вирус

Printable View

Показывать 40 сообщений этой темы на одной странице

01.07.2009, 21:33
andrey--

вирус

постоянно через некоторое время после включения компа сканер ДрВэба отлавливает вирус, убивает его, но при последующем включении все повторяется. Полная проверка ничего не дает. Видимо, вирь хитрО прячется...
01.07.2009, 22:16
gjf

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
[B]- [URL="http://virusinfo.info/showthread.php?t=4905"]Системное восстановление[/URL]!!![/B]
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis:[/URL]
[CODE]O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winmd56');
StopService('vaxscsi');
StopService('msupdate');
StopService('appdrvrem01');
QuarantineFile('c:\windows\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmd56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\vaxscsi.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\p1c1394.sys','');
QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ajmqcs7u.SYS','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a28rieov.SYS','');
DeleteFile('C:\WINDOWS\System32\appdrvrem01.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\a28rieov.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\ajmqcs7u.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmd56.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winmd56');
BC_DeleteSvc('appdrvrem01');
BC_DeleteSvc('msupdate');
ExecuteRepair(1);
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- [URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог с помощью GMER.[/URL]
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
03.07.2009, 14:11
andrey--

пофиксил, поскриптил...))
не помогло. ДрВэб продолжает ругаться. и еще- после выполнения скриптов в системе появилось новое устройство. какое и откуда оно там взялось- выяснить не могу...
03.07.2009, 14:27
gjf

На кого конкретно и как ругается DrWeb - можете процитировать?
Найдите вот этот файл: C:\WINDOWS\System32\Drivers\vaxscsi.sys заархивируйте в zip-архив и пришлите в карантин по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=49106[/url]

За устройство не беспокойтесь - это мы потом уберём.

И ещё: сделайте логи [URL="http://gjf.hotbox.ru/monk.pif"]вот этой версией AVZ[/URL]. Файл, когда скачаете, просто запустите - не волнуйтесь, нестандартное расширение - это нормально.
03.07.2009, 17:52
andrey--

сделал скриншот...
добавил логи ...
04.07.2009, 00:26
andrey--

скрин ДрВэба
[url]http://webfile.ru/3751414[/url]
[url]http://webfile.ru/3751416[/url]

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

файл "C:\WINDOWS\System32\Drivers\vaxscsi.sys" ненашел... ни в ручную, ни поиском...
04.07.2009, 03:20
gjf

[URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]

Это должно помочь. Скорее всего, у Вас "набор" вирусов был подцеплен из интернета при активном заражении, он находится в кеше браузера. После очистки он исчезнет. Также возможно, что Вы снова и снова подхватываете заразу при посещении заражённых сайтов.

Попробуйте сразу после очистки кеша с отключенным интернетом провести полную проверку системы, а потом включить интернет и поработать. Предупреждения будут снова появляться?
04.07.2009, 13:23
andrey--

чистил сиклинером... восстановление отключено.
зависимости появления предупреждений не нашел. включен инет, не включен или просто включил комп, прошло минут пять- оппа, есть...
правда время до предупреждений разное. бывает раньше, бывает позже.
04.07.2009, 19:08
gjf

- Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
[B]- Антивирус и Файрвол.[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('%SystenRoot%\System32\*.*','');
DeleteFile('%SystenRoot%\System32\netevent.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEMCurrentControlSetServicesEventlogSystemip100xp','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Система перезагрузится.
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=10025"]Очистите темп-папки, кэш проводников и корзину.[/URL]
[B]- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!![/B]
- Сделайте повторные логи согласно [URL="http://virusinfo.info/pravila.html"]Правил (Диагностика)[/URL]
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрволл
- Подключите ПК к интернету/локальной сети
- Загрузите карантин согласно [URL="http://virusinfo.info/pravila.html"]Правил (Приложение 3)[/URL].
- Прикрепите новые логи к новому сообщению в этой ветке.
06.07.2009, 20:56
andrey--

сделал...
06.07.2009, 20:59
andrey--

еще...
07.07.2009, 02:08
gjf

Что с проблемой?
07.07.2009, 14:16
andrey--

[QUOTE=gjf;427943]Что с проблемой?[/QUOTE]
к сожалению, ничего не изменилось...
все также появляется предупреждение об удаленном вирусе...
попробую снять жесткий диск и проверить Касперским на другом компе...
07.07.2009, 15:26
gjf

Ну можно было и просто с LiveCD загрузиться...
07.07.2009, 15:37
andrey--

[QUOTE=gjf;428182]Ну можно было и просто с LiveCD загрузиться...[/QUOTE]
ну мы ж не исчем легких путей ;)
да и уметь это надо... а я ж так, юзер :)
07.07.2009, 15:40
gjf

Ничего уметь не надо. Качаете диск, записываете на болванку, вставляете в привод, перегружаетесь...
07.07.2009, 15:58
andrey--

ок, вечером попробую.
да, касперский тоже ничего не нашел...:(
чтож это такое? как так вирус прятаться может?
07.07.2009, 16:40
gjf

Раз уж отключили винчестер и подключили к другой машине - может попробуете просканировать свежими AVPTool / CureIT? Возможно, установленный там Касперский давно не обновлялся...
07.07.2009, 18:46
andrey--

[QUOTE=gjf;428232]Раз уж отключили винчестер и подключили к другой машине - может попробуете просканировать свежими AVPTool / CureIT? Возможно, установленный там Касперский давно не обновлялся...[/QUOTE]
нее, комп рабочий, карсперский лицензионный, обновления ежедневные...
09.07.2009, 21:48
andrey--

эммм... так как быть-то?

Показывать 40 сообщений этой темы на одной странице