Проблема такая: есть заграничный ноут (Dell Inspiron 6400), и перебивать систему - очень нежелательно, т.к. большинство программ перестанет работать, а они очень нужны (Повторюсь еще раз - проги не наши, поэтому перебить на такие же будет немного проблематично).
Прописался там вирусняк, отключивший сканеры 6го каперского. При попытке закинуть какой-либо антивирь на флешке - он удаляется (Каспер, Нод, Аваст). Если это архив - портиться. Галочки "только чтение" и т.д. не помогают. Записал антивирь на диск - диск открывается, но при попытке открыть папку с инсталяхой антивиря - выскакивает сообщение, что файл недоступен, и тут же - "вставьте диск в дисковод". Вирь тупо перебивает чтение данных, как будто диск вынут. Фильмы и музыку с диска открывает спокойно.
Нашел Alkid LiveCD недавнего выпуска, в фулл версии, загрузился с него, с него же проверил систему всем, что там было - Антивирус Касперского 2009; Нод 4; ДокторВеб 4,44,2; AVZ февральский этого года (базы за середину июня); Авира 8; Trojan Remuver; Hijak This. В основном - базы там за середину июня этого года. Что было - все убил. Повторные проверки уже ничего не находят.
Но после загрузки виндовса с жесткого - та же история с антивирусами. Флешки зачищаются, диски - не читаются.
Чем вообще можно найти эту заразу и выжечь? :-(

а онлайн проверка с последними базами?

Bladerunner, Скачать свежий лайв СД ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.0.iso только не на своем компе конечно скачать и записать. Это загрузочный диск и базы будут свежие.

Я бы и онлайн проверил, но у меня сейчас трафик ограничен ;-((((
А по поводу Лайф СиДи другого - это вполне свежий. За 19 июня.

Добавлено через 8 минут
Еще вопрос - logonui.exe.manifest; logonui.scr; - это в Систем32 и в ДЛЛКЭШ. На форумах в одних случаях говорят - вирус, в других - нет. Мне это удалить можно?

Добавлено через 32 минуты
у меня ХР

logonui.exe.manifest; logonui.scr; - это в Систем32
Это не вырусы, файлы виндовс.

logonui.scr и у меня есть, а другого файла нету, но ето не важно. посмотри какие файлы стоят у тебя в автозагрузке, только не с помощью msconfig, а какой то левой улитилой, даже Ccleaner подойдет. во вторих нету такого вируса который знает наизусть все антивирусы, он знает только известний - касперский, есет, симантек, макафи, авг, но может быть он не знает такого как avz4 или комодо :) рекомендую тебе утилиту avz4 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), так как она мне много много раз спасала комп, + есть спец сайт по ней - [Ссылки могут видеть только зарегистрированные и активированные пользователи] , там я нашел многие ответы на свои вопросы :) желаю тебе удачи ;-)

также в тотал командере включи показ скрытых файлов и поищи у себя на дисках какие то подозрительные файли например autorun.ini в корне диска С или другого диска, открой его в блокноте и посмотри на какой Файл ссылается даний авторан, узнав название ехе файла вируса можна за 2 минуты в гугле найти название етого вируса, а когда уже знаеш чё за беда у тебя жывет на компютере то идеш на сайт [Ссылки могут видеть только зарегистрированные и активированные пользователи] или ему подобный и ищеш инфу как ето лечится :)

Чем вообще можно найти эту заразу и выжечь?
Попробуй утилитой CureIt! (ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe). Загрузи по ссылке, скинь на флэшку, если из под винды не запускается - загрузись из-под своего LiveCD и запускай прям с флэшки. Насколько я знаю LiveCD это позволяет. Если с флэшки не запускается скопируй на хард. Удачи.

только что читал инфу про новую и умную вирусню :) [Ссылки могут видеть только зарегистрированные и активированные пользователи] вот там список процесов которые блокируются етим вирусом. я тыкнул пальцем в небо, но етот вирус делает чтото похоже на твое описание, может быть ето и есть он :)
посмотри нету ли в тебя таких файлов:
%System%\dllcache\systembox.bak
%System%\6to4.dll
%System%\dllcache\6to4.dll
%System%\drivers\WmiSvc.sys, если есть то ето W32.Fujacks.CB, лекарство ищи в гугле

