Постоянно обнаруживает вирус на компе.

[масяня]

Добрый день. У меня операционая система windows xp антивирусная программа avast Постоянно антивирус выдает сообщение об одном и том же вирусе пробывала его и удалять и помещать в хранилище все равно при следующей перезагрузки находит его снова.
Находит вирус Win32:Trojan-gen {Other}

На компе перестал работать локальный сервер.
Сделала все по правилам, помогите пожалуйста.

[Kuzz]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DrvMon.exe','');
 QuarantineFile('C:\Documents and Settings\инсайт\Главное меню\Программы\Автозагрузка\ikowin32.exe','');
 DeleteService('soqwx32');
 QuarantineFile('C:\WINDOWS\system32\drivers\soqwx32.sys','');
 QuarantineFile('C:\WINDOWS\gdrv.sys','');
 QuarantineFile('c:\windows\system32\drvmon.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\soqwx32.sys');
 SetAVZPMStatus(true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 ).
Hекоторых записей может не оказаться - это нормально.

Код:

 R3 - URLSearchHook: (no name) -  - (no file)

3.Повторить логи

[масяня]

Выполнила как все сказали.
Пропали драйверы к некоторым устройства на компе. пропал драйвер к запоминающему устройству USB и еще какое-то устройства... какое неизвестно.
Что делать?
Еще такая ситуация на компе настроин FTP доступ к сайту на этом сайте постоянно появляется строчка которая загружает вирус. Связано ли это с поражением вирусом компа?

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\инсайт\Главное меню\Программы\Автозагрузка\ikowin32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).

[масяня]

Выполнила скрипт комп перезагрузился, но на рабочем столе не оказалось не одного ярлыка, позже я еще раз перегрузила комп все ярлыки появились.
Выполнила диагностику п.2 и.3

[Bratez]

В логах чисто.
Какие проблемы остались?

[масяня]

не работает локальный сервер, что мне делать? До появление вируса все работало

[Rene-gad]

не работает локальный сервер, что мне делать?

Это этот ПК или другой?
Если этот: пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927
Сделайте лог GMER

Если другой - новая тема с логами по правилам.

[масяня]

да этот ПК
сейчас попробую пролечить

Сделал как написано по ссылкам.
Пролечила с помощью Live CD Vba32 Rescue
потом сделала лог GMER
выкладываю файлы.

Мой антивирус avast перестал сканировать комп, делает где-то 1 % и все зависает
Локальный север не работает на этот компе.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз)
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('%temp%','*.*',true);
DeleteFileMask('%windir%\temp','*.*',true);
DeleteFileMask('%userprofile%\Local Settings\Temporary Internet Files\CONTENT.IE5','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:

- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[масяня]

все сделала по пунктам прикрепляю новые логи.

Еще проблема с этого ПК постояно воруют фтп пароли,
на сайте в файлах появляется строчка типа <iframe.. сылка на другой сайт...
что делать?


Еще когда утром включила комп, антивирус аваст сообщил что обнаружин вирус qip.exe и переместил его в хранилище, в хранилище его нет... и этого файла тоже нет.

[Rene-gad]

C:\Program Files\Adobe\Acrobat 6.0\Reader

- Обновите Acrobat Reader
- Удалите Bonjour.
- Удалите Qip Search Bar

Больше ничего подозрительного в логах не видно.

[масяня]

- Обновите Acrobat Reader
- Удалите Bonjour.
- Удалите Qip Search Bar

Больше ничего подозрительного в логах не видно.

Спасибо!
- обновила Acrobat Reader
- удалила Bonjour
Подскажите как удалить Qip Search Bar
в FireFox — в меню "Инструменты - Дополнения - нет Qip Search Bar

Локальный сервер на этом ПК так и не заработал, пробавала переустанавливать, переустановила все равно не заработал :-(
Как востановить его работоспособность, до вирусов работал?

