Просмотр полной версии : подцепил вирус
Vladimirzzz
08.09.2009, 13:55
У меня был установлен Avira Premium Security Suite 8.2.0.373.RUS
В один прекрасный момент он начал изредка ругаться на некоторые файлы, в том числе svchost.exe. Через некоторое время количество предупреждений от AntiVir Guard увеличилось. Они пошли одним сплошным потоком. Занесение файлов в карантин не помогало. Начал ругаться даже на некоторые файлы Авиры. Сканер Авиры перестал запускаться. Начали вылезать ошибки обращения к памяти во время загрузки компа и во время работы. Пришлось Авиру снести. Попробовал поставить NOD32 v.2.7. После установке фикса NOD32.FiX.v2.2 по инструкции перезагрузил комп. После каждой следующей перезагрузки на долю секунды начало открываться окно DOS и что-то подгружаться. Все приложения перестали запускаться, появлялось сообщение "нет права доступа к приложению, файлу, URL ...". Ярлыков NOD32 не появилось. Его признаки были видны только в диспетчере задач в процессах. Перезагрузился в безапасном режиме и снес NOD32 вместе с фиксом. Работоспособность почти всех приложений восстановилась. Попробовал еще раз установить более свежую версию NOD32 v.4 без фикса. Вирус заблокировал. Скачал Dr. Web CureIt!, запустил в безопасном режиме, но само сканирование не запустилось (похоже опять вирус заблокировал). Скачал единственную найденную версию avptool_9.0.0.655, запустил в безопасном режиме, с третьей попытки просканировал комп и нашел кучу вирусов, которые вылечил либо удалил. По инструкции провел диагностику с помощью AVZ и HiJackThis. Высылаю полученные файлы. При каждой загрузке компа все еще на долю секунды открывается окно DOS и что-то подгружается и вылезают ошибки обращения к памяти. Помогите пожалуйста.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". (http://virusinfo.info/showthread.php?t=7239)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('nvoglnt.dll','');
QuarantineFile('C:\WINDOWS\system32\nvoglnt.dll',' ');
QuarantineFile('C:\WINDOWS\system32\pvmjpg30.dll', '');
QuarantineFile('ACDV.dll','');
QuarantineFile('C:\WINDOWS\system32\ACDV.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\vm\VMS D.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\itecir .sys','');
QuarantineFile('C:\WINDOWS\system32\nvsvc32.exe',' ');
QuarantineFile('C:\Program Files\ATKGFNEX\GFNEXSrv.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\ATKACP I.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\nv4_mi ni.sys','');
QuarantineFile('C:\WINDOWS\system32\ice_time.dll', '');
QuarantineFile('c:\windows\system32\nvsvc32.exe',' ');
QuarantineFile('c:\program files\atkgfnex\gfnexsrv.exe','');
DeleteFile('C:\WINDOWS\system32\drivers\vm\VMSD.sy s');
SetAVZPMStatus(True);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил (http://virusinfo.info/showthread.php?t=1235).
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Повторить лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил)
Vladimirzzz
08.09.2009, 16:41
Здесь новый лог virusinfo_syscheck.zip после выполнения вышеуказанного скрипта.
Пока не получается загрузить архив virus.zip. Загрузка не доходит до конца.
Vladimirzzz
08.09.2009, 19:00
Подскажите, нужно обратно включить восстановление системы после всех проверок?
Когда лечение закончится.
Vladimirzzz
09.09.2009, 00:11
Подскажите плиз, мне попробовать поставить NOD32 и проверить им ноут или ждать следующих указаний?
Карантин загрузить получилось? В первую голову его надо на изучение.
Vladimirzzz
09.09.2009, 10:05
Карантин загрузил еще вчера. Жду с нетерпением ответа.
Vladimirzzz
11.09.2009, 00:59
Ребята, вы про меня не забыли? Как там мой карантин? Подскажите, есть какая-нибудь новая информация? Что мне дальше делать? После выполнения скрипта у меня видимо были удалены какие-то драйвера и появились два неопознанных устройства Windows. Один драйвер получилось восстановить, я, правда, не успел заметить, что это было за устройство :)), а второе устройство так и не получилось определить, пришлось удалить, больше оно не вылезало. Ошибки обращения к памяти при загрузке ноута тоже остались.
Выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ice_time.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Повторите логи
Vladimirzzz
11.09.2009, 23:25
Скрипт выполнил, логи во вложении. Жду дальнейших рекомендаций.
Подскажите, может проще и быстрее винду переустаниовить, а потом просканировать с помощью NOD32? А то пока никакого эффекта. К тому же похоже вирус постепенно одно за другим грохает мои приложения :(
Переустановить всегда успеете. Поищите на диске с помощью АВЗ файл prio.dll (сервис - поиск файлов на диске). Если найдется - в карантин его и в лабораторию. Пофиксите Hijackthis
O20 - AppInit_DLLs: ice_time.dll prio.dll
Перезагрузитесь, повторите лог хиджака и сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
Vladimirzzz
12.09.2009, 23:02
Файл prio.dll нашел. C:\Program Files\Prio\prio.dll. Нажимаю на "Копировать отмеченные файлы в карантин".
Протокол:
Поиск файлов по маске prio.dll
C:\Program Files\Prio\prio.dll
Поиск файлов завершен
Просмотрено 57285, найдено 1
Файл C:\Program Files\Prio\prio.dll скопирован в карантин
Захожу в файл - просмотр карантина, а его там нет :(.
Не понимаю, я что-то не правильно делаю?
Пока больше ничего не стал делать.
Авиру выключали? Она могла файл из карантина слопать, если распознала в нём зловреда.
Vladimirzzz
13.09.2009, 00:32
Да Авиры у меня давно уже нет. Я ее снес в самом начале. У меня сейчас вообще не стоит никой антивирус. Подкажите, что дальше делать?
NickGolovko
13.09.2009, 07:15
Выполните скрипт в AVZ:
begin
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
QuarantineFile('C:\Program Files\Wireless Console 2\wcourier.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Карантин пришлите по правилам.
P.S. И никуда ваша Avira не делась... висит в логах в полном составе. Деинсталляция прошла в лучшем случае процентов на 30, если судить по протоколам.
Vladimirzzz
13.09.2009, 15:29
Скрипт выполнил, карантин выслал. Скажите, карантин получили? Нужно выполнить предыдущее указание?
Переустановить всегда успеете. Поищите на диске с помощью АВЗ файл prio.dll (сервис - поиск файлов на диске). Если найдется - в карантин его и в лабораторию. Пофиксите Hijackthis
Код:
O20 - AppInit_DLLs: ice_time.dll prio.dllПерезагрузитесь, повторите лог хиджака и сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
Как мне полностью снести Авиру? Я ее деинсталировал с помощью Your Uninstaller 2008.
Белый Сокол
13.09.2009, 16:27
Как мне полностью снести Авиру? Я ее деинсталировал с помощью Your Uninstaller 2008.
Поищите в этом списке (http://forum.kaspersky.com/index.php?showtopic=126932&view=findpost&p=1054993) свой продукт.
Vladimirzzz
13.09.2009, 17:35
Спасибо за ссылку. Подчистил с помощью утилит Avira AntiVir Removal Tool и Avira AntiVir RegistryCleaner
Надеюсь, что поможет.
Что с проблемой? Логи повторите
Vladimirzzz
14.09.2009, 01:38
Логи вложил. Повторил поиск файла prio.dll.
C:\Program Files\Prio\prio.dll. Нажимаю на "Копировать отмеченные файлы в карантин".
Протокол:
Поиск файлов по маске prio.dll
C:\Program Files\Prio\prio.dll
Поиск файлов завершен
Просмотрено 57285, найдено 1
Файл C:\Program Files\Prio\prio.dll скопирован в карантин
Захожу в файл - просмотр карантина, а его опять там нет :(.
NickGolovko
14.09.2009, 10:45
Я думаю, что prio можно пока оставить в покое.
Как общее самочувствие?
Vladimirzzz
14.09.2009, 10:50
Хреново. Ни одной проблемы не устранилось. А вот приложений уже много не работает. Вчера понял, что еще и ACDSee перестал работать. Даже фотки нормально не открыть :(.
А вот приложений уже много не работает.
В чем это выражается? Они не запускаются, вываливаются с ошибкой или что?