Знакомая история)
у меня на компе поселилсо вирус, даже не вирус а вирусная программя которая имела свои комманды типа блокирование диспечера задач, в основном ета программа делала все штобы ее никто не мог обнаружыть и удалить или хотябы выключить)
я пробывал ставить антивирсы с обновлениями и ничево как тока я запускаю сетап окно автоматически закрываетсо
а тот антивирус што был ево паросто незаметил как вредоносное ПО
наверное потомушто ето не вирус а просто программа которая незаметно работае.
я понял одну интересную вещь што если етот "вирусу" не пытатсо выключить,то он ваш комп не трогает)) но мне непонравилось когда я немог открыть диспечер задач и системный реестер)
я нехотел форматировать все диски так как там важная инфа и я придумал хорошую вещь)
нужно создать нового пользователя с доступом до компа
не выключаючи свого пользователя перейти на новый и сразу открыть диспечер задач и там поставить галочку просмотор процесов других пользователей
потом найти самый подозрительный процес (список легко отфильтровать выстроив список) запомнить имя процеса, вырубить ево и в поиску прописать имя файла и удалить с помощю тотала коммандера! кстати етот способ может помочь и
Bladerunner,
всем спасибо за внимание:agree:

По моему я застрял в той же самой ж...!!! Загадочным образом, через Dr. Web. нечто, забралось в лоп-топ! Именнуется оно Antispamer или ...spayder 2010. Там ещё был логотип в виде щита разделенного на четверти разных цветов. Пытался удалить всеми знакомыми мнеспособами. Без результата! Это дерьмо тормозит все работающие программы, глючит выход в и-нет, и требует USD для обязательной загрузки. При этом оно ещё и на английском! Может кто, чего знает?

HELP:HELP:

ИМХО, самый лучший способ избавиться от любой известной заразы - это свежий DrWEB LIVE CD, который можно скачать с [Ссылки могут видеть только зарегистрированные и активированные пользователи]

<<самый лучший способ избавиться от любой известной заразы - это свежий DrWEB
LIVE CD, который можно скачать с [Ссылки могут видеть только зарегистрированные и активированные пользователи]>>
Dr.Web. по моему свежий, с ключём из журнала. И обновляется он по несколько раз за время работы в сети! Теперь это нечто, убрало с панели управления все скрытые значки и не скытых половину тоже. В том числе и Web-сканер. Поставил всё заново, перезагрузил, та же картина. Перезагрузил в безопасном
режиме с последней рабочей версии. Опять!!! Теперь я уже вошёл в азарт! Интересно, кто кого...:strong:
К стати,спасибо за совет!

Ruchnik, попробуйте AVZ (Страница для скачек ([Ссылки могут видеть только зарегистрированные и активированные пользователи]))
И вам, кстати, рекомендовали не просто антивирус, а проверку с загрузочного CD. Вещи, вообще говоря, разные.

Ruchnik, попробуйте AVZ (Страница для скачек ([Ссылки могут видеть только зарегистрированные и активированные пользователи]))
И вам, кстати, рекомендовали не просто антивирус, а проверку с загрузочного CD. Вещи, вообще говоря, разные.

Так я ж "чайник"!:-x: Мне надо доступным для таковых языком, и всё по полочкам! И то не всегда понятно. Но по моему я всё таки его победил. Он даже в корзине окопался. trser.rar. какой-то.
Пришлось всё перелопатить. Вроде всё нормально! Пока...

По моему я застрял в той же самой жопе!!! Загадочным образом, через Dr. Web. нечто, забралось в лоп-топ! Именнуется оно Antispamer или ...spayder 2010. Там ещё был логотип в виде щита разделенного на четверти разных цветов. Пытался удалить всеми знакомыми мнеспособами. Без результата! Это дерьмо тормозит все работающие программы, глючит выход в и-нет, и требует USD для обязательной загрузки. При этом оно ещё и на английском! Может кто, чего знает?

Попробуй в безопасном режиме такую штуку: SmitFraudFix ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Обещают почистить от:

