вирусы сводят меня с ума

..Вообщем ситуация следующая, в компьютерах разбираюсь по-скольку по-стольку, но вроде

мозги на месте, комп рабочий, по-этому инфа в нем бесценная..недели 3 назад сменил ОС с

форматом диска С,..поставил XP sp3..и все вроде хорошо, но недавно искал в интернете

прошивку и выскочило окошко, хотя отрубал в мозиле, и я по инерции нажал ОК, ну и мне

соответственно за пару секунд установился кой-то антивирус..тут же просканил систему,

естественно нашел вирусы и предложил полечиться, конечно же за деньги..вообщем с трудом но

удалил его..в процессах и в установленных прогах его не было, папка скрыта и даже не

появлялась когда ставил показать скрытые и системные..а просто файлы не удалялись - нет

доступа..удалил файлик из автозагрузки, потом и папку, почистил ключи прогой

WinUtillities..вроде победил..фух..но через пару дней обнаружил, что пропал антивирус (Avira

personal 10)..осталась только папочка в пуске..и устанавливаться не хочет..не ставиться файл

апдейта и из-за этого не устанавливается вся авира, говорит перегрузись, попробуй еще раз..
..вообщем я так и не понял в какой момент они (вирусы) поналазили, но теперь очень много

программ не работает..сначала запускал AVZ..исправлял проблемы..подмена диспетчера задач и

отображение папок..но сканирование не доходило до конца..очень медленно и

подвисало..запустил cure it..нашел 70 инфиц файлов, поудалял\полечил..но проблемы остались..
..сегодня нормально запустилась AVZ я выполнил нужные скрипты, посохранял логи, они вложены..
Помогите пожалуйста, систему сносить крайне не желательно..

Здравствуйте,

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-
-[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/url]:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
StopService('eoooohja');
DeleteService('eoooohja');
QuarantineFile('C:\Documents and Settings\Твёрдый\Application Data\Microsoft\poozouhob.exe','');
QuarantineFile('srservice.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\system32\zookannyvo.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\atapidrv.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\atapidrv.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lujoulof');
DeleteFile('C:\WINDOWS\system32\zookannyvo.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srservice.sys');
DeleteFile('C:\Documents and Settings\Твёрдый\Application Data\Microsoft\poozouhob.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('eoooohja');
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/code]

[COLOR="Red"]Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.[/COLOR]

После перезагрузки:

- Файл [b]C:\WINDOWS\system32\Drivers\NDIS.sys[/b] замените на чистый: [url]http://virusinfo.info/showthread.php?t=51654[/url].
- [url="http://virusinfo.info/upload_virus.php?tid=85069"]Закачайте файл ..\avz\quarantine.zip[/url] для анализа.
- Сделайте лог полного сканирования [url="http://virusinfo.info/showthread.php?t=53070"]MBAM[/url].
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

щас буду пробовать, спасибо

[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]

заменяю C:\WINDOWS\system32\Drivers\NDIS.sys на чистый из системной папки dllcache пишет диск переполнен или защищен от записи, подскажите пожалуйста как это побороть

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

"Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств."
..кстати, таки появилось - удалил..

[QUOTE=tverdij;685566]как это побороть[/QUOTE]
Делайте через консоль восстановления или загрузившись с Live CD.

но у меня нет диска с виндой

[QUOTE=tverdij;685618]но у меня нет диска с виндой[/QUOTE]Сорри, но тут мы Вам не можем помочь. Найдите подобную ОС в Вашем окружении и возьмите файл оттуда.

значит завтра возьму на работу диск,
а остальное пока не заменю тот файлик есть смысл делать? или перенесем на завтра? =)

[QUOTE=tverdij;685640].
а остальное ... есть смысл делать?.[/QUOTE]Выполните скрипт и пришлите карантин. Может и ложная тревога, но мне этот файл не понравился.

уже отправил карантин

[QUOTE]C:\WINDOWS\system32\Drivers\NDIS.sys - Virus.Win32.Protector.f[/QUOTE]
заменяйте

выполнил полное сканирование MBAM? но лога в папке нет, я сохранил отчет в тхт файл, так подойдет?

[size="1"][color="#666686"][B][I]Добавлено через 37 секунд[/I][/B][/color][/size]

[QUOTE=polword;685669]заменяйте[/QUOTE]

нет диска с ОС, только завтра смогу

вот этот лог MBAM

завтра, так завтра

=)
а что мне с этим MBAMom делать..?..удалять то что он нашел..?..ну..кроме, конечно, моих рабочих программ..

[QUOTE=tverdij;685697]=)
а что мне с этим MBAMom делать..?..удалять то что он нашел..?...[/QUOTE]Да, можете удалять.

ок
спасибо
и до завтра
=)

Добрый день
..я снова со своими проблемами..
..файлик заменил..система перестала запускаться..синий экран смерти, так сказать..загружался в сэйф моде сканил АВП..ничего не нашел..перед заменой ndis.sys он находил..
..при очередной перезагрузке нажал на "загрузить с последними рабочими параметрами"..что-то типа того..и вроде пока работаю без сбоев..но опять же не все программы работают нормально..