Скачайте и проверьтесь в безопасном режиме DrWeb CureIt. Сделайте лог Gmer
NickGolovko
14.09.2009, 11:40
А запускаются ли файлы, которые я просил закарантинить - 'C:\Program Files\ATK Hotkey\Hcontrol.exe' и 'C:\Program Files\Wireless Console 2\wcourier.exe' ?
Vladimirzzz
14.09.2009, 16:03
При запуске приложений выдает несколько видов ошибок:
1. C:\Program Files\Acronis\Acronis Disk Director\DiskDirector.exe
Параметр задан неверно.
2. Запрос ReadProcessMemory или WriteProcessMemory был выполнен только частично.
3. При запуске AdMunch.exe выдает ошибку: Инструкция по адресу "0x007710b8" обратилась к памяти по адресу "0x00000000". Память не может быть "written".
При запуске 'C:\Program Files\ATK Hotkey\Hcontrol.exe' и 'C:\Program Files\Wireless Console 2\wcourier.exe' вылезает на долю секунды окно DOS и закрывается. Видимо, тоже самое происходит при каждой загрузке ноута, то, о чем я писал в самом первом сообщении.
Добавлено через 21 минуту
И еще, вопрос, возможно не по теме. В окнах Windows часть файлов отображена синим шрифтом во многих папках без какой-либо системы, причем не только на ноуте, но и на рабочем компе. Цвет не изменить. Подскажите пожалуйста, что это может быть. Может какое-то приложение их выделяет? Знакомые админы разводят руками :)
NickGolovko
14.09.2009, 16:15
Гмм...
Поинтересуюсь у нашего эксперта-вирусолога, как быть в этой ситуации.
Добавлено через 1 минуту
Знакомые админы разводят руками
На костер таких админов :) Это сжатие редко используемых файлов, система выполняет его для уменьшения места на диске.
Vladimirzzz
14.09.2009, 19:32
Проверил с помощью DrWeb CureIt. Вирусов не обнаружено. Сделал лог Gmer. Скажите в последних моих логах осталась Авира?
NickGolovko
15.09.2009, 08:40
Те файлы, которые я просил вас прислать, не являются исполняемыми: вместо заголовка у них мусор. Этому может быть два объяснения:
1) у вас злобный файловый вирус, который портит исполняемые файлы так, чтобы их невозможно было запустить;
2) у вас проблемы с жестким диском.
Загрузите какую-либо программу для проверки здоровья жесткого диска (например, HDDLife или SmartHDD) и посмотрите, все ли с ним в порядке. Можете сохранить отчет и приложить его сюда.
Vladimirzzz
16.09.2009, 01:09
Проверил с помощью HDDLife.
NickGolovko
16.09.2009, 08:10
Показатели вполне нормальные - 93 (из 100).
Возьмите в карантин несколько исполняемых файлов, которые у вас не запускаются, и пришлите по правилам. Посмотрим, такое же у них повреждение или другое.
Vladimirzzz
17.09.2009, 01:40
Запрошенный карантин прислал.
Может все-таки проще будет винду переустановить, а потом антивирусом подчистить?
NickGolovko
17.09.2009, 19:20
А с этими файлами все нормально - они исправны, и в них нет инфекции.
Откройте AVZ - Сервис - Менеджер автозапуска. Выделите в меню слева пункт AppInit_DLLs. Там есть какие-либо упоминания о prio.dll?
Vladimirzzz
17.09.2009, 20:03
Этот пункт совершенно пустой. В нем нет ни одной записи.
NickGolovko
17.09.2009, 20:27
Интересно...
Если у вас есть установочный диск с Windows, можно попробовать выполнить восстановление (вместо полной переустановки). Системные файлы будут заменены, ваши данные - сохранены.
Vladimirzzz
25.09.2009, 02:30
Спасибо всем, кто пытался помочь. Все равно все закончилось переустановкой винды :). Все, что осталось, подчистил NOD32. В дополнение установил Outpost Firewall Pro 2009. Надеюсь, этого будет достаточно.
CyberHelper
26.09.2009, 02:30
Статистика проведенного лечения:
Получено карантинов: 3
Обработано файлов: 47
В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\ice_time.dll - HackTool.Win32.Nice.b ( AVAST4: Win32:Trojan-gen {Other} )
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot