Вирус Навязывание антивируса-Винреаниматор

При включении компьютера у меня постоянно этот вирус Выполнил действия с 1 по 14.

Невижу результата выполнения пунктов:)

как загрузить?

Как прикрепить файлы с логами к сообщению в частности и открывать тему вообще в разделе "помогите", смотреть по этой ссылке [url]http://virusinfo.info/showthread.php?t=11022[/url].

Через "Принять запрошенный карантин" не получается! КАК???

Так а причём тут запрошенный карантин, там же ясно написано В панели под заголовком найдите кнопку -скрепку и т.д. Внимательнее прочитайте пожалуйста.

Мужики, ну по-просче надо быть. Словил вирус первый раз, делаю как положено. Без изнасилования мозгов. Где скрепка????????????????

Расширенный режим, есть такая кнопка под тем окошком где Вы пишите сообщение?

[QUOTE=wise-wistful;210058]Расширенный режим, есть такая кнопка под тем окошком где Вы пишите сообщение?[/QUOTE]Для тех, кто в танке - картинка ;)

Ну??? Сообщене дошло??? С файлами???

Нет. Логи должны быть прикреплены в теме. я их не наблюдаю.

Стоп! Новую открывать??? Или...

Нет новую не нужно. Нужно в этой прикрепить логи. Если уже совсем никак у Вас не получится, тогда выложите логи на файлообменник, а нам тут запостите ссылочку.

[quote=Гриша;209918]Невижу результата выполнения пунктов:)[/quote]

[quote=wise-wistful;210077]Нет новую не нужно. Нужно в этой прикрепить логи. Если уже совсем никак у Вас не получится, тогда выложите логи на файлообменник, а нам тут запостите ссылочку.[/quote]
Так всё сложно, почему??? Бляха-муха, я первый раз к вам обращаюсь, прочитал правила, не задавал лишних вопросов, к стати проблему с вирусом решил,... надеюсь?... А по форуму так всё неакуратненько!!!! С уваж. !!!

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Эмоции!!! СОРИ!!!

Так наоборот вроде бы не очень сложно. Вы посмотрите сколько тем и все разобрались как прикрепить логи. Но это лирика. Всё-таки дайте на логи взглянуть от Вашей машины. Что бы мы были спокойнее, что Всё нормально.

Спасибо за понимание.

СПАСИБО!!!!! Вирус гавкнулся!!!

Ну что ж как говорится хозяин - барин.

Нам интересно Ваше [url=http://virusinfo.info/showthread.php?t=19883]мнение[/url] о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать [url="http://security-advisory.virusinfo.info/"]электронную книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи и чистого Вам интернета ;)

Да, мне в деревню пора. [COLOR=red]Вот файлы!!![/COLOR]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\braviax.exe');
SetServiceStart('lirsgt', 4);
StopService('lirsgt');
QuarantineFile('c:\windows\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('copy.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteService('lirsgt');
DeleteFile('C:\WINDOWS\system32\DRIVERS\lirsgt.sys');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('lirsgt ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=20895[/url]

Обновите базы AVZ и повторите логи.

К какой программе относится эта папка Content.IE5?
The Mop (чистильщик мусора) показывает что в этой папке много мусорных файлов, но по указанному пути я вообще не нахожу папку, пробовал "показать скрытые файлы" ноль.
C:\Documents and Settings\ЛИЗА Админ\Local Settings\Temporary Internet Files\Content.IE5

из Temporary Internet Files можно и нужно все удалить ...

логи с 7-го по 14-й пукт?

Ну если Вы уже отключили восстановление системы, тогда 7 пункт можно пропустить. А дальше с 8 по 14 пункты выполните.

А восстановление системы включать???

ВЫполните в АВЗ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Профиксите
[code]R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {32962DFA-1380-4AD1-A288-1B7611F08E10} - (no file)[/code]
Сделайте новый омплект логов

Профиксить? Я такого ещё не делал.

Как-будто получилось, вот.

Пофиксить
[CODE]O4 - HKCU\..\Run: [CS Update] copy /Y "C:\Program Files\ConnectionServices\ConnectionServices.dll.upd" "C:\Program Files\ConnectionServices\ConnectionServices.dll"
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZS[/CODE]
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\PROGRA~1\Crawler\ctbr.dll','');
QuarantineFile('copy.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\lemsgt.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\hwpsgt.sys','');
DeleteFile('copy.exe');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Карантин после ребута закачайте по правилам.

Карантин загрузился???

[QUOTE=oleg_svirid;210790]Карантин загрузился???[/QUOTE]
Угу. Поищите вручную (Правила Приложение 2) и пришлите (Правила Приложение 3)
[CODE]copy.exe
ctbr.dll
ConnectionServices.dll[/CODE]
после чего повторите логи.

Вот такое выдаёт
Ошибка карантина файла, попытка прямого чтения (copy.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\copy.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\copy.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (ctbr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ctbr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\ctbr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (ConnectionServices.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ConnectionServices.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\ConnectionServices.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (copy.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\copy.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\copy.exe)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (ctbr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ctbr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\ctbr.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (ConnectionServices.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\ConnectionServices.dll)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\ConnectionServices.dll)
Карантин с использованием прямого чтения - ошибка
Или я не то делаю?????

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

[quote=Rene-gad;210796]Угу. Поищите вручную (Правила Приложение 2) и пришлите (Правила Приложение 3)
[code]copy.exe
ctbr.dll
ConnectionServices.dll[/code]
после чего повторите логи.[/quote]
Как дальше? Или пройти всю процедуру независимо от результатов поиска этих файлов?

[QUOTE=oleg_svirid;210803]
Или я не то делаю?????Как дальше? [/QUOTE]Нет, Вы ни в чем не виноваты :).
Удалите карантин (папку \\AVZ\Quarantine\2008-04-04 [I]фтопку[/I])
Запустите скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_QrFile('C:\WINDOWS\copy.exe',);
BC_QrFile('C:\WINDOWS\system32\copy.exe',);
BC_QrFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',);
BC_QrFile('C:\PROGRA~1\Crawler\ctbr.dll');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
При ребуте давите на F8 и загрузитесь в безопасном режиме. Поищите файлы. Если не найдете - не отчаивайтесь :). Потом загрузитесь нормально и закачайте новый карантин.
Повторите логи.

Папку удалил, но при выполнении скриптов вот такая штука...

[QUOTE=oleg_svirid;210830]Папку удалил, но при выполнении скриптов вот такая штука...[/QUOTE]
Sorry, скрипт подправил, см. выше. :)

При перезагрузке не успел c F8, доска беспроводная не успевает включаться или я торможу. Файлы опять не находит. Логи делаю.

[QUOTE=oleg_svirid;210845]При перезагрузке не успел c F8, доска беспроводная не успевает включаться или я торможу. [/QUOTE]надавите и держите клавишу.
[QUOTE]Файлы опять не находит. [/QUOTE]
Может и нет их? ;) Попробуйте сделать логи и поискать файлы вручную.

Вот логи. Файлы ищу.

1. Попробуйте удалить через панель приложений MyWebSearch.
2. Пофиксите
[QUOTE]O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w[/QUOTE]
3. Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe','');
DelBHO('{0026439F-A980-4f18-8C95-4F1CBBF9C1D8}');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Если что-то попадет в карантин - закачайте, если нет - повторите логи.

copy.exe -Поиск результатов не дал. (только- xcopy.exe).
ctbr.dll - этот есть (C:\Program Files\Crawler).
ConnectionServices.dll - Поиск результатов не дал.

я их сейчас тоже не увидел. :)
Но MyWebSearch нужно было бы убить (см. выше).