на компе куча вирусов

Не налетайте по поводу правил. Правила я читал, постю не первый раз.

1. Не запускается безопасный режим
2. не запускается AVZ
3. не запускается HiJack

посоветуйте как добыть для вас логи
спасибо

AVZ переименовывали? полиморфную версию пробовали? запускается ли AVPTool или CureIt? удается ли запустить GMER?

[B]NickGolovko[/B],
переименовал - не помогло
где взять полиморфную версию?

запустил HiJack после полной проверки нодом:

[QUOTE='NickGolovko;465210']запускается ли AVPTool или CureIt?[/QUOTE]
ни то не другое не запускается

[QUOTE='NickGolovko;465210']удается ли запустить GMER?[/QUOTE]
а что это?

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

скачал полиморфный по ссылке данной в этой теме:
[url]http://virusinfo.info/showthread.php?t=54314&highlight=%EF%EE%EB%E8%EC%EE%F0%F4%ED%FB%E9[/url]

[B]не запускается![/B]

[size="1"][color="#666686"][B][I]Добавлено через 29 минут[/I][/B][/color][/size]

помогите пожалуйста!!!

Удалось запустить GMER:

HELP PLZ!!!

[size="1"][color="#666686"][B][I]Добавлено через 57 минут[/I][/B][/color][/size]

ну блин, неужели никто не знает что делать?
Хелперы???

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

up

Все онемели от восхищения :) Даже по логу HJT видно, какая у вас интересная инфекция. :)

Сейчас будем смотреть.

=)
это излечимо?

Начнем с GMER. Сохраните приведенный ниже код под именем cleanup.bat в той же папке, где находится GMER, после чего запустите этот файл. Система перезагрузится.

[CODE]
y0jk4n38.exe -del file "C:\WINDOWS\System32\drivers\svchost.exe"
y0jk4n38.exe -del file "C:\WINDOWS\system32\twext.exe"
y0jk4n38.exe -del file "C:\WINDOWS\system32\servises.exe"
y0jk4n38.exe -reboot
[/CODE]

Затем пофиксите в HijackThis:

[CODE]F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\123\LOCALS~1\Temp\init.exe,C:\WINDOWS\system32\twext.exe,
O1 - Hosts: 210.51.166.253 vkontakte.ru
O1 - Hosts: 210.51.166.253 www.vkontakte.ru
O1 - Hosts: 210.51.166.253 odnoklassniki.ru
O1 - Hosts: 210.51.166.253 www.odnoklassniki.ru
O1 - Hosts: 210.51.166.253 odnoklasniki.ru
O1 - Hosts: 210.51.166.253 www.odnoklasniki.ru
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O4 - HKLM\..\Run: [KILOKFBN] %systemroot%\KILOKFBN.exe
O4 - HKLM\..\Run: [AHRFQNIG] %systemroot%\AHRFQNIG.exe
O4 - HKLM\..\Run: [Generic Host for Win32 Services] $‘|ЂА—|ъ‘||=
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
[/CODE]

Еще раз перезагружайтесь и пробуйте запустить полиморфную AVZ со случайно выбранным именем.

Сделал.

GMER на третьем фаиле выдал ошибку, сказал что его не существует

полиморфный не запускается, обычный тоже не запускается

логи прилагаю.

[COLOR="Olive"][B][В работе][/B][/COLOR]

А по логам вроде зачистилось.

Полиморф хорошо переименовали? :) хорошее имя - что-то вроде ckwejf.pif.

Попробуйте запустить полиморф из командной строки с ключом AM=Y.

[B]NickGolovko[/B],
зачиститьсо то может и зачистилось, только нифига не запускается =)

[QUOTE='NickGolovko;465596']хорошее имя - что-то вроде ckwejf.pif.[/QUOTE]
расширение тоже переименовать??? Как он тогда его запустит?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

я делал имя go.exe

pif прекрасно запускается.

Так что меняйте расширение спокойно, и не забудьте про ключ командной строки, о котором я написал выше.

не запускается никак :O
неужели это конец??? :?

ура, после сто тыщь перезагрузок, и входа под Администратором - запустилась!!!

в безопасном режиме не грузится - БСОД,
мне бы безопасный режим загрузить, а там кьюритом убить всех. Я думаю он сможет :)

Ну и чего вы загрузили? :) Это карантин, а нужны логи. :)

после проверки не сильно что изменилось,
под пользователем avz так и не запускается и всё остальное тоже (CureIt, AVTool, avz)

Логи-то AVZ сделайте по правилам, из-под администратора :)

при запуске полиморфного avz под админом, сейчас выдаёт такую ошибку:
"Access violation at address [B]004AE082[/B] in module "ckwejf.pif". Read of address 00000030"
после нажатия ОК:
"Access violation at address [B]004A3F9C[/B] in module "ckwejf.pif". Read of address 00000030"

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[B]NickGolovko[/B], всё что удалось сделать, сразу выкладываю
пока только один лог

Напоминает файловый вирус, что мне уже совсем не нравится.

Загрузите тот файл полиморфа, что у вас имеется сейчас, в архиве с паролем virus по ссылке отправки карантина, после чего попробуйте перезакачать полиморф, переименовать тем же образом, запустить с тем же ключом и добыть логи.

Если с логами никак, попытайтесь хотя бы выполнить скрипт восстановления системы №10 и немедленно перезагрузиться в безопасный режим.