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

..кстати, уже не в первый раз комп ругается что нет какого-то файла grpconv..

[size="1"][color="#666686"][B][I]Добавлено через 1 час 31 минуту[/I][/B][/color][/size]

..сегодня никто помогать не хочет..?

Логи новые давайте, полную программу. У нас с гаданием по руке проблемы 8)

..вот..
..я уже почти готов систему сносить..
..сил уже нет..:(

-Выполните скрипт:[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteService('jxilbo');
RegKeyResetSecurity('HKLM','SYSTEM\CurrentControlSet\Services\jxilbo');
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mak810u.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mak810m.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mak810c.sys','');
QuarantineFile('srservice.sys','');
QuarantineFile('C:\DOCUME~1\B3F2~1\LOCALS~1\Temp\f489BT2G.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\a0lavaro.SYS','');
QuarantineFile('\Device\HarddiskVolume1\Documents and Settings\Твёрдый\Local Settings\Temp\960A47B-2AB96E30-E6B46235-B329E349\aa123_xp.exe','');
TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Твёрдый\Local Settings\Temp\960A47B-2AB96E30-E6B46235-B329E349\aa123_xp.exe');
DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Твёрдый\Local Settings\Temp\960A47B-2AB96E30-E6B46235-B329E349\aa123_xp.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\a0lavaro.SYS');
DeleteFile('C:\DOCUME~1\B3F2~1\LOCALS~1\Temp\f489BT2G.sys');
DeleteFile('srservice.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\srservice.sys');
DeleteFile('C:\WINDOWS\system32\drivers\oreans32.sys');
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 3, 3, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]
Карантин пришлите
Повторите все логи + Мбам

..добрый день..
..вот оно все..4 лога..и карантин закачал..
..сегодня загрузился со второго раза..в первый написало про неизвестную ошибку на синем экране..
..avira, кстати, установилась, но апдейтиться не хочет..правда что-то ищет, и даже тот Protector находила..

..только что перегружался..и снова СЭС..выбрал загрузтться с последними рабочими параметрами..
..фух..блин..достал этот комп..

Замените файл hosts: [url]http://virusinfo.info/showpost.php?p=454125&postcount=2[/url], повторите лог Hijackthis.
Что было написано на синем экране?

..не дает перезаписать файл хостс..
..пишет данное имя существует введите другое..
..или это снова через консоль восстановления надо..?
..на синем экране много чего было написано..но все что я из этого понял - это неисправимая ошибка, и что если повторится обратится к админу..
..извините, но я в компах профан..поэтому собственно и прошу вашей помощи..

[QUOTE=tverdij;686815]..не дает перезаписать файл хостс..
..пишет данное имя существует введите другое..[/QUOTE]Попробуйте с Live CD или через консоль восстановления
[QUOTE=tverdij;686815]..на синем экране много чего было написано..[/QUOTE]
Сфотографируйте и пришлите фотографию.

..заменил..
..загрузился нормально, без СЭС..так что нечего фотографировать..если повторится обязательно пришлю фоту..

..вот лог хайджека..

- Установите все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.
Жалобы есть?

..к сожалению, еще есть.. =) ..извините за дотошность.. =) ..но рабочему компу нельзя болеть.. ..вроде компу полегчало, чувствуется, еще не все программы работают, но я попробую их переустановить или перенастроить,.. ..но вот, когда переустанавливал avira//b когда сносил и когда ставил одна и та же ошибка выскакивала (во вложении принтскрин)..вообщем-то она по ходу работает..и даже обновилась, но что это за ошибка и чем она чревата..?..говорят это вирус такой..

..УРА..!! ..спасибо..все работает..рад безмерно..
..только эта ошибка grpconv..но она вылазит только когда ставишь\удаляешь антивиры..а больше никак не проявляется..вообщем еслли будет решение сообщите пожалуйста, а так ещё раз Спасибо за лечение..я уже готов был сдаться..

[QUOTE=tverdij;686918]
..только эта ошибка grpconv..но она вылазит только когда ставишь\удаляешь антивиры...[/QUOTE]
Не все антивиры, а именно Авиру, спрашивайте в оф. форуме : [url]http://forum.avira.com[/url]
В принципе эта прога - тяжкое наследие Win3 и конвертирует символы пускового меню в удобоваримый для Win3 формат.

..не только авиру, а еще и AVP касперского и AVG перед авирой ставил\удалял тоже на него ругался..
..прогуглил, мнения разделились..пока никто ничего вразумительного не говорит..буду искать..

[size="1"][color="#666686"][B][I]Добавлено через 1 час 36 минут[/I][/B][/color][/size]

..вообщем..один из вирусов кой был у меня Backdoor.Win32. Bredolab.d..я помню видел как его находило..так вот он удаляет файлы %System%\grpconv.exe,
%System%\dllcache\grpconv.exe..а они видимо каким-то образом связаны с антивирусамми..
..вообщем восстановил с дистрибутива..теперь всё идеаально..и улыбка не сходит с моего лица.. =)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\ndis.sys - [B]Virus.Win32.Protector.f[/B] ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.B virus, AVAST4: Win32:Malware-gen )[/LIST][/LIST]