[zirreX]

Запакуйте папку C:\Qoobox\Quarantine\ с паролем virus и отправьте при помощи формы http://www.oszone.net/virusnet/

Попробуйте загрузиться в безопасном режиме.


Если не получится загрузиться, проделайте это.

1)Определим причину возникновения ошибки, включим запись малого дампа памяти.

Компьютер -- Свойства -- Дополнительные параметры системы -- Загрузка и восстановление -- Параметры, убрать галочку с "Выполнить автоматическую перезагрузку".

Там же в Запись отладочной информации выберите Малый дамп памяти -- ok

После очередной неудачной попытки загрузиться в Safe Mode, файл дампа будет сохранен в папке указанной в поле Файл дампа памяти
Загружаетесь в обычном режиме, в папке C:\Windows\Minidump должен быть файл Mini120210-01.dmp, запакуйте и прикрепите к сообщению.


2)Проверьте целостность системных файлов.
Запустите командую строку от имени администратора, введите sfc /scannow

[moonis]

Файл карантина весит 50 мб - не пинимает форма.
вай...он cureit запихал в карантин щас удалю и отошлю
пытаюсь изменить настройки

Цитата Fedin:

Компьютер -- Свойства -- Дополнительные параметры системы -- Загрузка и восстановление -- Параметры, убрать галочку с "Выполнить автоматическую перезагрузку". »

но после нажатия "ок" - все слетает на старые настройки!... не хочет сохранять изменения: в БР не запускается, последний файл дампа памяти 25 11 2010.
проверку сделал: в корне C появилось inetpub\custerr\ru-RU\500-100.asp

[zirreX]

Цитата moonis:

пытаюсь изменить настройки »

какие там настройки по умолчанию?

При выборе загрузки в безопасном режиме отключите автоматическую перезагрузку при отказе системы.
После возникновении ошибки при загрузке в Safe Mode появится синий экран, запишите код ошибки и приведите его в сообщении.

Последний дамп файл прикрепите.

[moonis]

изменить настройки с этих на те что вы привели в пред. сообщении я не могу - не сохраняются изменения, в т.ч. и убрать автоматическую перезагрузку при отказе системы.
выбор "отключить автоматическую перезагрузку" при загрузке ОС через F8 тоже не дает результатов: синий экран не появляется, дамп не сохраняется.
Сегодня опять появились признаки заражения: архивы и exe по всему диску D.
Последний дамп что имеется прикрепляю.

[zirreX]

Цитата moonis:

выбор "отключить автоматическую перезагрузку" при загрузке ОС через F8 тоже не дает результатов: синий экран не появляется »

Отключим автоматическую перезагрузку через реестр, скачайте архив, распакуйте и запустите рег-файл. При появлении синего экрана код ошибки запишите.

Цитата moonis:

Сегодня опять появились признаки заражения: архивы и exe по всему диску D. »

Отключитесь от интернета и локальной сети!!! Запустите полное сканирование в Kaspersky Internet Security, удалите найденные объекты!После чего подготовьте лог ComboFix

[moonis]

Fedin,
всеравно уходит в ребут не показывая bsod
причем как при

Код:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000001

так и при

Код:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

от сети отрубился физически
проверил AVP
лог ComboFix прилагаю

[zirreX]

Отключите восстановление системы!
- нажмите кнопку Пуск
- нажмите правой кнопкой мыши на пункте меню Компьютер
- в контекстном меню выберите пункт Свойства
- в левой части окна Система выберите пункт меню Защита системы
- в окне Свойства системы перейдите на закладку Защита системы
- в блоке Параметры защиты нажмите на кнопку Настроить
- в окне Защита системы для... отметьте пункт Отключить систему защиты
- нажмите кнопку ОК
- в окне подтверждения Защита системы нажмите кнопку Да
- для завершения отключения возможности восстановления системы в окне Свойства системы нажмите кнопку ОК
- перезагрузите компьютер


Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
c:\documents and settings\poluaktov\Application Data\64dlls.exe
c:\documents and settings\poluaktov\Application Data\intel64.exe
c:\documents and settings\poluaktov\Application Data\Kernel32.exe
c:\documents and settings\poluaktov\Application Data\localsys64.exe
c:\documents and settings\poluaktov\Application Data\ntos.exe
c:\documents and settings\poluaktov\Application Data\oembios.exe
c:\documents and settings\poluaktov\Application Data\sdra64.exe
c:\documents and settings\poluaktov\Application Data\sdra73.exe
c:\documents and settings\poluaktov\Application Data\swin32.exe
c:\documents and settings\poluaktov\Application Data\twex.exe
c:\documents and settings\poluaktov\Application Data\twext.exe
c:\documents and settings\poluaktov\Application Data\wsnpoema.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[moonis]

сделал

[zirreX]

Зловредов больше не вижу.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Попробуйте еще раз восстановить безопасный режим скриптом AVZ

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ExecuteRepair(10);
end.

Также проверьте диск на ошибки
В командной строке введите

Код:

chkdsk /f

Примените еще раз рег-файл отключающий автоматическую автозагрузку (Должен появится синий экран с кодом ошибки!!!)
Скопируйте текст ниже в текстовой файл и сохраните с расширением .reg, затем запустите и согласитесь с внесением информации в реестр.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

[moonis]

всеравно уходит в авторебут....

Цитата zirreX:

Зловредов больше не вижу. »

я тоже перестал наблюдать признаки заражения, одноко, по всему проделанному остался один и самый, на мой взгляд, печальный нюанс: я не могу изменять системные настройки ктойто или чтойто блокирует все изменения... ни поставть значения в

Цитата moonis:

Цитата Fedin:Компьютер -- Свойства -- Дополнительные параметры системы -- Загрузка и восстановление -- Параметры, убрать галочку с "Выполнить автоматическую перезагрузку". » но после нажатия "ок" - все слетает на старые настройки!... не хочет сохранять изменения: в БР не запускается, последний файл дампа памяти 25 11 2010. »

ни например изменить параметры сети (отключить сетевое обнаружение, закрыть общий доступ и тп).
А сегодня столкнулся и с очень неудобным явлением: черт меня дернул изменить тип учетной записи - с администратора на обычный, изменить получилось а вот обратно фиг - те же симптомы нажимаешь "ок", а изменения не сохраняются и так по всем системным настройкам включая манипуляции с восстановлением системный и тп... пришлось загружаться с болванки и откатывать состояние на 2ое суток назад...

походу все же придется сносить ОС... в таком случае как подстраховаться чтобы зверья не было на "storage" диске с доками, фильмами и прочим фуфлом?