[Котяра]

Цитата ШУМ:

Опасно - отладчик процесса "cmd.exe" = "setuprs1.PIF" Опасно - отладчик процесса "msconfig.exe" = "0215.PIF" Опасно - отладчик процесса "regedit.exe" = "setuprs1.PIF" Опасно - отладчик процесса "regedt32.exe" = "setuprs1.PIF" »

Это и есть

Цитата Котяра:

функция Image File Execution Options »

В подразделе с именем программы содержится параметр Debugger c именем программы, заменяющей указанную. В данном случае это:

Цитата ШУМ:

"cmd.exe" = "setuprs1.PIF" »

Цитата ШУМ:

"msconfig.exe" = "0215.PIF" »

Цитата ШУМ:

"regedit.exe" = "setuprs1.PIF" »

Цитата ШУМ:

"regedt32.exe" = "setuprs1.PIF" »

По

Цитата ШУМ:

wbsys.dll »

можно почитать тут http://www.neuber.com/taskmanager/pr...wbsys.dll.html

Суть лечения от вируса:
удалить ключи реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Ну и конечно, проверить компьютер антивирусом, например, утилитой Dr.Web CureIt!

поиск в Яндексе по названию вируса

[Shym]

Проверил я Dr.Web CureIt! в безопасном режиме - он не чего не нашёл. Решил разобратся с этой ерундой руками, поудолял подозрительные объекты и после перезагрузке ни чего не изминилось только зараза Internet Explorer перестал работать(Ошибка приложения: Инструкция по адресу "0x7ва4у379" обратитесь к памяти по адресу "0x00000028". Память не может быть "read" - похоже удалил билиотеку нужную). Забил на IE, открыл AVZ Файл - Востоновление системы и выбрал там 1 пункт Востоновление параметров запуска .exe, .com и всё заработало.

Котяра, вот написал бы ты это чуть раньше, не былоб у меня проблем с IE. Теперь вот думаю что с ним сдлаеть...

P.S. Спасибо всем....мельком бы ешё написали ак IE востановить и вообще замечатьльно было бы......

[Pili]

ШУМ, уберите virusinfo_cure.zip из вложений! Нужен ещё virusinfo_syscure.zip
Деинсталлируйте BitAccelerator и WindowBlinds
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Цитата ШУМ:

Решил разобратся с этой ерундой руками »

Теперь нужны новые логи, по правилам логи надо выкладывать в этом разделе.

[Котяра]

ШУМ, мне кажется, это проделки вот этого вируса
Backdoor.Win32.Delf.aws

ШУМ, Нет ли у Вас в папке %windir% (C:\WINDOWS) файла lsass.exe? Нормальный lsass.exe (системный компонент) находится в system32 - не трогайте его ни в коем случае!
Я пишу это не для того, чтобы Вы его сразу удалили

[Shym]

Котяра, да действительно был такой вирус, я его удалил кокраз пару дней назад. Скорее всего он и натворил этих дел(в данный момент lsass.exe нету в папке WINDOWS)

[Котяра]

Цитата ШУМ:

Котяра, да действительно был такой вирус, я его удалил кокраз пару дней назад. Скорее всего он и натворил этих дел(в данный момент lsass.exe нету в папке WINDOWS) »

А файл setuprs1.pif удалили?

[Shym]

Котяра, да вирус я удалил полностью, в принципи с проблемой я разобрался, но поудолял похоже нужные *.sys(которые определялись как подозрительные)

В шапке выложил новые логи, в них 1 подозрительный файл sptd.sys - примеро такихже удалил 3 штуки, после этого начались проблемы с программами как Internet Explorer, WebMoney и др.(у всех похожии ошибки: Ошибка приложения: Инструкция по адресу "0x7df4e379" обратитесь к памяти по адресу "0x00000028". Память не может быть "read" - похоже удалил билиотеку нужную)

[Pili]

ШУМ, sptd.sys и все прочие sp??.sys от daemon tools
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

это тоже скорее всего можно пофиксить

Код:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

C:\Program Files\StatistXP\StatistXP.exe - проверьте на всякий случай на virustotatal.com

Цитата:

>> Заблокирована закладка Рабочий стол в окне свойств экрана >> Заблокирована закладка Заставка в окне свойств экрана >> Заблокирована закладка Оформление в окне свойств экрана >> Меню Пуск - заблокированы элементы >> Заблокирован пункт меню Справка и техподдержка >> Разрешен автозапуск с HDD

если не сами настраивали и не групп. политикой, запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
В остальном по логам чисто.

[Котяра]

Цитата ШУМ:

вирус я удалил полностью »

Еще скажу что он автостартуемый, т.е. желательно удалить файл Autorun.inf с HDD и Ваших флэшек.

[Shym]

Pili, удалил demon tools и всё стало как прежде! Спасибо а советы!

Котяра, да удалил авторан, ты давал ссылку на этот вирус - там было всё описанно. Спасибо!

Спасибо всем кто помогал!