Printable View
Здравствуйте! Несколько недель не могу избавиться от Санитара диска, лезет как системное сообщение при открытии IE и проводника, иногда и без повода. Spyware Doctor находит и вычищает следы после срабатывания, но не может предотвратить. NOD32 иногда ловит и блокирует единичные следы, но не избавляет тоже. Логи AVZ и Hijackthis прилагаю. Заранее очень благодарен за помощь
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7950A66E-2734-44FA-8FB3-BADA77D27D3B}');
QuarantineFile('C:\WINDOWS\system32\avwa.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
DeleteFile('C:\WINDOWS\system32\avwa.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=27917[/URL]
3. Повторите логи.
Все сделал, вот только после исполнения Вашего скрипта, хотя мб с ним это связано только хронологически, AVZ стала зависать на лечении и не сохранять лог. Я ее скачал заново, но виснет в конце лечения постоянно. Проверку делает, а на лечении виснет. Я здесь прилагаю вид выданной ей ошибки, а также данные о присланном карантине и логи virusinfo_syscheck и hijackthis.
Результат загрузки
Файл сохранён как 080812_023900_virus_48a13e147e3a5.zip
Размер файла 186394
MD5 9012f37f4591eb6a415c2eccf96c1d32
g:\ - это что ?
Это флэшка была не отцеплена на момент скана
выполните со вставленной флешкой ...
[code]
begin
QuarantineFile('G:\autorun.inf','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
Файл сохранён как080812_132429_avz00001_48a1d55dacd91.zipРазмер файла337MD56d631eb822d42bd38e4029272e849f9f
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Так читабельнее:
Результат загрузки
Файл сохранён как 080812_132429_avz00001_48a1d55dacd91.zip
Размер файла 337
MD5 6d631eb822d42bd38e4029272e849f9f
G:\autorun.inf - на диске есть в карантине нет .... пришлите согласно приложения 2 правил ... и антивирус не забудьте отключить ...
Вот теперь все правильно:
Файл сохранён как 080812_134433_virus_48a1da11b824e.zip
Размер файла 2368
MD5 329ad4d40fed807f0718227e4ea1735d
RavMonE.exe поищите при помощи авз и пришлите согласно приложения 2 правил ...
Подскажите, а как искать при помощи AVZ определенный файл. Я попробовал Добавление в карантин по списку, выдало:
Ошибка карантина файла, попытка прямого чтения (RavMonE.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\RavMonE.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\RavMonE.exe) Карантин с использованием прямого чтения - ошибка
авз - сервис - поиск файлов на диске ... выбираете все диски ...
Ни AVZ, поиск Windows этот файл не находят. Пробовал раза 4
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('G:\autorun.inf');
DeleteFile('G:\RavMonE.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи (все делать с флешкой )
Скрипт выполнил, стандартные скрипты для логов тоже, но syscure продолжает глючить и в итоге сбоит, не записывая лога - она создала пустой зип.файл[URL="http://virusinfo.info/attachment.php?attachmentid=67070&stc=1&d=1218577447"]virusinfo_cure.zip [/URL](прилагаю здесь). Также прилагаю картинки интерфейса AVZ на момент сбоя.
в логах ничего плохого .... скрипт лечения карантина похоже не выполняетсяиз-за не корректной работы спайвере доктора , рекомендуется его деинсталировать и установить полноценный антивирус ....
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\avwa.dll - [B]Rootkit.Win32.Podnuha.amq[/B] (DrWEB: Trojan.DownLoad.2084)[/LIST][/LIST]