[B]NickGolovko[/B],
извиняюсь, не туда ткнул =)

Уже лучше :) Сейчас подготовлю скрипт, а вы пока займитесь подготовкой нового полиморфа и загрузкой старого. :)

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Скрипт:

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\KORXPWQT.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\iqfvs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fciekvesm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\fpeglop.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\DOCUME~1\123\LOCALS~1\Temp\init.exe','');
DeleteFile('C:\DOCUME~1\123\LOCALS~1\Temp\init.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\WINDOWS\system32\drivers\fpeglop.sys');
DeleteFile('C:\WINDOWS\system32\drivers\fciekvesm.sys');
DeleteFile('C:\WINDOWS\system32\drivers\iqfvs.sys');
DeleteFile('C:\WINDOWS\system32\drivers\KORXPWQT.sys');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
BC_ImportALL;
BC_QrSvc('KORXPWQT');
BC_QrSvc('haizicwcwizjxn');
BC_QrSvc('ffbvlzixymea');
BC_QrSvc('bhkjzuf');
BC_DeleteSvc('KORXPWQT');
BC_DeleteSvc('haizicwcwizjxn');
BC_DeleteSvc('ffbvlzixymea');
BC_DeleteSvc('bhkjzuf');
ExecuteSysClean;
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

P.S. У вас есть учетная запись В Контакте или на Одноклассниках?

[QUOTE='NickGolovko;465910']после чего попробуйте перезакачать полиморф, переименовать тем же образом, запустить с тем же ключом[/QUOTE]
та же ошибка.
скачивал новый, переименовывол по другому, запускал с ключем.
Ошибка та же.

[QUOTE='NickGolovko;465910']выполнить скрипт восстановления системы №10[/QUOTE]
это как? и где?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='NickGolovko;465921']P.S. У вас есть учетная запись В Контакте или на Одноклассниках? [/QUOTE]

комп который мы лечим, не мой. У того кто за ним работает, есть учетная запись вконтакте, думаю в одноклассниках тоже есть.

если вопрос личный - то у меня тоже есть уч. з. вконтакте =)

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

[B]NickGolovko[/B],
[QUOTE]begin
ExecuteRepair(10);
RebootWindows(true);
end.[/QUOTE]
вот это 10 скрипт?
если да - то как я его запущу, если у меня не запускается avz никак?

А если переложить полиморф, например, в корень диска? У вас, как я вижу, в пути к файлу есть буквосочетание "avz".

[B]NickGolovko[/B],
вы писали: [url]http://virusinfo.info/showpost.php?p=98776&postcount=29[/url]

может вручную сделать это как то можно?

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

[B]NickGolovko[/B],
запустился полиморфный AVZ с ключем AM=Y, причем из под пользователя

что делать?

вытащил лог проверки

запускать тот скрипт который вы написали???

[QUOTE='Vitus.virusinfo;465941']комп который мы лечим, не мой. У того кто за ним работает, есть учетная запись вконтакте, думаю в одноклассниках тоже есть.[/QUOTE]

Спросите, не загружались ли в последнее время из этих социальных сетей какие-либо приложения.

[size="1"][color="#666686"][B][I]Добавлено через 32 секунды[/I][/B][/color][/size]

Да, запускайте скрипт.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Желательно из-под администратора

[B]NickGolovko[/B],
[QUOTE='NickGolovko;465990']Желательно из-под администратора [/QUOTE]
уж запустился из под юзера, дак не буду закрывать, а то опять не запуститься :D
ща сделаю скрипт ваш

Из-под пользователя вряд ли что-то удалится :) ну ладно, пробуйте как есть. Потом попытайтесь загрузиться в безопасном режиме.

[B]NickGolovko[/B],
ПОЛУЧИЛОСЬ!!! :094:
завис при перезагрузке (пришлось жестко), но загрузился в безопасном.
Запустил на проверку CureIt'ом

На счет приложений из соц. сетей, говорит не грузила ничего.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

кстати после перезагрузки AVZ (обычный) из под юзера запустился без проблем
так что скриптик что надо :beer:

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE='NickGolovko;465990']Спросите, не загружались ли в последнее время из этих социальных сетей какие-либо приложения.[/QUOTE]
а что вы там увидели, расскажите?

Воровство паролей от социальных сетей я увидел :) поэтому так охочусь за карантином. Новых приложений В Контакте пользователь тоже не добавлял? После проверки в безопасном пробуйте грузиться в обычном, входить как админ и выполнять тот же скрипт еще раз. Потом пришлите образовавшийся карантин.

[B]NickGolovko[/B],
нет, приложений не добавляла, но приходило сообщение от подруги спамерское,
типо со ссылкой на сайт знакомств.
к сожалению она его удалила.
было ещё одно сообщение:
[B][I]" приветик . тут узнали про акцию, получили голоса бесплатно
[url]http://vkontakte.ru/note13890808_7485619[/url] "[/I][/B] [COLOR="Red"](СПАМ)[/COLOR]

может и отсюда

Проверил всё что можно было.
CureIt в безопасном режиме удалил 5 вирусов.
Держите последние логи и карантин

Компу гораздо полегчало...

Несколько раз вываливался синий экран

Итак, обычная AVZ запускается. Это хорошо.

Загрузите тогда последнюю версию (4.32) и сделайте еще раз лог syscure. Я так и не понял, ушел sfc.sys или нет; нужно удостовериться.

И уберите наконец из системы драйвер от Касперского :)

[B]NickGolovko[/B],
продолжаем =)
sfc помоему остался, как это проверить?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

как убрать всё что от касперского?

[QUOTE='Vitus.virusinfo;467500']sfc помоему остался, как это проверить?[/QUOTE]

[QUOTE='NickGolovko;466358']Загрузите тогда последнюю версию (4.32) и сделайте еще раз лог syscure. [/QUOTE]

:)

[QUOTE='Vitus.virusinfo;467500']как убрать всё что от касперского?[/QUOTE]

Посмотрите в Autoruns. Что найдете - отключите, сняв галочку.