появился зловред.
прогнал штатным нодом, нашел 1 вирус, кюрит нашел еще 1 файл.
авз добавил еще 4 файла в карантин. архив имеется.
логи прилагаются.
появился зловред.
прогнал штатным нодом, нашел 1 вирус, кюрит нашел еще 1 файл.
авз добавил еще 4 файла в карантин. архив имеется.
логи прилагаются.
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
Восстановление системы отключить.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\SystemRoot\System32\Drivers\tkzkyeep.SYS',''); QuarantineFile('70.103.101.103\aekgoprn.dll',''); DeleteFile('C:\WINDOWS\System32\aekgoprn.dll'); DeleteFile('70.103.101.103\aekgoprn.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
сдается мне, это надолго.((
карантин после скрипта был пустой. вышлю карантин, который авз собрал в первый день лечения.
Файл сохранён как 091204_164637_virus1_4b1912bd5082b.zip
Размер файла 749251
MD5 4f2531eedba53c65feaced14870a3120
p.s. пробовал вводить код 6550. не помогло.
p.p.s. вчера с аналогичной проблемой (тоже на ноуте, только с WinXP Home) столкнулся мой товарищ. Стал лечить по правилам, чтобы логи собрать. после лечения кюритом в безопаснике, при загрузке системы ноут вылетает в бсод с ошибкой 0x0000007e. при попытке восстановить с дистрибутива система не видится. пробовал фиксить мбр - тоже самое. Как бы тут такое при лечении не произошло(
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
Выполните скрипт в avz
ПК перезагрузится.Код:begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); QuarantineFile('C:\Windows\System32\drivers\zefbievb.sys',''); DeleteFile('C:\Windows\System32\drivers\zefbievb.sys'); DeleteFile('70.103.101.103\aekgoprn.dll'); BC_DeleteFile('70.103.101.103\aekgoprn.dll'); DeleteFile('\SystemRoot\System32\Drivers\rwrsdeel.SYS'); BC_DeleteFile('\SystemRoot\System32\Drivers\rwrsdeel.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме
карантин пустой. присылать нечего.
вот лог.
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
AVZ-AVZ Guard-включить AVZ Guard
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
вот (емнип, забыл браузер запустить)
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
Восстановление системы отключить.
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('70.103.101.103\aekgoprn.dll'); BC_DeleteFile('70.103.101.103\aekgoprn.dll'); DeleteFile('\SystemRoot\System32\Drivers\kmgwiacf.SYS'); BC_DeleteFile('\SystemRoot\System32\Drivers\kmgwiacf.SYS'); DeleteFile('C:\WINDOWS\System32\aekgoprn.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; end.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
Выполните скрипт в avz
ПК перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\aekgoprn.dll'); DeleteFile('70.103.101.103\aekgoprn.dll'); DeleteFile('С:\WINDOWS\system32\DRIVERS\rimsptsk.sys'); DeleteFile('C:\WINDOWS\system32\DRIVERS\rixdptsk.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS'); BC_DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
к сожалению пришлось перегружаться: зарядка кончилась.
поэтому сначала сделал лог пункта 2 Диагностики(во вложении), и выполнил скрипт по образцу вашего:
окошко не пропало.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('\Device\HarddiskVolume2\Windows\System32\wbem\WMIADAP.exe',''); QuarantineFile('c:\windows\System32\wbem\WMIADAP.exe',''); DeleteFile('c:\windows\System32\aekgoprn.dll'); DeleteFile('\\.\70.103.101.103\aekgoprn.dll'); QuarantineFile('c:\windows\System32\Drivers\RTL8187B.sys',''); DeleteFile('c:\windows\System32\Drivers\RTL8187B.sys'); QuarantineFile('c:\windows\System32\Drivers\adfxiaic.SYS',''); DeleteFile('c:\windows\System32\Drivers\adfxiaic.SYS'); BC_DeleteFile('c:\windows\System32\Drivers\adfxiaic.SYS'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
потом сделал лог из п.2 Диагностики снова (во вложении).
ноут, благо, на зарядке
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
Выполнить скрипт
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\loinxbcn.SYS',''); QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\loinxbcn.SYS'); DeleteFile('C:\WINDOWS\system32\aekgoprn.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п.2 Диагностики и новый лог прикрепите к новому сообщению
"на западном фронте без перемен..."
...правда, в карантине появились описания.
Файл сохранён как 091204_220157_virus3_4b195ca53597f.zip
Размер файла 1183
MD5 24364ae7edd9bf63d90c2e6cdb8b5134
а вот лог по п.2
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
AVZ-AVZ Guard-включить AVZ Guard
Выполнить скрипт
ПК перезагрузитсяКод:begin SetAVZPMStatus(True); RebootWindows(true); end.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
Когда сделаете лог ПК не перезагружайте!
скрипт выполнил. только драйвер уже загружен был. да и ноут я перегружал, только если того требовал скрипт.
на этот раз решил поискать эти файлы ручками:
1й - rixdptsk.sys. нашелся в двух местах:
c:\Windows\System32\drivers\rixdptsk.sys
c:\Windows\System32\DriverStore\FileRepository\rix dptsk.inf_41a97d5f\rixdptsk.sys
его удалось скопировать и добавить в архив руками. архив запоролил стандартно:
Файл сохранён как 091204_230053_virus4_4b196a756d5b1.zip
Размер файла 19715
MD5 4db56b9376a14361d5fc1175a483bed5
2го - romypaia.SYS физически не видно.
пока все
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
Выполнить скрипт
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\romypaia.SYS',''); QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll',''); DeleteFile('C:\WINDOWS\system32\aekgoprn.dll'); DeleteFile('C:\WINDOWS\system32\drivers\rixdptsk.sys'); DeleteFile('C:\WINDOWS\system32\drivers\romypaia.SYS'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите действия, описанные в п. 2 Диагностики и новы лог прикрепите к новому сообщению
в карантине не прибавилось, но все же:
Файл сохранён как 091205_000659_virus5_4b1979f35c87d.zip
Размер файла 1182
MD5 978743eb49edd8dfceb5aed70dad2dac
предыдущий файл чем-нибудь помог?
вот лог по п.2
Последний раз редактировалось Vinny_B; 06.12.2009 в 19:20.
Вы отключили восстановление системы?
еще до того, как создавать тему.
все сделал, как описано в Приложении 1 к правилам. несколько раз проверял - пишет отключено.
Уважаемый(ая) Vinny_B, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.