diak, Это ещё не всё, возможно потребуется несколько раз проводить проверку, вирус на редкость живучий (рек-ся проверить ещё с помощью AVPTool, доп.-но проверить все флешки и др. носители), тут описание.

[PavelA_VI]

Желательно сначала пролечится в защищенном режиме. Если после очередной проверки ничего не будет найдено, то тогда можно переходить к лечению в обычном режиме.

[Diak]

закончил, 220 нашел . Вроде все исцелил/удалил. Сейчас надеюсь нормально перезагружусь и еще проверю

PavelA_VI
если вы имеете ввиду в безопасном режиме, то туда не зайти... Правка реестра уже не помогает ^^