Запустил AVZ в безопасном режиме.
Сделал полную проверку,
нашелся один объект - как здесь: [URL]http://216.246.91.178/~virusinf/showthread.php?t=43884[/URL]
Хотел удалить. Но почему-то не активизируется AVZGuard. Выдаёт какую-то ошибку.
Printable View
Запустил AVZ в безопасном режиме.
Сделал полную проверку,
нашелся один объект - как здесь: [URL]http://216.246.91.178/~virusinf/showthread.php?t=43884[/URL]
Хотел удалить. Но почему-то не активизируется AVZGuard. Выдаёт какую-то ошибку.
[url=http://virusinfo.info/pravila.html]Внимательно прочитать, аккуратно выполнить[/url]
Уважаемый, pig,
я с большим пониманием отношусь к вашим правилам и готов их обязательно выполнять. Но в данном случае у меня нет необходимости предоставлять отчеты с компа. Мне нужно просто сказать как активизировать Guard.
Спасибо большое за понимание.
Уважаемый [B]Vitus.virusinfo[/B], с пониманием относимся к Вашему желанию самостоятельно победить зловреда, но правила превыше всего :hi:
А вы можете сказать не глядя, почему у меня машина плохо заводится, когда мотор тёпленький - не холодный и не прогретый? Небось, на диагностику погоните. Вот и я прошу сделать анализы - вполне возможно, там увидим, кто мешает вам жить.
[B]thyrex[/B],
с удовольствием бы оформил, но комп на работе оставил =)
Завтра будет очередь в IT-отдел стоять. Неужели своими силами Guard не запустить? :-D
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[B]pig[/B], понятно.
Ну будем завтра ваять Вам отчеты. :to_pick_ones_nose:
[size="1"][color="#666686"][B][I]Добавлено через 9 часов 1 минуту[/I][/B][/color][/size]
Я выслал запрошенный карантин,
по крайней мере я нажал закачать и получил "Результат загрузки"
файл здесь я что-то не вижу.
Что я делаю не правильно?
Карантин мы не получали.
[QUOTE='Vitus.virusinfo;452111']файл здесь я что-то не вижу.[/QUOTE]
и не должны. Видим их только мы.
[B]light59[/B], отлично
что делать дальше.
Кстати утилита AVPTool на компе не запустилась,
Сейчас проверяюсь CureIT
Комп работает только в безопасном режиме,
в обычном режиме появляется раб. стол. и всё, больше ниче не работает.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Карантин загрузился!
[QUOTE='Vitus.virusinfo;452214']что делать дальше. [/QUOTE]
[URL="http://virusinfo.info/showthread.php?t=1235"]http://virusinfo.info/showthread.php?t=1235[/URL]
[B]light59[/B], ну вы мучители =)
Логи получили?
Мучители вы, потому, что правила не читаете, логи надо цеплять в теме к сообщению...
[B][QUOTE]
[B]2. Проверьте [/B]компьютер с помощью AVPTool или CureIt! [URL="http://virusinfo.info/showthread.php?t=9279"][COLOR=#0532aa]в безопасном режиме[/COLOR][/URL]. К найденному следует применять действие "Лечить", а неизлечимые перемещать или удалять. После этого перезагрузитесь в обычный режим.
[/QUOTE]
AVPTool не запускается,
В обычном режиме комп не работает
CureIt сейчас проверяет в безопасном режиме
[/B]
[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]
[B]Гриша[/B], новую тему создавать?
Попробуйте сделать логи с помощью AVZ...
[B][QUOTE][B]1. Запустите [/B]AVZ*. Откройте меню [B]"Файл"=>"Стандартные скрипты"[/B] и отметьте пункт [B]"Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"[/B]. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве [B]virusinfo_syscure.zip[/B].
[I][COLOR=red]*Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.[/COLOR][/I]
[COLOR=red]*[B]Обратите внимание![/B] Если в результате работы скрипта будут обнаружены подозрительные файлы, они будут сохранены в архиве [SIZE=3][B]virusinfo_cure.zip[/B][/SIZE]. Этот архив [B]необходимо отличать[/B] от архива с протоколом исследования системы [SIZE=3][B]virusinfo_[SIZE=4]sys[/SIZE]cure.zip[/B][/SIZE] и загружать на форум только в том случае, если вас об этом попросили.[/COLOR]
[/QUOTE][/B]
[B]Гриша[/B], выполнил этот пункт, получил фаилы
[B][QUOTE]
[B]3. Нажмите [/B]на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. [B]Настоятельно рекомендуется[/B] принимать название файла по умолчанию, т.е. virus.zip.
[B]4. Загрузите [/B]полученный архив, используя ссылку на страницу загрузки ([COLOR=red][B][U]Прислать запрошенный карантин[/U][/B][/COLOR]) в шапке Вашей темы.
