Доброго вечера,
вирус блокирует многие функции, HJK виснет вглухую, делаю логи согласно Правилам, вот только выкладываю через флешку - на сайт не пускает.
Алексей.
Доброго вечера,
вирус блокирует многие функции, HJK виснет вглухую, делаю логи согласно Правилам, вот только выкладываю через флешку - на сайт не пускает.
Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations'); QuarantineFile('E:\autorun.inf',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\Documents and Settings\qwe\ie_updates3r.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys',''); QuarantineFile('C:\WINDOWS\system32\dnsq.dll',''); QuarantineFile('c:\windows\system32\com\smss.exe',''); QuarantineFile('c:\windows\system32\com\lsass.exe',''); QuarantineFile('C:\WINDOWS\system32\AntiTool.exe',''); DeleteFile('C:\WINDOWS\system32\AntiTool.exe'); DeleteFile('c:\windows\system32\com\lsass.exe'); DeleteFile('c:\windows\system32\com\smss.exe'); DeleteFile('C:\WINDOWS\system32\com\netcfg.dll'); DeleteFile('C:\WINDOWS\system32\com\netcfg.000'); DeleteFile('C:\WINDOWS\system32\dnsq.dll'); DeleteFile('C:\pagefile.pif'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\NetApi000.sys'); DeleteFile('C:\WINDOWS\System32\drivers\alg.exe'); DeleteFile('C:\037589.log'); DeleteFile('C:\WINDOWS\system32\AntiTool.exe'); DeleteFileMask('c:\', 'lsass.exe.*', false); DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false); DeleteFile('C:\Documents and Settings\qwe\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\fasd621.exe'); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\WINDOWS\system32\drivers\kbd.sys'); DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys'); DeleteFile('D:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll'); BC_ImportALL; BC_DeleteSvc('kbd'); BC_DeleteSvc('Schedule'); BC_DeleteSvc('AudioSrvHidServ'); BC_DeleteSvc('Googles Onlines Search Services'); ExecuteSysClean; BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=41914
Повторите логи по правилам.
Выполнено.
Высылаю логи и карантин. По-прежнему с флешки - напрямую с сайтом соединиться не могу - выдает ошибку. И винт работает постоянно...
Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys'); DeleteFile('C:\WINDOWS\system32\dnsq.dll'); DeleteFile('crypts.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('qandr'); BC_Activate; RebootWindows(true); end.
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
Выполнил.
Логи выкладываю, запустился HJK - выкладываю...
После выполнения скрипта опять дисконнект с "Вирусинфо" - запустил АВИРУ - так каждые 15 сек ругань на Crypt.DX.3 из c:/windows/msacm32.drv...
Жду инструкций. Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
Не нравится мне вот этот файл C:\WINDOWS\system32\fcfaf.dll и еще больше вот это:
Пока сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
Сердце решает кого любить... Судьба решает с кем быть...
Благополучно послал меня Gmer... На 2-3 сек появляется и гаснет... На сайт не пускает, АВИРУ обновить не дает... Но при всем при этом, к примеру, Рамблер грузит исправно. Мдя...
Алексей.
Добавлено через 1 минуту
А как провода надоело туда-сюда - системника 2, а вот перефирии ((
Последний раз редактировалось Sibirian; 18.03.2009 в 01:33. Причина: Добавлено
Попробуйте это http://virusinfo.info/showthread.php?t=41675
Сердце решает кого любить... Судьба решает с кем быть...
Скачал, переключаю шнуры.
Спс, что не спите)
Алексей.
После KKiller (выдал 2 сообщения об убийстве в svchost.exe - PID 960) запустился Gmer. Выкладываю 2 лога - просто неожиданно сразу в первый раз пошел, не уверен, что лог корректный.
Кстати, сдури 1 раз после Киллера перезапустился - после нашел то же самое.
Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:07.
Кстати - пустил уже с больного)
Хорошо, но есть странности. У меня к Вам просьба. Еще раз запустите лечилку от ЛК, после чего перезагрузитесь и сделайте лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
С точностью до тогоже самого - до перезагрузки, вроде пускает, после - на круги своя. Пока опять от КЛ не запустишь. Лог ГМЕР выкладываю, может и КЛ приложить?
Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.
Ага, все ясно! Давайте последний лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
Уже) Сорри - здесь НЕТ значительно медленне - поторопился, с непривычки. Лог в сообщении выше.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('wuausvc'); QuarantineFile('C:\WINDOWS\system32\fcfaf.dll',''); DeleteFile('C:\WINDOWS\system32\fcfaf.dll'); RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('wuausvc'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=41914
3. Повторите лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
Сделано, выкладываю карантин, на всякий - лог по 3 приложению.
Алексей.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.
Логи AVZ пока не нужны. Давайте лог Gmer и не забудьте загрузить карантин.
Добавлено через 6 минут
Очень хорошо! Карантин у нас. В нем новая версия червя Kido, которая пока не определяется антивирусами. Значит ночь прошла не зря.
Последний раз редактировалось Aleksandra; 18.03.2009 в 03:35. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Выкладываю - карантин должен быть на месте.
Последний раз редактировалось Sibirian; 23.07.2009 в 12:06.
Выполните скрипт в AVZ:
Повторите лог Gmer.Код:begin DeleteService('wuausvc'); RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc','Description'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\wuausvc'); BC_DeleteSvc('wuausvc'); BC_Activate; RebootWindows(true); end.
Сердце решает кого любить... Судьба решает с кем быть...
Уважаемый(ая) Sibirian, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.