срочно!!!! NEED HELP! Вирус!

[bill]

Привет всем!
В общем история такая. Пытаюсь я включить комп- не загружается- выдается ошибка загрузки системы(Error loading operation system). Просто переустановить операционку я не могу- слишком много там у меня инфы и моих файлов при удалении которых будет очень обидно.
Так прошло пол дня. После череды экспериментов стало понятно что все дело в загрузочной записи компа. В итоге вставив установочник винды и выбрав тип установки- восстановление я зашел в командную строку. Набрав команду fixboot я создал новый загрузочный сектор в системном разделе(по умолчанию диск c).
Но зайдя в винду я нашел пару интересных особенностей-
1. нельзя подключиться к интернету
2. файлы на диски не копируются- выдается ошибка при копировании(исключение - дискета,но туда много не поместится )
3. выключив комп и/или перезагрузив я опять натыкался на ошибку загрузки системы(т.е снова повреждалась загрузочная запись).
Далее я проверил все старым каспером. он ниче не нашел. Далее nod32 нашел и обезвредил вирус hoot@keys и нашел парочку троянов.все. Далее новый каспер с новейшей базой нашел лишь остатки от 2-3 троянов и обезвредил их.
НО! - проблема с ошибкой при запуске системы осталась(каждый раз повреждается загрузочный сектор) и осталась проблема при копировании файлов на диск(болванку).
У меня конечно есть еще avg, mcafee,panda,sophos,wimamtivirus pro анттивирусы но там у них очень старая база вирусов.
Так что ж мне делать?Что мне подскажите?
p.s nod32 нашел у меня вирус - wininet.exe в папке system32 папки windows. Позже он опроверг свои действия сославшись что это не вирус. Так что же это за файл- вирус или просто может зараженный обьект?

[bill]

1.Правка- установив ещ более новую базу я нашел вирус который отвечал за порчу загр. сектора- щас вроде тут все норм-но, но проблема с файлами осталась.
Вот вирус-
Файл: C:\WINDOWS\update.html обнаружено: вирус 'Packed.Win32.Morphine.a' (модификация)
Файл: C:\WINDOWS\system32\ipv6monr.dll обнаружено: вирус 'Packed.Win32.Morphine.a' (модификация)
2. Файл C:\WINDOWS\update.html для чего служит?

[Alex21]

-=1=- Проверь автозагрузку.
ipv6monr.dll - пытайся лечить, удалять не стоит.
Кстати антивирусник должен стоять только один, т.к. в противном случае они будут конфликтовать друг с другом. Оставь один, остальные в архив или Дель.
Вообще, если последний реинстал был давненько, можно/нужно обновить систему.
Проблема с копированием - вероятно вирус.
Стащить файлы можно с использованием стороннего винта, или флэхи Тока осторожно, возможно через безопасный режим.....

-=2=- файлу html - не место в Windows, удаляй смело, перед этим блокнотом код его посмотри.

P.S.: я за переодический реинстал системы +21.

[mutabor]

я бы еще попробовал восстановить систему до точки когда еще все нормально было
а как в безопасном режиме работает?
еще запусти из консоли chkdsk /r для профилактики

P.S. похоже на то что придется сносить

[bill]

1. Антивирусник щас один- Каспер-й 6,0 базу вчера обновил.
2. Проблема в том что я снести систему не могу- плод моего крополтивого труда потеряется.
А остальное я щас попробую. Посмотрим что получится.

[Alex21]

Цитата:

Сообщение от bill

2. Проблема в том что я снести систему не могу- плод моего крополтивого труда потеряется.

В смысле? А через безопасный режим, или через другой винт?

[bill]

1.В безопасном режиме я попробовал скопировать файлы на болванку- опять не получилось
вылезла все та же ошибка при копировании.
Этот html я удалил из карантина, он вообще был текстовым документом. Удалился прекрасно.Кстати было написано что это файл с расширением pl.
Зато эта dll которая у меня на карантине содержит этот вирус,который я написал. Касперский советует удалить т.к вылечить не удалось.
2. Зато я обнаружил еще парочку интересных файлов . я не знаю для чено они предназначены но вот их имена. Может знаете?
c:\windows\system32\cthelper.exe
d347bus.sys
sptd.sys
Последние два загружались у меня в безовасном режиме.
1-й раз в безопасном я их загрузил- обьекты на болванку не копировались
2-й раз запретил- (там при загрузке выдавалось сообщение-нажмите Esc чтобы прервать загрузку файла). Итог - тоже не копировались файлы на болванку.
Да и еще chkdsk мне ничего не дала. Она пишет- смотрите в архиве-я привел точное изображение.
p.s через другой винт это хорошо. но если этот вирус самокопирующийся на другие винты?

[Alex21]

Цитата:

c:\windows\system32\cthelper.exe
d347bus.sys
sptd.sys

У меня такого нет. ЕХЕ дель сразу, SYSы наверно удалить не получится, они скорей всего загружены. Советую программку мониторинга процессов - посмотреть что использует эти файлы, от туда кстати их можно убить.

Цитата:

через другой винт это хорошо. но если этот вирус самокопирующийся на другие винты

Это - да, но, если в безопасном - без загрузки дров.

А для начала попробуй заменить свой зараженный dll этим:

[Alex21]

сделай поиск файлов по дате изменения/создания.

[bill]

1.Я выяснил еще немного инфы о тех обьектах которые описал-
Значит производитель cthelper.exe - creative technology ltd. А у меня как раз звуковая карта производства creative.
2. Я удалил все таки ту зараженную библиотеку. Но у нее было имя ipv6monr.dll а в архиве ipv6mon.dll. Я сомневаюсь что это одно и тоже но все равно спасибо что разместили.
3. d347bus.sys и sptd.sys я нашел в папке drivers(c:\windows\system32\drivers \имя файла). Но во первых они были описаны как драйверы а у дров расширение не sys.
4. Я пока отправил cthelper на карантин. Что самое интересное то при загрузки компьютера он (Касперский поведал об этом ) пытается внедрится во все процессы на компе. И хотя я его не загружал и даже запретил касперу его загружать(заблокировал или точнее запретил) я его обнаружил в рабоающих процессах(диспетчер задач).
5. Забыл сказать. У меня при первой проверке каспер сказал что internet explorer возможно заражен. Потом эта инфа не подтвердилась. Но в любом случае при включении компа он пытается обчно загрузить 2-3 dll-ки. При этом я его не включаю.
6. Раз файлы копировать нельзя ни в безовасном режиме не в обычном значит вирус загружается сам. Т.е. он все время в работе
Я привожу список процессов из безопасного режима. Может вдруг что нить действительно найдется не то?
-------------------------------------------безопасный режим--------------------------------
crss.exe
explorer.exe
lsass.exe
services.exe
smss.exe
svchost.exe
svchost.exe
svchost.exe
system
taskmgr.exe
winlogon.exe
бездействие сист...
___________________________________ _______________________________
обычный режим загрузки привожу отдельно в файле, т.к там очень много полезной инфы по этому вопросу.