Помогите, вирус!!!

[Racer]

wintsk32

Дал я сёдня братику посидеть за компом,ну он такое ламо.
Пока ходил с друзьями погулять,он залез в интернет

Я считаю что вирус поселелился так:
Братик очевидно первым делом решил поискать "порнография"
Увы сейчас полно этих сайтов,которые дурят ламеров
Либо он ввёл свой е-майл адрес,либо загрузил "xxxphoto.exe",что-то типа этого
Так или иначе на компе появился вырус...
Братик сказал что комп не работает...
Да-да,какая-то программа загружала ЦП...
Через минут пять открылся наконец TaskMannager,и я обнаружил некий wintsk32,закрыл я его и комп пошёл нормально..но вдруг появился и исчез процес exeldir32 и снова появился процес wintsk32...
Ну ладно не буду вас мучать,удалил я эти 2 файла всё-таки,(кстати у них были значки блокнота),убрал их с автозагрузки(свинство,да? ),но решил пройтись по системным папкам... и обнаружил где-то 10 скринсэйверов(скринсэйверы всё-таки!!!) типа Love.scr,XXXF***ing.src,StarWars.scr и тд
Все имели значки блокнота...
Удалил я их,короче... и теперь всё окей...

Но я обнаружил что это ещё не всё!!!!
Этот "эротический скринсэйвер" удалил или изменил какие-то системные файлы!!!!!
Не запускается ни одна программа!!!
Вот что выдаёт,например,при загрузке блонота:
"Windows не удалось найти 'C:\WINDOWS\system32\notepad.exe''.Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажите кнопку "Пуск", а затем выберите команду "Найти"."
И так со всеми программами!!!!!

При попытке изменить какие-либо параметры, выдаёт то-же сообщение, только с "rundll32.exe"!!!

Я не могу даже regedit запустить!!!!
Подозреваю, что прога изменила rundll32.exe!!!

Как-нибудь,помогите!!!

Добавлю, что OS - WindowsXP

[KpNemo]

а откат ?
или бекап ??

[malim]

Racer
А у тебя что антивирус не стоит?И ещё скажи у тебя system restore включен?свойство компа>system restore>там будут твои диски если в status написано monitoring то значит он мониторит систему.Эту нужно для того чтобы если что-то случиться чтобы востановить Винду.Извени но я не знаю как это работает(Стыдно )потому-что поставил Xp недавно и ещё не разобрался.Подождём когда все придут.

Добавлено через 2 минуты:
malim
Пока писал сообщение Kpnemo опередил меня.

[джах]

это червяк Yaha
aka I-Worm.Lentis.gen [KAV], W32/Yaha.t@MM [McAfee], W32/Yaha-T [Sophos]

Цитата:

When W32.Yaha.T@mm runs, it does the following:

Copies itself as the following files and sets the file attributes to Hidden:
%System%\WINTSK32.EXE
%System%\EXELDR32.EXE

Adds the value:

MicrosoftServiceManager %System%\WINTSK32.EXE

to the registry keys:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices

so that the worm runs when you start Windows.

Configures itself to run each time a .exe file runs, by changing the default value of the registry key:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

to:

"%System%\exeldr32.exe"%1 %*

Copies itself to the \Windows\System folder as one of the following files:
Hotmail_hack.exe
Friendship.scr
World_of_friendship.scr
Shake.scr
Sweet.scr
Be_happy.scr
Friend_finder.exe
I_like_you.scr
Love.scr
Dance.scr
Gc_messenger.exe
True_love.scr
Friend_happy.scr
Best_friend.scr
Life.scr
Colour_of_life.scr
Friendship_funny.scr
Funny.scr

кстати, он пытается прибить процессы avp, norton antivirus, mcaffi viruscan и еще некоторые антивирусы и файрволы

вот тут можно скачать Yaha Removal Tool, а на будущее забыть об avp/norton av и поставить drweb

[KpNemo]

джах
круто
с нортонского сайта можно скачать ремувыбал тул, но про нортон забыть

[джах]

KpNemo
я не говорю, что NAV плохой антивирус, просто большинство вирусов в первую очередь выводят из строя именно его. drweb не так популярен (а может уважаем?) среди вирусописателей.

Самое страшное в этом то, что вирусняк правит ключик в реестре HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command, после этого ни одна прога (exe) не будет запускаться. Вылечить мона переименовав regedit.exe в regedit.com и восттановить исходное значение этого ключа в %1 %*. Это один из способов решить руками данную проблему...

-----
with Respect...

[KpNemo]

вывод ???
бекап реестра полностью каждый день )) адназначно .. ламо возится с мастдаевским бекапером (имхо для маст дая он самый маст даевский, и не кто его не перематдает) качает Handy Beckup + плуг для реестра и живём счастливо.

[batya_batya]

progoni a webroot spy sweeper
b dosovskie versii antivirusov (sovetuu f-prot ili norton)

Если взять 9x винду, то она сама делает бэкап реестра и win.ini+system.ini почти каждый день, так что нада тока грузануться в досе о сделать откат реестра на какой-нить из 5-ти (по дефолту стока винда запоминает последних бэкапов).

-----
with Respect...

[Alex Dark]

Racer переустановка дело хорошее.
Прогони антивирь по всему компу.
Твоя тварь себя накидала много где. Может возродиться!!!

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

[Bore]

а System Restore перед сканированием отключал???

[borislev]

Я наверное чайник, но лучше в таких делах лишний раз спросить, как его отключать. Кстати IEDoctor блокирует его. но не убирает и Ad-aware тоже, что делать - подскажи чайнику

[Bore]

Ну я тоже не гуру! Так что прими информацию к размышлению.
System restore отключается: правая кнопка, клик на My Computer, и в закладке System Restore отметить Turn off System Restore. Или Control Panel/Performance and maintenance/System....
У меня тоже был неприятный опыт вылавливанию вируса который сам по своей же дурости себе притащил. я нашел его ехе файлы, но каждый раз при рестарте ХР их восстанавливал.
Кстати в adaware где то в установках была опция выгружать из памяти, хммм, "опознанные процессы".

[borislev]

Спасибо, попробую

Добавлено через 2 минуты:
Проблема наверное еще и в том, что НИКТО НИЧЕГО НЕ НАХОДИТ, хотя пользуюсь саммыми последними релизами, периодически AD-watch предлагает заблокировать процесс, на этом все и заканчивается, вот такие дела, пока что делать - не знаю...

[AKM-47]

старт - ехецуте -мсцонфиг
таб который самый правый , там все проги что стартуют вместе с wин. что тебе кажетса плочим - килл ит.

Добавлено через 2 минуты:
shit...
start - execute - msconfig

[borislev]

Да вроде и грохнул на фик все чево мне не нравиться, но. как мне кажеться, держит его только IEDoctor, которым заблокировал Desktop и Favorits

[AKM-47]

кого его?

[borislev]

процесс "iedll" и еще пару типа "load"