[Severny]

СureIt его пока не видит.
На завтра уже видеть должен.
Вирус ушел на анализ.
Скачаешь новую версию и запустишь из под LiveCD.

[Soyer888]

итак каким то чудом я запустил АВЗ с диска , поставил скан,запустил я это через диспетчер задач ибо кнопка Win так и не работает,пробовал не однократно из всех клавиш работают только Шифт и вызов экран клавы. Все остальное в бане полном.Диспетчер задач тоже странно но запустился,до этого через ЛивСД попал я на винт,там посмотрел по реестру некоторые моменты которые посмотрел на схожих проблемах в гугле ничего подозрительного не заметил. Подскажи как ты избавился от этого чуда?!

[CaminoDeFlores]

Я так понимаю в диспетчер задач вы попасть можете. Сделайте логи http://forum.oszone.net/thread-98169.html. Кофейная гуща не смогла дать ответ.

[TDK]

Цитата Soyer888:

Значит окно активации не такое как у всех,а просто неграмотно нарисованное и вообще с большим кол-вом ошибок в орфографии, это окно выскакивает как в обычном режиме так и в безопасном »

Была схожая ситуация)Окно активации действительно не такое,как у всех,правда видок у него был другой,на чёрном фоне красное окно,с требованием отправить SMS на четырёхзначный номер.И ошибок в орфографии не наблюдалось)При этом зайти в систему не представлялось возможным ни через обычную загрузку,ни в безопасном режиме(когда окно появилось при работающей системе оно закрывало больше половины экрана,программы запускались,но за ним,оно оставалось на переднем плане.После перезагрузки системы ступор,и это окно.)Ничего не смог сделать,снёс Винду.Зашёл со второй,работоспособной ОСи (она у меня на диске:E)Зашёл на диск :C,где стояла заражённая система,там,просто на диске С,(не в папках) файл ехе.-Windows NT(вроде бы так назывался...)Ярлык стандартный,как под DOS.Где ещё эта зараза успела прописаться не известно.Запустил,точно,выскакивает это окно активации...)Где-то я эту заразу заархивировал,найду,сброшу...

[Baw17]

специально заразился вот лечение

Клавиша Win работает это первое
заходим в папку C:\Windows, отображаем скрытые файлы и папки, находим файл NOEXE и переименовываем в _Noexe (или при помощи LiveCD дистрибутива удаляем, к сожалению на моей конфигурации не один LiveCD не работает) и удаляем, перегружаемся и видим нормальный рабочий стол, только вирус удаляет все что есть в Автозагрузке и нарушает ассоциации с *.lnk

остается применить Твик

Код:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"

[HKEY_CLASSES_ROOT\.lnk\ShellEx]

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"

[HKEY_CLASSES_ROOT\lnkfile]
@="Shortcut"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""

[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]

[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]
@="Shortcut"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]
@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]
@="lnkfile"

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]

[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]
@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

[HKEY_CLASSES_ROOT\regfile]
@="Registration Entries"
"EditFlags"=dword:00100000
"BrowserFlags"=dword:00000008

[HKEY_CLASSES_ROOT\regfile\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\
2c,00,31,00,00,00

[HKEY_CLASSES_ROOT\regfile\shell]
@="open"

[HKEY_CLASSES_ROOT\regfile\shell\edit]

[HKEY_CLASSES_ROOT\regfile\shell\edit\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\
00

[HKEY_CLASSES_ROOT\regfile\shell\open]
@="Mer&ge"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\regfile\shell\print]

[HKEY_CLASSES_ROOT\regfile\shell\print\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\
00,25,00,31,00,00,00

to Severny ты отослал файл в Kaspercky lab или еще кудато?
пришли мне его на почту или в PM а то я его стер

[Pili]

Антивирус Касперского его уже определяет см. здесь, DrWeb ещё нет
Soyer888, проведите проверку с помощью свежей версии AVPTool, сделайте логи по правилам. Попробуйте добраться до AVZ через диспетчер задач или по одной из методик здесь, здесь или здесь
Проверьте в рестре параметры HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Если "RestrictRun"=dword:00000001, измените на "RestrictRun"=dword:00000000, проверьте также ключ "Run"
Попробуйте переименовать avz в iexplere.exe

[Severny]

Цитата Pili:

Антивирус Касперского его уже определяет »

Установщика пока не определяет (установленный на компе Каспер).

[Котяра]

Вирус проанализирован - копирует себя в C:\WINDOWS\NoExe.exe и устанавливает ассоциацию на команды open и runas EXE-файлов. При этом %1 в команде отсутсвует, то есть запуск файла так и не происходит. Вирус повреждает Диспетчер Задач ("taskmgr.exe ... должно быть закрыто") при запуске - сам файл taskmgr.exe не портится. В автозапуск не прописывается, включается, похоже, перехватываяя запуск, например, ctfmon.exe или еще чего-либо. (Путем ассоциации файла).

Цитата Pili:

iexplere.exe »

iexplore.exe

[unick12345]

если можешь загрузится с LiveCD посмотри в реестре HKLM-Microsoft-WindowsNT-Current version-Winlogon есть типа параметр Shell. там должно быть прописано только Explorer.exe. Если есть чтото еще, отредактируй и оставь только Explorer.exe, и перегрузи машину

[Soyer888]

unick12345, смотрел этот параметр все в норме ничего лишнего