вирус

[andrey--]

постоянно через некоторое время после включения компа сканер ДрВэба отлавливает вирус, убивает его, но при последующем включении все повторяется. Полная проверка ничего не дает. Видимо, вирь хитрО прячется...

[gjf]

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!!
- Пофиксите в HiJackThis:

Код:

O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)

- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Winmd56');
 StopService('vaxscsi');
 StopService('msupdate');
 StopService('appdrvrem01');
 QuarantineFile('c:\windows\system32\svchost.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmd56.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\vaxscsi.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\p1c1394.sys','');
 QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ajmqcs7u.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\a28rieov.SYS','');
 DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\a28rieov.SYS');
 DeleteFile('C:\WINDOWS\System32\Drivers\ajmqcs7u.SYS');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmd56.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('Winmd56');
 BC_DeleteSvc('appdrvrem01');
 BC_DeleteSvc('msupdate');
 ExecuteRepair(1);
 SetAVZPMStatus(true);
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Сделайте лог с помощью GMER.
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[andrey--]

пофиксил, поскриптил...))
не помогло. ДрВэб продолжает ругаться. и еще- после выполнения скриптов в системе появилось новое устройство. какое и откуда оно там взялось- выяснить не могу...

[gjf]

На кого конкретно и как ругается DrWeb - можете процитировать?
Найдите вот этот файл: C:\WINDOWS\System32\Drivers\vaxscsi.sys заархивируйте в zip-архив и пришлите в карантин по ссылке: http://virusinfo.info/upload_virus.php?tid=49106

За устройство не беспокойтесь - это мы потом уберём.

И ещё: сделайте логи вот этой версией AVZ. Файл, когда скачаете, просто запустите - не волнуйтесь, нестандартное расширение - это нормально.

[andrey--]

сделал скриншот...
добавил логи ...

[andrey--]

скрин ДрВэба
http://webfile.ru/3751414
http://webfile.ru/3751416

Добавлено через 16 минут

файл "C:\WINDOWS\System32\Drivers\vaxscsi.sys" ненашел... ни в ручную, ни поиском...

[gjf]

Очистите темп-папки, кэш проводников и корзину.

Это должно помочь. Скорее всего, у Вас "набор" вирусов был подцеплен из интернета при активном заражении, он находится в кеше браузера. После очистки он исчезнет. Также возможно, что Вы снова и снова подхватываете заразу при посещении заражённых сайтов.

Попробуйте сразу после очистки кеша с отключенным интернетом провести полную проверку системы, а потом включить интернет и поработать. Предупреждения будут снова появляться?

[andrey--]

чистил сиклинером... восстановление отключено.
зависимости появления предупреждений не нашел. включен инет, не включен или просто включил комп, прошло минут пять- оппа, есть...
правда время до предупреждений разное. бывает раньше, бывает позже.

[gjf]

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('%SystenRoot%\System32\*.*','');
 DeleteFile('%SystenRoot%\System32\netevent.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesEventlogSystemip100xp','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно Правил (Диагностика)
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно Правил (Приложение 3).
- Прикрепите новые логи к новому сообщению в этой ветке.

[andrey--]

сделал...

[andrey--]

еще...

[gjf]

Что с проблемой?

[andrey--]

Что с проблемой?

к сожалению, ничего не изменилось...
все также появляется предупреждение об удаленном вирусе...
попробую снять жесткий диск и проверить Касперским на другом компе...

[gjf]

Ну можно было и просто с LiveCD загрузиться...

[andrey--]

Ну можно было и просто с LiveCD загрузиться...

ну мы ж не исчем легких путей
да и уметь это надо... а я ж так, юзер

[gjf]

Ничего уметь не надо. Качаете диск, записываете на болванку, вставляете в привод, перегружаетесь...

[andrey--]

ок, вечером попробую.
да, касперский тоже ничего не нашел...
чтож это такое? как так вирус прятаться может?

[gjf]

Раз уж отключили винчестер и подключили к другой машине - может попробуете просканировать свежими AVPTool / CureIT? Возможно, установленный там Касперский давно не обновлялся...

[andrey--]

Раз уж отключили винчестер и подключили к другой машине - может попробуете просканировать свежими AVPTool / CureIT? Возможно, установленный там Касперский давно не обновлялся...

нее, комп рабочий, карсперский лицензионный, обновления ежедневные...

[andrey--]

эммм... так как быть-то?