появился зловред.
прогнал штатным нодом, нашел 1 вирус, кюрит нашел еще 1 файл.
авз добавил еще 4 файла в карантин. архив имеется.
логи прилагаются.
Printable View
появился зловред.
прогнал штатным нодом, нашел 1 вирус, кюрит нашел еще 1 файл.
авз добавил еще 4 файла в карантин. архив имеется.
логи прилагаются.
[b]Восстановление системы отключить.[/b]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\System32\Drivers\tkzkyeep.SYS','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
сдается мне, это надолго.((
карантин после скрипта был пустой. вышлю карантин, который авз собрал в первый день лечения.
Файл сохранён как 091204_164637_virus1_4b1912bd5082b.zip
Размер файла 749251
MD5 4f2531eedba53c65feaced14870a3120
p.s. пробовал вводить код 6550. не помогло.
p.p.s. вчера с аналогичной проблемой (тоже на ноуте, только с WinXP Home) столкнулся мой товарищ. Стал лечить по правилам, чтобы логи собрать. после лечения кюритом в безопаснике, при загрузке системы ноут вылетает в бсод с ошибкой 0x0000007e. при попытке восстановить с дистрибутива система не видится. пробовал фиксить мбр - тоже самое. Как бы тут такое при лечении не произошло(
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\System32\drivers\zefbievb.sys','');
DeleteFile('C:\Windows\System32\drivers\zefbievb.sys');
DeleteFile('70.103.101.103\aekgoprn.dll');
BC_DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('\SystemRoot\System32\Drivers\rwrsdeel.SYS');
BC_DeleteFile('\SystemRoot\System32\Drivers\rwrsdeel.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме
карантин пустой. присылать нечего.
вот лог.
[B]AVZ[/B]-[B]AVZ Guard[/B]-включить [B]AVZ Guard[/B]
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
вот (емнип, забыл браузер запустить)
[b]Восстановление системы отключить.[/b]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('70.103.101.103\aekgoprn.dll');
BC_DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('\SystemRoot\System32\Drivers\kmgwiacf.SYS');
BC_DeleteFile('\SystemRoot\System32\Drivers\kmgwiacf.SYS');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
[QUOTE='snifer67;525443']ПК перезагрузится.[/QUOTE]
пк перезагрузил сам (в скрипте команду прописать забыли).
окно не пропало.
сделал лог(позволил себе включить авз гард).
вот.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('С:\WINDOWS\system32\DRIVERS\rimsptsk.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\rixdptsk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
[QUOTE=snifer67;525492]Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('С:\WINDOWS\system32\DRIVERS\rimsptsk.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\rixdptsk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте ![/QUOTE]
к сожалению пришлось перегружаться: зарядка кончилась.
поэтому сначала сделал лог пункта 2 Диагностики(во вложении), и выполнил скрипт по образцу вашего:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\Device\HarddiskVolume2\Windows\System32\wbem\WMIADAP.exe','');
QuarantineFile('c:\windows\System32\wbem\WMIADAP.exe','');
DeleteFile('c:\windows\System32\aekgoprn.dll');
DeleteFile('\\.\70.103.101.103\aekgoprn.dll');
QuarantineFile('c:\windows\System32\Drivers\RTL8187B.sys','');
DeleteFile('c:\windows\System32\Drivers\RTL8187B.sys');
QuarantineFile('c:\windows\System32\Drivers\adfxiaic.SYS','');
DeleteFile('c:\windows\System32\Drivers\adfxiaic.SYS');
BC_DeleteFile('c:\windows\System32\Drivers\adfxiaic.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
окошко не пропало.
потом сделал лог из п.2 Диагностики снова (во вложении).
ноут, благо, на зарядке
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\loinxbcn.SYS','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\loinxbcn.SYS');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п.2 Диагностики и новый лог прикрепите к новому сообщению
"на западном фронте без перемен..."
...правда, в карантине появились описания.
Файл сохранён как 091204_220157_virus3_4b195ca53597f.zip
Размер файла 1183
MD5 24364ae7edd9bf63d90c2e6cdb8b5134
а вот лог по п.2
AVZ-AVZ Guard-включить AVZ Guard
Выполнить скрипт
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
ПК перезагрузится
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
[B]Когда сделаете лог ПК не перезагружайте![/B]
скрипт выполнил. только драйвер уже загружен был. да и ноут я перегружал, только если того требовал скрипт.
на этот раз решил поискать эти файлы ручками:
1й - rixdptsk.sys. нашелся в двух местах:
c:\Windows\System32\drivers\rixdptsk.sys
c:\Windows\System32\DriverStore\FileRepository\rixdptsk.inf_41a97d5f\rixdptsk.sys
его удалось скопировать и добавить в архив руками. архив запоролил стандартно:
Файл сохранён как 091204_230053_virus4_4b196a756d5b1.zip
Размер файла 19715
MD5 4db56b9376a14361d5fc1175a483bed5
2го - romypaia.SYS физически не видно.
пока все
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\romypaia.SYS','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\drivers\rixdptsk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\romypaia.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новы лог прикрепите к новому сообщению
в карантине не прибавилось, но все же:
Файл сохранён как 091205_000659_virus5_4b1979f35c87d.zip
Размер файла 1182
MD5 978743eb49edd8dfceb5aed70dad2dac
предыдущий файл чем-нибудь помог?
вот лог по п.2
Вы отключили восстановление системы?
[QUOTE=shapel;525850]Вы отключили восстановление системы?[/QUOTE]
еще до того, как создавать тему.
все сделал, как описано в Приложении 1 к [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL]. несколько раз проверял - пишет отключено.