Собственно, все проблемы указаны в заголовке, с LiveCD вирусы не удаляются, или удаляются не до конца и размножаются опять.
HJT тоже вылетает с ошибкой. Проверьте пожалуйста логи.
Собственно, все проблемы указаны в заголовке, с LiveCD вирусы не удаляются, или удаляются не до конца и размножаются опять.
HJT тоже вылетает с ошибкой. Проверьте пожалуйста логи.
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Cursors\services.exe',''); QuarantineFile('C:\Documents and Settings\Акимат\Application Data\Microsoft\drvwindll4\msftstp.exe',''); QuarantineFile('C:\ntr.sys',''); QuarantineFile('c:\windows\cursors\services.exe',''); QuarantineFile('c:\docume~1\e67d~1\locals~1\temp\jds50j.exe',''); QuarantineFile('c:\docume~1\e67d~1\locals~1\temp\ck4r.exe',''); DeleteFile('c:\docume~1\e67d~1\locals~1\temp\ck4r.exe'); DeleteFile('c:\docume~1\e67d~1\locals~1\temp\jds50j.exe'); DeleteFile('c:\windows\cursors\services.exe'); DeleteFile('C:\ntr.sys'); DeleteFile('C:\Documents and Settings\Акимат\Application Data\Microsoft\drvwindll4\msftstp.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx-.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx2.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx5.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx6.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx8.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxJ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxL.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxO.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx_.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx`.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxg.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxi.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxr.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxs.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxu.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxx.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx„.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx….exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЉ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx“.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx›.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxќ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxћ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxџ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЎ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx§.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxґ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx№.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxА.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxГ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЖ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЗ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxИ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЙ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЛ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxМ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxН.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxО.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxР.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxС.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxУ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxШ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЩ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxЮ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxъ.exe'); DeleteFile('C:\Documents and Settings\Акимат\epowmlxxя.exe'); DeleteFile('C:\RECYCLER.lnk'); DeleteFile('C:\WINDOWS\Cursors\services.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx-.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx2.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx4.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx5.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx6.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx8.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxJ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxL.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxN.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxO.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx_.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx`.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxg.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxi.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxr.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxs.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxu.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxx.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx„.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx….exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЉ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx“.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx—.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx™.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx›.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxќ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxћ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxџ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЎ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx§.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx¬.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxґ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxx№.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxА.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxГ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЖ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЗ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxИ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЙ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЛ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxМ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxН.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxО.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxР.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxС.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxУ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxШ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЩ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxЮ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxъ.exe'); DeleteFile('C:\WINDOWS\System32\epowmlxxя.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91131).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
вот логи
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Сделайте лог ComboFix
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
КомбоФикс запускается, ругается на что-то типа вирута, и потом удаляется. Как в нормальном так и в безопасном режиме
Добавлено через 1 час 1 минуту
кстати, не выходит на сайти антивирусников, сейчас прогоню кидокиллер
Добавлено через 5 минут
не помог кидокиллер
Последний раз редактировалось ГитКЗ; 06.11.2010 в 08:28. Причина: Добавлено
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Почему Вы не прислали карантин?
он не создался, папка карантин пуста
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Пофиксите в Hijack
Пробуйте делать лог ComboFixКод:O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKLM\..\Run: [epowmlxx:] C:\WINDOWS\System32\epowmlxx:.exe O4 - HKLM\..\Run: [epowmlxx'] C:\WINDOWS\System32\epowmlxx'.exe O4 - HKLM\..\Run: [epowmlxx.] C:\WINDOWS\System32\epowmlxx..exe O4 - HKLM\..\Run: [epowmlxxV] C:\WINDOWS\System32\epowmlxxV.exe O4 - HKLM\..\Run: [epowmlxxа] C:\WINDOWS\System32\epowmlxxа.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Run: [epowmlxx'] C:\Documents and Settings\Акимат\epowmlxx'.exe O4 - HKCU\..\Run: [epowmlxx.] C:\Documents and Settings\Акимат\epowmlxx..exe O4 - HKCU\..\Run: [epowmlxx—] C:\Documents and Settings\Акимат\epowmlxx—.exe O4 - HKCU\..\Run: [epowmlxx:] C:\Documents and Settings\Акимат\epowmlxx:.exe O4 - HKCU\..\Run: [epowmlxx™] C:\Documents and Settings\Акимат\epowmlxx™.exe O4 - HKCU\..\Run: [epowmlxxV] C:\Documents and Settings\Акимат\epowmlxxV.exe O4 - HKCU\..\Run: [epowmlxxа] C:\Documents and Settings\Акимат\epowmlxxа.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ComboFix не работает
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Удалите в МВАМКод:Зараженные процессы в памяти: C:\WINDOWS\Temp\wpv491288884234.exe (Trojan.Agent) -> No action taken. Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\userini (Trojan.Agent) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userini (Trojan.Agent) -> No action taken. Зараженные файлы: C:\WINDOWS\explorer.exe:userini.exe (Trojan.Agent) -> No action taken. C:\Documents and Settings\Акимат\Application Data\wiaservg.log (Malware.Trace) -> No action taken. C:\WINDOWS\Temp\wpv491288884234.exe (Trojan.Agent) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
свежий лог
ап: те две записи которые остались в логе не удаляются.
Последний раз редактировалось ГитКЗ; 09.11.2010 в 07:01.
Мой внутренний мир настолько огромен, что Я давно там заблудился...
проблемы остались те же: вылетает explorer + нет доступа к сайтам антивирусов, кидокиллер не помог. Еще рекомендации есть?
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Bratez, то есть нужно обновиться до SP3 потом проверить КК, потом поднимать тему?
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Обновил до SP3 + заплатку от кидо, проводник перестал вылетать, проверил КидоКиллером, он нашел 5 объектов, но на сам кидо не похоже, к сожалению в первый раз забыл сделать лог, прогнал во второй раз, уже с логом, он ничег оне нашел, лог прикрепляю. На данный момент система падает в BSoD с ошибкой 0x00000024 и ругается на файл zaiosvyc5.sys, поиском данный файл не нашел. В безопасном грузится нормально, сейчас попробую сделат ьв безопасном стандартные логи и отпишусь
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Сделайте дополнительно лог gmer.
I am not young enough to know everything...
Вот лог Гмер, стандартные логи пока не стал делать, ибо у нас выходной сегодня, да в Гмер нашел там много чего, думаю после процедуры лечения сделать стандартные логи будет самым правильным
Мой внутренний мир настолько огромен, что Я давно там заблудился...
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\zaiosvyc5.sys',''); QuarantineFile('C:\WINDOWS\system32\epowmlxx:.exe',''); QuarantineFile('C:\Documents and Settings\Акимат\epowmlxx:.exe',''); DeleteFile('C:\Documents and Settings\Акимат\epowmlxx:.exe'); DeleteFile('C:\WINDOWS\system32\epowmlxx:.exe'); DeleteFile('C:\WINDOWS\system32\drivers\zaiosvyc5.sys'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=91131).
Сделайте новые логи по правилам + лог gmer.
I am not young enough to know everything...
А также
В логах перехваты от Virut. Лечитесь так http://virusinfo.info/showthread.php?t=15927 (вариант с LiveCD предпочтительнее)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Уважаемый(ая) ГитКЗ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.