This tool removes Desktop Hijack malware: Advanced Antivirus, AdwarePunisher, AdwareSheriff, AlphaCleaner, AntiSpyCheck, AntiSpyware Expert, Antispyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirGear, Antivirus 2009, Antivirus 2010, Antivirus 360, AntiVirus Lab 2009, Antivirus Master, Antivirus Sentry, Antivirus XP 2008, AntivirusGolden, AVGold, Awola, BraveSentry, IE Defender, IE-Security, Internet Antivirus, MalwareCrush, MalwareWipe, MalwareWiped, MalwaresWipeds, MalwareWipePro, MalwareWiper, Micro Antivirus 2009, MS Antivirus, PC Protection Center 2008, Personal Defender 2009, PestCapture, PestTrap, Power Antivirus, Power-Antivirus-2009, PSGuard, quicknavigate.com, Registry Cleaner, Security iGuard, Smart Antivirus 2009, Smitfraud, Spy Protector, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpySheriff, SpySoldier, Spyware Guard 2008, Spyware Vanisher, Spyware Soft Stop, SpywareLocked, SpywareQuake, SpywareKnight, SpywareRemover, SpywareSheriff, SpywareStrike, Startsearches.net, System Antivirus 2008, TheSpyBot, TitanShield Antispyware, Total Protect 2009, Total Secure 2009, Trust Cleaner, Ultimate Antivirus 2008, UpdateSearches.com, Virtual Maid, Virus Heat, Virus Protect, Virus Protect Pro, VirusBlast, VirusBurst, VirusRay, Virus Remover 2008, VirusResponse Lab 2009, VirusTrigger, Win32.puper, WinHound, Vista Antivirus 2008, WinDefender 2009, XLG Security Center, XP Security Center, XPert Antivirus, XP Police Antivirus, Brain Codec, ChristmasPorn, DirectAccess, DirectVideo, EliteCodec, eMedia Codec, EZVideo, FreeVideo, Gold Codec, HQ Codec, iCodecPack, IECodec, iMediaCodec, Image ActiveX Object, Image Add-on, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, LookForPorn, Media-Codec, MediaCodec, MMediaCodec, MovieCommander, MPCODEC, My Pass Generator, NetProject, Online Image Add-on, Online Video Add-on, PCODEC, Perfect Codec, PowerCodec, PornPass Manager, PornMag Pass, Pornovid, PrivateVideo, QualityCodec, Silver Codec, SearchPorn, SexVid, SiteEntry, SiteTicket, SoftCodec, strCodec, Super Codec, TrueCodec, VideoAccess, VideoBox, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, Video Add-on, VideoCompressionCodec, VideoKeyCodec, VideosCodec, WinAntiSpyPro, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec...

Ruchnik, поздравляю с победой!
Но AVZ всё-таки прогоните и посмотрите, не покажет-ли на кого как на зловреда.
Для проверки подозрений нужно, чтобы грамотные люди логи рассматривали, но если указывает на "плохиша" - этому можно верить

AVZ
Вопросик в догонку. "Функция такая-то перехвачена таким-то перехватчиком..." Хотелось бы узнать подробнее, в чем практическая польза от этой инфы.

Хотелось бы узнать подробнее, в чем практическая польза от этой инфы

zzkk, подозрение на действие руткитов

Вопросик в догонку. "Функция такая-то перехвачена таким-то перехватчиком..." Хотелось бы узнать подробнее, в чем практическая польза от этой инфы.
Перехват функций - информация, на которую стоит обращать особое внимание. В чистой, установленной с нуля системе, перехватов быть не может. Значит, это действие каких-то сторонних программ. Но есть несколько важных моментов.
1) Функции могут быть перехвачены как легитимным софтом (антивирусы, например), так и зловредами. Перехват функций однозначно не говорит о инфекции системы.

2) Перехваты в UserMode и KernelMode имеют важную особенность. Диагностическая утилита, выполняющая поиск перехватов, получает информацию только о первом перехватчике, перехватывающем ту или иную функцию. На самом деле перехватчиков одной функции может быть несколько – в зависимости от порядка их установки в систему.
К примеру:

Функция NtOpenFile (74) перехвачена (8057D529->F752C000), перехватчик C:\WINDOWS\system32\Drivers\kl1.sys

Это запись из протокола исследования системы, где из перехватчиков системных событий имеется только Антивирус Касперского.
В протоколе исследования системы, где в дополнение к Kaspersky Internet Security установлена программа System Safety Monitor, та же запись выглядит по-другому:

Функция NtOpenFile (74) перехвачена (8056E254->F73E1C28), перехватчик C:\WINDOWS\system32\Drivers\safemon.sys

Однако это не значит, что kl1.sys не перехватывает более данную функцию. Образуется своего рода цепочка драйверов, и он по-прежнему контролирует ее, но не виден диагностическим средствам из-за safemon.sys. При восстановлении SSDT порядок драйверов значения не имеет, но при изучении лога не следует забывать об этой особенности перехватов KernelMode.

zzkk,
Вопросик в догонку. "Функция такая-то перехвачена таким-то перехватчиком..." Хотелось бы узнать подробнее, в чем практическая польза от этой инфы. В данном случае у вас может идти речь про Аутпост. Так же точно описывает действие поведение драйверов любого другого антивируса перехватывающее файлы и команды. Но точно так же себя ведут кейлогеры и руткиты. Поэтому по таким логам должен разбираться спец)) Самому можно только посмотреть и показать кому то)))

Так я ж "чайник"! Мне надо доступным для таковых языком, и всё по полочкам!
Заходите на порта VirusInfo ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (надо регистрироваться), выполняете правила ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) (все написано подробно и с картинками), и создаете новую тему в разделе. Хелперы, как правило, отвечают очень оперативно, в течении получаса.

