И базы не могут обновиться. И avz не запускается, пришлось обманывать файлом pingpong.pif. Наверное, что-то плохое залезло. Посмотрите, пожалуйста.
Спасибо.
Printable View
И базы не могут обновиться. И avz не запускается, пришлось обманывать файлом pingpong.pif. Наверное, что-то плохое залезло. Посмотрите, пожалуйста.
Спасибо.
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Schedule');
QuarantineFile('C:\WINDOWS\system32\timgmon.dll','');
QuarantineFile('C:\WINDOWS\system32\timghook.dll','');
QuarantineFile('C:\WINDOWS\system32\sbrige.dll','');
QuarantineFile('C:\WINDOWS\system32\cryptlnk.dll','');
QuarantineFile('C:\WINDOWS\system32\comnsazt.exe','');
QuarantineFile('C:\WINDOWS\system32\capljrmx.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe');
QuarantineFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe','');
TerminateProcessByName('c:\documents and settings\localservice.nt authority\svchost.exe');
QuarantineFile('c:\documents and settings\localservice.nt authority\svchost.exe','');
TerminateProcessByName('c:\documents and settings\Администратор\svchost.exe');
TerminateProcessByName('c:\windows\system32\drivers\services.exe');
TerminateProcessByName('c:\windows\system32\comnsazt.exe');
QuarantineFile('c:\windows\system32\comnsazt.exe','');
QuarantineFile('c:\windows\system32\capljrmx.exe','');
DeleteFile('c:\windows\system32\capljrmx.exe');
DeleteFile('c:\windows\system32\comnsazt.exe');
DeleteFile('c:\windows\system32\drivers\services.exe');
DeleteFile('c:\documents and settings\Администратор\svchost.exe');
DeleteFile('c:\documents and settings\localservice.nt authority\svchost.exe');
DeleteFile('c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\svchost.exe');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('C:\WINDOWS\system32\capljrmx.exe');
DeleteFile('C:\WINDOWS\system32\comnsazt.exe');
DeleteFile('C:\WINDOWS\system32\cryptlnk.dll');
DeleteFile('C:\WINDOWS\system32\csdlocalmon.dll');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\system32\sbrige.dll');
DeleteFile('C:\WINDOWS\system32\timghook.dll');
DeleteFile('C:\WINDOWS\system32\timgmon.dll');
DeleteFile('sbrige.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 2 правил
повторите логи
Карантин отправил.
Новые логи после выполнения скрипта. Поглядите, пожалуйста.
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [bcswinsc] comnsazt.exe
O4 - HKCU\..\Run: [bcswinsc] comnsazt.exe
O20 - Winlogon Notify: cryptlnk - cryptlnk.dll (file missing)
O20 - Winlogon Notify: sbrige - C:\WINDOWS\
[/code]
Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(9);
ExecuteRepair(13);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Попробуйте стандартную AVZ и обновление баз.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Чего-то не выходит каменный цветок. Стандартная avz не хочет исполняться, вылетают окошки одно за другим access violation at address не помню уж какой in module "avz.exe". Что бы это значило? Так что новые базы не удалось загрузить.
А pingpong.pif работает.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sbunit.sys','');
QuarantineFile('C:\WINDOWS\system32\slave.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
Отправил...
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\sbunit.sys','');
DeleteFile('C:\WINDOWS\system32\slave.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки сделайте новые логи.
Пока вы не прислали нового рецепта, догадался скачать CureIt и запустить. Нашлось пара вирусов Trojan.Alupko.14, Trojan.Proxy.origin. Тогда стал запускаться штатный DrWeb и нормально работать со своими базами. Однако SpIDer Mail дает ошибку инициализации и не работает. Сидит в трее и пишет, что disabled.
Штатный же avz после перезагрузки сначала не запускается, но после однократного запуска сканера DrWeb - просто включить и выключить после подготовки к сканированию - запускается. При следующей перезагрузки опять сразу не хочет.
После выполнения последнего скрипта это поведение сохранилось.
Вот логи штатного avz.
нет ли там чего подозрительного?
авз там еще кое-кого прибил .... как ведет себя система ?
Ну да, авз еще вынес сидевшего в корне с:\ гада. А поведение системы именно как описано выше: spider mail дает при входе ошибку инициализации и не работает, avz согласен исполняться толко после запуска drweb экспресс скан, который ничего при этом не находит.
А так все чинно, инет пашет, офисные приложения тоже. Проц ничем лишним не занят, память тоже.
Protector Plus это что у вас за зверь ?
А это остатки regrun reanimator. Какой-то там partizan, который должен присматривать за rootkitами. Я его как бы удалил, когда прогу убрал, но он что-то не удалился, так и сидит месяца 2 уже.
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('PPEMSCAN');
DeleteService('PPDrv');
DeleteService('Partizan');
DeleteFile('C:\WINDOWS\system32\drivers\Partizan.sys');
DeleteFile('C:\Protector Plus\PPDrv.sys');
DeleteFile('C:\Protector Plus\PPEMSCAN.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
ипопробуйте деисталировать алкоголь
Wow! Это был гениальный ход - снести левый алкоголь! Просто удаление partizan & protector вроде как ничего не изменило, зато после выноса алкоголя spidermail немедленно активизировался и прекратилась дурь с авз.
Осталось только непонятное сообщение после загрузки об ошибке инициализации, но уже непонятно, чего именно.
В общем- трезвость - норма жизни!
Огромное спасибо!
Вдруг после перезагрузки браузеры стали сами закрываться - что IE, что Mozila. Перезагрузился, проверил дрвебом - чисто. Теперь перестали сразу закрываться, начали через какое-то время зависать.
Словом, просьба большая еще посмотреть новые логи - нет ли чего плохого?
Спасибо!
Чисто...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\localservice.nt authority\\svchost.exe - [B]Trojan.Win32.Nosok.bp[/B] (DrWEB: Trojan.Alupko.14)[*] c:\\documents and settings\\администратор\\svchost.exe - [B]Trojan.Win32.Nosok.bp[/B] (DrWEB: Trojan.Alupko.14)[*] c:\\documents and settings\\администратор\\главное меню\\программы\\автозагрузка\\userinit.exe - [B]Trojan.Win32.Nosok.bp[/B] (DrWEB: Trojan.Alupko.14)[*] c:\\windows\\system32\\capljrmx.exe - [B]Trojan.Win32.Qhost.kma[/B] (DrWEB: Trojan.DownLoad.3249)[*] c:\\windows\\system32\\comnsazt.exe - [B]Backdoor.Win32.SdBot.hhr[/B] (DrWEB: BackDoor.IRC.Sdbot.1337)[*] c:\\windows\\system32\\cryptlnk.dll - [B]Trojan-Spy.Win32.Goldun.azb[/B] (DrWEB: Trojan.PWS.GoldSpy.2261)[*] c:\\windows\\system32\\sbrige.dll - [B]Trojan-Spy.Win32.Goldun.avc[/B] (DrWEB: Trojan.PWS.GoldSpy.2391)[*] c:\\windows\\system32\\sbunit.sys - [B]Trojan-Spy.Win32.Goldun.azg[/B] (DrWEB: Trojan.NtRootKit.1518)[/LIST][/LIST]