появился зловред.
прогнал штатным нодом, нашел 1 вирус, кюрит нашел еще 1 файл.
авз добавил еще 4 файла в карантин. архив имеется.
логи прилагаются.
Printable View
появился зловред.
прогнал штатным нодом, нашел 1 вирус, кюрит нашел еще 1 файл.
авз добавил еще 4 файла в карантин. архив имеется.
логи прилагаются.
[b]Восстановление системы отключить.[/b]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\SystemRoot\System32\Drivers\tkzkyeep.SYS','');
QuarantineFile('70.103.101.103\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи.
сдается мне, это надолго.((
карантин после скрипта был пустой. вышлю карантин, который авз собрал в первый день лечения.
Файл сохранён как 091204_164637_virus1_4b1912bd5082b.zip
Размер файла 749251
MD5 4f2531eedba53c65feaced14870a3120
p.s. пробовал вводить код 6550. не помогло.
p.p.s. вчера с аналогичной проблемой (тоже на ноуте, только с WinXP Home) столкнулся мой товарищ. Стал лечить по правилам, чтобы логи собрать. после лечения кюритом в безопаснике, при загрузке системы ноут вылетает в бсод с ошибкой 0x0000007e. при попытке восстановить с дистрибутива система не видится. пробовал фиксить мбр - тоже самое. Как бы тут такое при лечении не произошло(
Выполните скрипт в avz
[code]begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\System32\drivers\zefbievb.sys','');
DeleteFile('C:\Windows\System32\drivers\zefbievb.sys');
DeleteFile('70.103.101.103\aekgoprn.dll');
BC_DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('\SystemRoot\System32\Drivers\rwrsdeel.SYS');
BC_DeleteFile('\SystemRoot\System32\Drivers\rwrsdeel.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме
карантин пустой. присылать нечего.
вот лог.
[B]AVZ[/B]-[B]AVZ Guard[/B]-включить [B]AVZ Guard[/B]
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
вот (емнип, забыл браузер запустить)
[b]Восстановление системы отключить.[/b]
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('70.103.101.103\aekgoprn.dll');
BC_DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('\SystemRoot\System32\Drivers\kmgwiacf.SYS');
BC_DeleteFile('\SystemRoot\System32\Drivers\kmgwiacf.SYS');
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
[QUOTE='snifer67;525443']ПК перезагрузится.[/QUOTE]
пк перезагрузил сам (в скрипте команду прописать забыли).
окно не пропало.
сделал лог(позволил себе включить авз гард).
вот.
Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('С:\WINDOWS\system32\DRIVERS\rimsptsk.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\rixdptsk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте !
[QUOTE=snifer67;525492]Выполните скрипт в avz
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\aekgoprn.dll');
DeleteFile('70.103.101.103\aekgoprn.dll');
DeleteFile('С:\WINDOWS\system32\DRIVERS\rimsptsk.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\rixdptsk.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\doauqbgm.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
ПК перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.Когда сделаете лог ПК не перезагружайте ![/QUOTE]
к сожалению пришлось перегружаться: зарядка кончилась.
поэтому сначала сделал лог пункта 2 Диагностики(во вложении), и выполнил скрипт по образцу вашего:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\Device\HarddiskVolume2\Windows\System32\wbem\WMIADAP.exe','');
QuarantineFile('c:\windows\System32\wbem\WMIADAP.exe','');
DeleteFile('c:\windows\System32\aekgoprn.dll');
DeleteFile('\\.\70.103.101.103\aekgoprn.dll');
QuarantineFile('c:\windows\System32\Drivers\RTL8187B.sys','');
DeleteFile('c:\windows\System32\Drivers\RTL8187B.sys');
QuarantineFile('c:\windows\System32\Drivers\adfxiaic.SYS','');
DeleteFile('c:\windows\System32\Drivers\adfxiaic.SYS');
BC_DeleteFile('c:\windows\System32\Drivers\adfxiaic.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
окошко не пропало.
потом сделал лог из п.2 Диагностики снова (во вложении).
ноут, благо, на зарядке
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\loinxbcn.SYS','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\loinxbcn.SYS');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п.2 Диагностики и новый лог прикрепите к новому сообщению
"на западном фронте без перемен..."
...правда, в карантине появились описания.
Файл сохранён как 091204_220157_virus3_4b195ca53597f.zip
Размер файла 1183
MD5 24364ae7edd9bf63d90c2e6cdb8b5134
а вот лог по п.2
AVZ-AVZ Guard-включить AVZ Guard
Выполнить скрипт
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
ПК перезагрузится
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
[B]Когда сделаете лог ПК не перезагружайте![/B]
скрипт выполнил. только драйвер уже загружен был. да и ноут я перегружал, только если того требовал скрипт.