[/QUOTE]
[B]Гриша[/B], выполнил этот пункт
[/B]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[B]Гриша[/B], лог с AVZ есть (*.txt), выполнял вчера.
Как его послать вам, если нужно?
Странно Вы читаете правила...
[QUOTE]4. ... вложите в сообщение файлы логов, полученных в процессе диагностики ([B]AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log[/B]) - всего должно быть [B]3[/B] лога.[/QUOTE]
Зачем вы нам шлёте логи по ссылке "Прислать запрошенный карантин"? Их нужно прикреплять к сообщению.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Цитата из правил:
[QUOTE] Если Вы не понимаете, что Вас просят сделать, то в этом случае Вам лучше обратиться к специалистам ближайшей компьютерной фирмы. Если Вы отказываетесь выполнять указания хелперов, или делаете все по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.[/QUOTE]
:D
блин, извинте меня пожалуйста. До меня сейчас всё дошло, что я не то вам выслал.
Щас сделаю всё по человечески.
ЗЫ: я просто первый раз и времени в обрез - контора стоит
[size="1"][color="#666686"][B][I]Добавлено через 35 минут[/I][/B][/color][/size]
CurIT просто удалил фаил C:\Program Files\Microsoft Common\svchost.exe
статус: Win32.HLLW.Autoruner.6326,
это нормально? система запуститься после этого?
Выполнил всё по правилам.
1. Проверился CureIt (нашел пару вирей, удалил)
2. запустил AVZ ( 2 скрипта по очереди), сделал логи
3. запустил hijackthis, сделал логи
Всё сделано в безопасном режиме, ибо нормальный тупить нереально.
Фаилы прилагаю, жду инструкций,
Спасибо.
Так же есть фаил virusinfo_cure.zip.
[B]light59[/B], help plz
[QUOTE='Vitus.virusinfo;452289']ибо нормальный тупить нереально.[/QUOTE]
Если установите 3-й антивирус то вообще перестанет работать.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvcrt57.dll','');
DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
SysCleanAddFile('C:\Program Files\Sampo.ru\Navigator.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Загрузите его в нормальном режиме.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новые логи и приложите к этой теме.
[QUOTE='AndreyKa;452298']Если установите 3-й антивирус то вообще перестанет работать.[/QUOTE]
:-D
[B]AndreyKa[/B], круто, норм режим запустился без ошибок
только AVZ не запускается в нем теперь.
откуда карантин взять в таком случае?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
InternetExplorer не запускается,
Outlook не запускается,
система зависает после запуска программ
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
Карантин закачал
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Удалить avast?
На компьютере должен работать только один антивирус.
Делайте логи.
Сделал новые логи,
опять в безопасном режиме.
программу WrSpy знаю, это статистика от HandyCache
Удалил аваст,
AVZ запустился в норм режиме.
Ща сделаю ещё логи в нем
Вроде всё заработало. :yess:
Логи new
Посмотрите пожалуйся, есть ли ещё что-нибудь подозрительное
В карантине 2 фаила. (прилеплен)
Скажите можно ли включить обратно восстановление системы и создать контрульную точку?
30 минут - полёт нормальный
Троян подправил ключик реестра
[code]HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
[/code] для своего запуска (там должен быть прописан C:\WINDOWS\system32\webcheck.dll)
В остальном чисто. Восстановление системы можно включить.
Будет детектироваться DrWeb как Trojan.DownLoad.5244
[QUOTE='AndreyKa;452449']Троян подправил ключик реестра[/QUOTE]
это как-то надо исправить? или это уже болячка навсегда?
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE='AndreyKa;452449']Троян подправил ключик реестра[/QUOTE]
сейчас у меня в этой ветке стоит значение "C:\WINDOWS\system32\msvcrt57.dll"
[QUOTE=Vitus.virusinfo;452456]это как-то надо исправить? или это уже болячка навсегда?[/QUOTE]
Код
[CODE]Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}]
@="WebCheck"
[HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
@="C:\\WINDOWS\\system32\\webcheck.dll"
"ThreadingModel"="Apartment"[/CODE]скопируйте в чистый текстовый файл и сохраните его как[B] reg.reg[/B].
Запустите файл двойным щелчком.
[QUOTE='Rene-gad;452461']@="C:\\WINDOWS\\system32\\webcheck.dll"[/QUOTE]
двойные обр. слэши - это так и надо?
может просто вручную прописать только этот адрес? или не даст?
[QUOTE=Vitus.virusinfo;452463]двойные обр. слэши - это так и надо?[/QUOTE]Я экспортировал ключ с моей системы :)
[QUOTE=Vitus.virusinfo;452463]может просто вручную прописать только этот адрес?[/QUOTE]Попробуйте, должно тоже получиться.
Ребята, спасибо всем огромное!!!
Всё работает.
[Излечено]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\msvcrt57.dll - [B]Trojan-PSW.Win32.WebMoner.jm[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]