[Rene-gad]

Подскажите как удалить Qip Search Bar

-Пофиксите

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\èíñàéò\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\èíñàéò\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
 DeleteFile('C:\Documents and Settings\инсайт\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Добавлено через 9 минут

Локальный сервер на этом ПК так и не заработал,

Можете просветить меня: что Вы имеете ввиду под ЛОКАЛЬНЫЙ СЕРВЕР?

[масяня]

Можете просветить меня: что Вы имеете ввиду под ЛОКАЛЬНЫЙ СЕРВЕР?

Спасибо профиксила, скрипт выполнила.

Под локальным севером я имею ввиду набор программ на домашнем компьютере для имитации работы серверного компьютера. Он мне нужен для того чтобы отлаживать сайты написанные на php на своем ПК. Я прохожу видео курсы по созданию сайта на php и он мне нужен чтобы заниматься.
Локальный сервер у меня устанавливается пакет в него входят программы Apache, PHP, MySQL, phpMyAdmin
Чтобы запустить локальный сервер на своем ПК я жму ярлык на рабочем столе и запускаются программы Apache и т.д.
Потом захожу в Firefox и набираю localhost/sait(имя папки)/index.php
При запуске сервера создается виртуальный диск Z
папка с файлами сайта должна лежать по адресу
C:/WebServer/home/localhost/www/sait
C:/WebServer сюда устанавливается сервер

Так вот когда я раньше заходила в Firefox и набирала localhost/sait(имя папки)/index.php формировалась страничка сайта
а теперь пишет что
Попытка соединения не удалась
Firefox не может установить соединение с сервером localhost.

[Rene-gad]

Под локальным севером я имею ввиду набор программ на домашнем компьютере для имитации работы серверного компьютера.

Скажу честно - тут я пасс. Вынесу тему на консилиум.

[масяня]

Да антивирус аваст так же виснет. Т.е. начинает сканировать и зависает на 1% проверки и все. Мне его переустанавливать?

[Kuzz]

масяня, это Denwer не работает?
Причина в том, что при его установке вносятся записи в файл hosts
В логах этих записей не видно, значит они были удалены.

Вариантов 2:
1) Запустить установку Denwer еще раз
2) вручную внести необходимые записи в hosts, вроде таких

Код:

127.0.0.1	www.localhost
127.0.0.1	www.subdomain.localhost
127.0.0.1	www.subdomain.test1.ru
127.0.0.1	subdomain.localhost
127.0.0.1	subdomain.test1.ru
127.0.0.1	www.test1.ru
127.0.0.1	test1.ru
127.0.0.2	custom-host
127.0.0.2	www.custom
127.0.0.2	custom

И еще одно. Подсказка Serrrgio
Причиной может быть скайп.
Попробуйте перед запуском сервера закрыть скайп

[масяня]

масяня, это Denwer не работает?
Причина в том, что при его установке вносятся записи в файл hosts
В логах этих записей не видно, значит они были удалены.

Вариантов 2:
1) Запустить установку Denwer еще раз
2) вручную внести необходимые записи в hosts, вроде таких

Код:

127.0.0.1    www.localhost
127.0.0.1    www.subdomain.localhost
127.0.0.1    www.subdomain.test1.ru
127.0.0.1    subdomain.localhost
127.0.0.1    subdomain.test1.ru
127.0.0.1    www.test1.ru
127.0.0.1    test1.ru
127.0.0.2    custom-host
127.0.0.2    www.custom
127.0.0.2    custom

И еще одно. Подсказка Serrrgio
Причиной может быть скайп.
Попробуйте перед запуском сервера закрыть скайп

Спасибо! за помощь.
Но что-то не получается.
Денвер переустановила более новую версию.
Скайп отключен
Подскажите как внести изменеия в документ hosts? где его найти.

[Kuzz]

Если денвер переустановили, то трогать hosts не надо. Установщик денвера сам все что надо пропишет.

А просто на http://localhost/ при запущенном денвере заходит?