на этот раз решил поискать эти файлы ручками:
1й - rixdptsk.sys. нашелся в двух местах:
c:\Windows\System32\drivers\rixdptsk.sys
c:\Windows\System32\DriverStore\FileRepository\rixdptsk.inf_41a97d5f\rixdptsk.sys
его удалось скопировать и добавить в архив руками. архив запоролил стандартно:
Файл сохранён как 091204_230053_virus4_4b196a756d5b1.zip
Размер файла 19715
MD5 4db56b9376a14361d5fc1175a483bed5
2го - romypaia.SYS физически не видно.
пока все
Выполнить скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\romypaia.SYS','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\system32\drivers\rixdptsk.sys');
DeleteFile('C:\WINDOWS\system32\drivers\romypaia.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новы лог прикрепите к новому сообщению
в карантине не прибавилось, но все же:
Файл сохранён как 091205_000659_virus5_4b1979f35c87d.zip
Размер файла 1182
MD5 978743eb49edd8dfceb5aed70dad2dac
предыдущий файл чем-нибудь помог?
вот лог по п.2
Вы отключили восстановление системы?
[QUOTE=shapel;525850]Вы отключили восстановление системы?[/QUOTE]
еще до того, как создавать тему.
все сделал, как описано в Приложении 1 к [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL]. несколько раз проверял - пишет отключено.
Делаем тайм-аут, надо подумать
вопрос: что-нибудь нашли инетерсного в карантине, который был описан в посте [URL="http://virusinfo.info/showpost.php?p=525776&postcount=16"]№16[/URL]?
p.s. спасибо за работу.
...а вот что показал лог гмер.
при этом практически все процессы выгружены. только оболочка и IE
p.s. я на боковую. завтра рано подъем. удачи!
Попробуйте такой вариант [URL="http://virusinfo.info/showpost.php?p=523243&postcount=41"]http://virusinfo.info/showpost.php?p=523243&postcount=41[/URL]
скачал jv16. деинсталлировал GA.
ребутнулся.
окно пропало. подключил интернет через впн-ку: мэйлагент и система сразу вышли в сеть, а вот IE странцы не открывал.
снес драйверы lan и wi-fi. перезагрузился.
страниц нет.
выполнил очистку реестра в jv16. не перегружаясь проверил тырнет -страницы не появились.
сделал лог из п.1 диагностики (по правилам).
не перегружаясь наваял и попробовал сделать скрипт
[code]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('70.103.101.103\aekgoprn.dll','');
DeleteFile('70.103.101.103\aekgoprn.dll');
QuarantineFile('\SystemRoot\System32\Drivers\twcyfqom.SYS','');
DeleteFile('\SystemRoot\System32\Drivers\twcyfqom.SYS');
QuarantineFile('C:\Windows\System32\drivers\eolrwhza.sys','');
QuarantineFile('C:\Users\АНЮТА !!!\Local Settings\Temp\~DF3463.tmp','');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
скрипт завис примерно после попытки карантина "eolrwhza.sys".
закрыл авз.
ребутнулся.
сохранил руками архив с карантином (файл с расширением .dtа есть, а инишника к нему не было).
проверил интернет - страницы открваются.
сделал остальные логи (начиная с п.2).
пишу с этой машины. вот.:)
з.ы. закачал архив с карантином:
Файл сохранён как 091206_015031_virus6_4b1ae3b7b19c9.zip
Размер файла 298
MD5 e66359169d22187d57a910b33f02ceae
Запустите утилиту в аттаче get.zip. Повторите логи.
[url=http://virusinfo.info/attachment.php?attachmentid=187690&d=1260046960]get.zip[/url]
[QUOTE=snifer67;526879]Запустите утилиту в аттаче get.zip. Повторите логи.
[URL="http://virusinfo.info/attachment.php?attachmentid=187690&d=1260046960"]get.zip[/URL][/QUOTE]
запустил. видимых действий не было.
сделал логи.
забыл только мэйл-агент выгрузить.
интернет работает без проблем.
Чисто
Установите Internet Explorer 8
[QUOTE=snifer67;526960]Чисто
Установите Internet Explorer 8[/QUOTE]
уже.
спасибо за помощь! тему можно закрывать.
p.s.
вопрос: get.exe когда можно использовать - до удаления Get Accelerator с помощью jv16, или после?
[quote]вопрос: get.exe когда можно использовать - до удаления Get Accelerator с помощью jv16, или после?[/quote]
Желательно до jv16.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]