Добавлено через 4 минуты
Поэтому по таким логам должен разбираться спец))
+100. Без знаний можно моного чего наворотить.
Если есть желание, можно записаться в студенты на портале вирусинфо и пройти специальный курс обучения.

Ruchnik, поздравляю с победой!
Но AVZ всё-таки прогоните и посмотрите, не покажет-ли на кого как на зловреда.
Для проверки подозрений нужно, чтобы грамотные люди логи рассматривали, но если указывает на "плохиша" - этому можно верить

Вроде нормально... AVZ ничего ни показывал. Надеюсь всё сделал правильно. Беспокоит одна проблемка ещё! Часто самостоятельно отключается модем People net. Может это результат не качественной зачистки? Если да, то где ещё искать?

За раннее спасибо!:agree:

<<Заходите на порта VirusInfo>>

Зайду обязательно,как только с ноутом справлюсь.
Спасибо Сергей.

Ruchnik, можно прислать логи или дать ссылку на тему на вирусинфо.
Просто я сейчас прохожу курс обучения, интересно посмотреть.

Доброе время суток. Проблемма в следующем: выхватил в сети червя который просит отправить смс на номер......естественно комп перестал отвечать на все действия. После перезагрузки окно с просьбой пропало, но перестали работать некоторые службы, в часности отказывается запускаться диспетчер устройст и чистильшик реестра (Пишет что запуск запрещён администратором). УУж очень не хочется форматировать..помогите что делать?

nach173 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
проверить компьютер в загрузочного диска (LiveCD) на вирусы.

virtuOS попробую

попробую
не стоит тратить время
как правило обычные антивири не утруждают себя удалением последствий
в данном случае надо восстановить возможность редактирования реестра, запуск диспечера задач, загрузки в режиме защиты от сбоев, а может и ещё чего
надо попробывать прогу avz

svoit ([Ссылки могут видеть только зарегистрированные и активированные пользователи]),
После перезагрузки окно с просьбой пропало
Не думаю, что вирус сам себя удалил. Для этого и нужна проверка с LiveCD.

Нужна будет помощь по AVZ - обращайтесь.

Не думаю, что вирус сам себя удалил.
как правило такие вирусы расчитаны на лохов.
Если денежки не отосланы в течении суток, значит вирус успешно удален и далее требовать денег не нужно, все равно ничего не получишь, поэтому вирус может и удалится сам
А помоему может даже на этом форуме была ссылка по восстановлению работоспособности после таких вирусов. но не могу найти

на этом форуме была ссылка по восстановлению работоспособности
[Ссылки могут видеть только зарегистрированные и активированные пользователи]
Эта программа поможет убрать банер с рабочего стола, но не вылечит от его последствий.

nach173 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), тема по этой проблеме уже создана ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

virtuOS ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), вотпроверил систему AVZ и выявились следующие проблемы: лог прилагается.

Сллужбы которые указаны в логе были отключены, сейчас смотрю опять работают.....ну и заблокированы диспетчер задач и редактор реестра.

забыл сказать - LiveCD проверил - ничего не обнаружил.

nach173 ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), пара мыслей:
во-первых - AVZ умеет обновлять свои базы, посмотрите в меню файл - обновления. Обновиться - это полезно.
Во-вторых, там же, в меню файл есть Исследование системы - получившийся syscheck.html тоже хорошо бы приложить.
В логе ничего подозрительного я лично не увидел..
А диспетчер задач и редактор реестра могли остаться заблокироваными.
gpedit.msc (редактор групповых политик) запускается? Групповые политики имеют приоритет над локальными, и если в групповых явно разрешить запуск диспетчера задач и редактора реестра - их можно будет запустить

В логе ничего подозрительного я лично не увидел..
А по такому логу и не увидите :)
Реестр и диспетчер задач разблокируются также из AVZ, Файл - Восстановление системы.

вот может это поможет?
[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Фдуч ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), обновляться программа не захотела....выдаёт ошибку, а остальное сейчас попробую.

спасибо за помощь, всё заработало. Помог AVZ - Востановление системы.