Помогите восстановить систему после вируса(Conficker.B Kido.ep)
 

проблема, winXPSP3 без KB958644 сканировал Kaspersky Virus RemTool нашел vnhnhmax.dll зараженный net-worm.kido.ep Удалить не смог. Запустил windows-KB 890830-v2.6.exe сканировал фулл сканом 2 часа но в итоге удалил Conficker.B. В реестре руками удалил в параметрах запуска svchost параметр vnhnhmax с именем dll-ки, удалил драйверы с таким же именем. Вирус больше не находит. Система не работоспособна т.к. не запускается ничего кроме Avira Antivir Premium Guard, Dame Ware mini Remote Control, Plug and Play, Журнал событий, запуск серверных процессов DCOM, Поставщик поддержки безопасности NT LM. Закидывал в реестр ветку SYSTEM с другого аналогичного рабочего компа. Службы не запускаются. RPC Ошибка 5:отказано в доступе Все остальные 1608:Не удалось запустить дочернюю службу. Помогите пожалуйста.

Как вариант - обновить Windows ?

обновить не позволяет отсутствие сервисов, компы заражаются и заражаются.
Основные симптомы:
1) Долго грузится windows после ввода пароля.
2) Языковая панель прилепляется к пуску, так, что не видно свернутых программ. И переместить её невозможно.
3) Не работает копи-паст.
4) Сервисы отключены все включая RPC, кроме антивируса, PnP, Журнал событий, DCOM, Те Lm
5) Запустить сервисы невозможно (RPC ошибка 5, остальные 1608)
6) Сеть работает и на компе доступны шары.
Одним словом комп-зомби
И САМОЕ СТРАШНОЕ ни одна антивирусная программа не находит никаких вирусов. Кроме карантина.
На первой зараженной машине антивирус касперского обнаружил Net-Worm.Kido.ep а windows-KB 890830-v2.6.exe удалила Conficker.B

Может зараженная машина с админскими правами заражать сетку эксплуатируя уязвимость MS08-067 при этом не копируя вирус а только убивая винду? Недовирус...

Все может быть. Есть возможность просканировать AVZ? Прочитайте внимательно этот форум

просканировал:
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 20.01.2009 13:39:50
Загружена база: сигнатуры - 206347, нейропрофили - 2, микропрограммы лечения - 56, база от 19.01.2009 18:38
Загружены микропрограммы эвристики: 372
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 80135
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=08A500)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80561500
KiST = 804E48B0 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 17
Количество загруженных модулей: 141
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 64168, извлечено из архивов: 53836, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 20.01.2009 13:49:02
Сканирование длилось 00:09:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

mishanya85, попробуйте восстановить службу RPC твиком реестра:
А также рецепт из статьи KB838428.

Такие же симптомы ... Только не обнаруживал конфикер ... проактивка через раз стала ругать при запуске explorer'a что он пытается загрузить драйвер ... причем этого не происходило при перезагрузки ... после проверки и удалении гадости легла служба RPCSS ... вернее даже не легла а удалилась ... в реестре о ней теперь ни слова ... естественно без неё ничего не пашет ... кстати анитивирусы также молчали ...