В работе - Жуткий вирус RC=3221225477

Похоже, что скачивая шрифт из интернета, словил вирус... Компьютер перезагрузился, после чего почти все программы не работали, давали сбой... Антивирусы не запускались... После возврата к предыдущей точке восстановления (на несколько суток ранее), программы стали работать. Утилита Dr.Web CureIt! показывает вирус RC=3221225477... Другие антивирусы сейчас его не находят... Помогите, пожалуйста, если можете! Ссылки на файлы: http://webfile.ru/5702473 и http://exfile.ru/233035

 

Доброе время суток!

Где вы взяли лог AVZ, он был сделан 08 Мая 2011г. в 14:18:16.
Hijackthis тоже давний.

Это не ваши логи?


1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически    закроет все сетевые подключения.'+#13#10+'После перезагрузки  компьютера   подключения к сети будут восстановлены в автоматическом  режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('c:\documents and settings\Саша\application data\lsass.exe');
 DeleteFile('c:\documents and settings\Саша\application data\lsass.exe');
 DeleteFile('C:\Documents and Settings\Саша\csrss.exe');
 DeleteFile('C:\Программы\Новая папка\FinePrint.v6.03.Incl.Keymaker-ZWT.rar');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
 RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'TaskMan');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteRepair(5);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

F2 - REG:system.ini: UserInit=userinit.exe

5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

-

 

Странно, конечно... Лог avz делал сегодня... Да и Hijackthis тоже... Попробую по-новой... Скину...

 

Проверьте дату на своем компьютере, соответствует реальной?

 

Дата на компьютере реальная... Теперь пробую запустить AVZ, так практически в самом начале выполнения скрипта, пишут программа "Антивирусная утилита AVZ" не работает... В протоколе программы видны процессы, типа: "Функция user32.dllefWindowProcA(1664) перехвачена, метод ProcAddressHijack.GetProcAddress..." и "Перехватчик user32.dllefWindowProcA(1664) нейтрализован"... Чертовщина какая-то получается...

 

Попробую всё-равно сделать логи ещё раз...

 

Сделал новые логи... Должно быть на этот раз так точно...
http://webfile.ru/5703729
http://exfile.ru/234206

 

Судя по всему, 3 пункт (скрипт в AVZ) был выполнен?

Скажите, осталась ли проблема?

 

Утилита Dr.Web CureIt! всё ещё показывает вирус RC=3221225477...
3 пункт (скрипт в AVZ)... В смыслы 3 пункт стандартных скриптов или тот, что был прописан в сообщении?

 

выполнили?

 

Когда пробую запустить скрипт прописанный в сообщении, выскакивает сообщение: "программа "Антивирусная утилита AVZ" не работает"... И варианты только закрыть её...

 

Скачайте RKill by Grinler на рабочий стол по одной из этих ссылок

• eXplorer.exe
• iExplore.exe
• WiNlOgOn.exe
• uSeRiNiT.exe

Закройте все программы,отключите антивирус/фаервол и прочее защитное ПО и запустите программу.

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Дождитесь завершения работы программы и формирования лога, который будет находиться по адресу C:\rkill.log. Прикрепите его к своему сообщению.

Не перезагружая компьютер, выполните скрипт в AVZ, предложенный вам ранее.

 

Всё тоже "программа "Антивирусная утилита AVZ" не работает"...
Более того, до её запуска с rKill по-моему было тоже не всё ок. http://webfile.ru/5704244

 

Когда запускаю rKill выдаёт ошибку "Установка не выполнена"...

 

В таком случае выполните следующее:

- Скопируйте лечебный скрипт из пункта 3 в блокнот и сохраните как C:\script.txt
Внимание: файл должен называться именно так и не как больше, и лежать он должен в корне диска C.
- Перенесите папку avz4 в корень диска C:\, таким образом, чтобы путь к файлу avz.exe был таким: C:\avz4\avz.exe
- Скачайте файл RunAVZScript.vbs и поместите его в корне диска C:\, путь до него должен быть такой С:\RunAVZScript.vbs

После чего запустите файл С:\RunAVZScript.vbs, рабочий стол пропадет и будет выполнен скрипт автоматически, после чего компьютер должен сам перезагрузиться.

 

Всё так сделал... Рабочий стол действительно пропал, но программа опять выдала ошибку... Рабочий стол не появился. У меня аж появились сомнения, то ли я ввожу в качестве скрипта:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
TerminateProcessByName('c:\documents and settings\Саша\application data\lsass.exe');
DeleteFile('c:\documents and settings\Саша\application data\lsass.exe');
DeleteFile('C:\Documents and Settings\Саша\csrss.exe');
DeleteFile('C:\Программы\Новая папка\FinePrint.v6.03.Incl.Keymaker-ZWT.rar');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
RegKeyParamDel('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'TaskMan');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
RebootWindows(true);
end.

 

Зайдите в AVZ Меню - Сервис - Диспетчер процессов, найдите в списке процесс: lsass.exe (у которого полный путь будет вот такой: c:\documents and settings\Саша\application data\lsass.exe и завершите этот процесс, правой кнопкой мышки по строке - завершить процесс.

Внимание! возможно(скорее всего) в списке будет 2 одинаковых процесса lsass.exe, НО с разными путями
Обязательно посмотрите какой полный путь у этого процесса, если он не тот, который я написал выше, сообщите здесь.

После того как завершите этот процесс, скачайте Полиморфный AVZ и выполните пункты с 3 по 6.

 

Процесс lsass.exe в списке сейчас один: C:\Windows\System32\lcass.exe
Скачал Полиморфный AVZ, но в процессе запуска с ним произошло то же самое:

Программа "svchost.pif" не работает
Возникшая проблема привела к прекращению работы программы. Windows закроет эту программу, а если есть известный способ устранения проблемы, уведомит вас об этом.
Закрыть программу

Вот... Интересно, это только у меня такой длительный дурной процесс или у кого-то тож бывает?... Спасибо, конечно, что возитесь со мной... Даж не знаю, чё дальше делать...

 

вы не ошиблись с названием?

 

Ошибся при написании... Посмотрел, таки lsass.exe... И он один...