вирусы сводят меня с ума

..Вообщем ситуация следующая, в компьютерах разбираюсь по-скольку по-стольку, но вроде

мозги на месте, комп рабочий, по-этому инфа в нем бесценная..недели 3 назад сменил ОС с

форматом диска С,..поставил XP sp3..и все вроде хорошо, но недавно искал в интернете

прошивку и выскочило окошко, хотя отрубал в мозиле, и я по инерции нажал ОК, ну и мне

соответственно за пару секунд установился кой-то антивирус..тут же просканил систему,

естественно нашел вирусы и предложил полечиться, конечно же за деньги..вообщем с трудом но

удалил его..в процессах и в установленных прогах его не было, папка скрыта и даже не

появлялась когда ставил показать скрытые и системные..а просто файлы не удалялись - нет

доступа..удалил файлик из автозагрузки, потом и папку, почистил ключи прогой

WinUtillities..вроде победил..фух..но через пару дней обнаружил, что пропал антивирус (Avira

personal 10)..осталась только папочка в пуске..и устанавливаться не хочет..не ставиться файл

апдейта и из-за этого не устанавливается вся авира, говорит перегрузись, попробуй еще раз..
..вообщем я так и не понял в какой момент они (вирусы) поналазили, но теперь очень много

программ не работает..сначала запускал AVZ..исправлял проблемы..подмена диспетчера задач и

отображение папок..но сканирование не доходило до конца..очень медленно и

подвисало..запустил cure it..нашел 70 инфиц файлов, поудалял\полечил..но проблемы остались..
..сегодня нормально запустилась AVZ я выполнил нужные скрипты, посохранял логи, они вложены..
Помогите пожалуйста, систему сносить крайне не желательно..

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-
-[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
StopService('eoooohja');
DeleteService('eoooohja');
QuarantineFile('C:\Documents and Settings\Твёрдый\Application Data\Microsoft\poozouhob.exe','');
QuarantineFile('srservice.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\zookannyvo.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lujoulof');
DeleteFile('C:\WINDOWS\system32\zookannyvo.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srservice.sys');
DeleteFile('C:\Documents and Settings\Твёрдый\Application Data\Microsoft\poozouhob.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('eoooohja');
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/code]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

- Файл [b]C:\WINDOWS\system32\Drivers\NDIS.sys[/b] замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].
- [url="http://virusinfo.info/upload_virus.php?tid=85069"]Закачайте файл ..\avz\quarantine.zip[/url] для анализа.
- Сделайте лог полного сканирования [url="http://virusinfo.info/showthread.php?t=53070"]MBAM[/url].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

щас буду пробовать, спасибо

[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]

заменяю C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из системной папки dllcache пишет диск переполнен или защищен от записи, подскажите пожалуйста как это побороть

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

"Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств."
..кстати, таки появилось - удалил..

[QUOTE=tverdij;685566]как это побороть[/QUOTE]
Делайте через консоль восстановления или загрузившись с Live CD.

но у меня нет диска с виндой

[QUOTE=tverdij;685618]но у меня нет диска с виндой[/QUOTE]Сорри, но тут мы Вам не можем помочь. Найдите подобную ОС в Вашем окружении и возьмите файл оттуда.

значит завтра возьму на работу диск,
а остальное пока не заменю тот файлик есть смысл делать? или перенесем на завтра? =)

[QUOTE=tverdij;685640].
а остальное ... есть смысл делать?.[/QUOTE]Выполните скрипт и пришлите карантин. Может и ложная тревога, но мне этот файл не понравился.

уже отправил карантин

[QUOTE]C:\WINDOWS\system32\Drivers\NDIS.sys - Virus.Win32.Protector.f[/QUOTE]
заменяйте

выполнил полное сканирование MBAM? но лога в папке нет, я сохранил отчет в тхт файл, так подойдет?

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

[QUOTE=polword;685669]заменяйте[/QUOTE]

нет диска с ОС, только завтра смогу

вот этот лог MBAM

завтра, так завтра

=)
а что мне с этим MBAMom делать..?..удалять то что он нашел..?..ну..кроме, конечно, моих рабочих программ..

[QUOTE=tverdij;685697]=)
а что мне с этим MBAMom делать..?..удалять то что он нашел..?...[/QUOTE]Да, можете удалять.

ок
спасибо
и до завтра
=)

Добрый день
..я снова со своими проблемами..
..файлик заменил..система перестала запускаться..синий экран смерти, так сказать..загружался в сэйф моде сканил АВП..ничего не нашел..перед заменой ndis.sys он находил..
..при очередной перезагрузке нажал на "загрузить с последними рабочими параметрами"..что-то типа того..и вроде пока работаю без сбоев..но опять же не все программы работают нормально..

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

..кстати, уже не в первый раз комп ругается что нет какого-то файла grpconv..

[size="1"][color="#666686"][B][I]Добавлено через 1 час 31 минуту[/I][/B][/color][/size]

..сегодня никто помогать не хочет..?

Логи новые давайте, полную программу. У нас с гаданием по руке проблемы 8)

..вот..
..я уже почти готов систему сносить..
..сил уже нет..:(

-Выполните скрипт:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('jxilbo');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\jxilbo');
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mak810u.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mak810m.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mak810c.sys','');
QuarantineFile('srservice.sys','');
QuarantineFile('C:\DOCUME~1\B3F2~1\LOCALS~1\Temp\f489BT2G.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a0lavaro.SYS','');
QuarantineFile('\Device\HarddiskVolume1\Documents and Settings\Твёрдый\Local Settings\Temp\960A47B-2AB96E30-E6B46235-B329E349\aa123_xp.exe','');
TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Твёрдый\Local Settings\Temp\960A47B-2AB96E30-E6B46235-B329E349\aa123_xp.exe');
DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Твёрдый\Local Settings\Temp\960A47B-2AB96E30-E6B46235-B329E349\aa123_xp.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\a0lavaro.SYS');
DeleteFile('C:\DOCUME~1\B3F2~1\LOCALS~1\Temp\f489BT2G.sys');
DeleteFile('srservice.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\srservice.sys');
DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]
Карантин пришлите
Повторите все логи + Мбам