пункт №8 не выполняется до конца, вылазит синий экран и комп. перезагружается, этого файла нет virusinfo_syscure.zip.
Printable View
пункт №8 не выполняется до конца, вылазит синий экран и комп. перезагружается, этого файла нет virusinfo_syscure.zip.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\qmap32.dll');
DeleteFile('C:\WINDOWS\SVCHOST.EXE');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Пофиксите в HijackThis:
[code]
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
[/code]
После этого попробуйте сделать все 3 лога.
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Интересная строчка из лога. Надо будет у Олега Зайцева спросить.
Может я делаю чего-то не правильно, я скопировал ваш скрипт и вставил в AVZ "выполнить скрипт" он мне следующее выдал: Too many actual parameters в позиции 4:12.
Скрипт исправил, извиняюсь.
Учитывая сообщение от [B]PavelA[/B], программу AVZ перед выполнением скрипта надо бы записать заново.
Всё сделал как вы сказали но AVZ по прежнему на п.№8 перезагружает комп. И ещё вопросик что значит пофиксить в HijackThis?
В HijackThis сделать Scan. Отметить нужные строки. Внизу нажать кнопку - Fix Checked.
Скачайте заново AVZ. Обновите базы. Попробуйте получить ещё раз все необходимые логи. Перед выполнением п.№8 сделайте так:
[B]1. AVZPM - установить драйвер расширенного монитора.
2. Перезагрузитесь.
3. Выполните п.№8.
4. AVZPM - удалить драйвер расширенного монитора. Драйвер будет удален после ещё одной перезагрузки.[/B]
Ну вроде все 3 лога сделал.
Если кто знает, что это за гадость и как от неё избавиться объясните пожалуйста! И посоветуйте нормальный бесплатный антивирус. СПАСИБО!
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\HP\Digital Imaging\bin\hpqwrg.exe','');
QuarantineFile('C:\WINDOWS\SVCHOST.EXE','');
QuarantineFile('C:\WINDOWS\system32\eDStoolbar.dll','');
QuarantineFile('C:\WINDOWS\system32\ImageItEncrypt.exe','');
RebootWindows(true);
end.[/CODE]
После перезагрузки пришлите файлы карантина по правилам раздела "Помогите".
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"пофиксите"[/URL] в HijackThis [CODE]O23 - Service: Programm manager (XPManager) - Unknown owner - C:\WINDOWS\SVCHOST.EXE[/CODE]
[quote=Santei;100741] И посоветуйте нормальный бесплатный антивирус. СПАСИБО![/quote]
Если английский язык вас не озадачивает, рекомендую это:
[URL]http://www.activevirusshield.com[/URL]
(тот же KAV, только урезанный, но все же достаточно эффективный; к сожалению, только english).
1. В карантине файлов многовато, выберите только те, что указаны в скрипте MaXim, и вот этот:
C:\Acer\Empowering Technology\WMIAcerCheck.exe
2. Похоже, Вы забыли отключить Восстановление системы? Сделайте это немедленно и до конца лечения не включайте!
[QUOTE]И посоветуйте нормальный бесплатный антивирус.[/QUOTE]Таких не бывает :) Бесплатные конечно есть, но вот только опасных зловредов они начинают детектить позже всех. Не скупитесь и купите Kaspersky Internet Security 6.0. Стоит всего 2000 рублей, но так зато сервис и поддержка на высшем уровне. Обновления ни запаздывают. Круглосуточный саппорт в Вашем распоряжении :)
Восстановление системы я отключил (свойстква системы => восстановление системы =>
отключить восстановление системы на всех дасках).
Скрипт от MaXim выполнить ре удалось, комп. виснет картинка рабочего стола и всё, висит пару минут и снова синий экран, ну и естественно парезагрузка. Пробовал включить AVZPM, всё тоже самое.
Попробуйте выполнить скрипт в безопасном режиме.
В безопасном режиме при начале работы скрипта комп. сразу перезагрузился и в нормальный режим выкинул.
Поищите вручную файл C:\WINDOWS\SVCHOST.EXE
Если найдется, заархивируйте в зип с паролем virus и пришлите по правилам.
Кстати имя этого файл Avast тоже иногда определяет как зараженный.
Нашел 2 файла
svhost из C:\WINDOWS\system32
SVCHOST.EXE-2F7BD2AF.pf из C:\WINDOWS\Prefetch
[QUOTE]svhost из C:\WINDOWS\system32
SVCHOST.EXE-2F7BD2AF.pf из C:\WINDOWS\Prefetch[/QUOTE]
А в C:\WINDOWS его стало быть нету?
Мой KIS сказал:
[QUOTE]удалено: вирус Email-Worm.Win32.Rays.b Файл: D:\Downloads\Архивы\пароль virus\svchost.exe[/QUOTE]
Вот как оказывается... Но в папке system32 должен жить легитимный svchost.exe. Надо подумать.
В префетче файл чистый...
[quote=Santei;100955]В безопасном режиме при начале работы скрипта комп. сразу перезагрузился и в нормальный режим выкинул.[/quote]
IMHO, скрипт выполнился, т.к. в нём предусмотрена перезагрузка.
Посмотрите в карантине остальные файлы, упомянутые в скрипте MaXim, и C:\Acer\Empowering Technology\WMIAcerCheck.exe.
Только надо их не прикреплять в тему а отправлять через форму по ссылке "Прислать запрошенные файлы" вверху страницы.
Только, что запустил проверку, Avast выдал:
c:\windows\svchost.exe
Win32:Trojan-gen. {Other}
Вирус/Червь
000727-0, 22.03.2007
c:\windows\system32\qmap32.dll
Win32:Trojan-gen. {Other}
Вирус/Червь
000727-0, 22.03.2007
avast! обнаружил вирус в операционной памяти.
Очень опасно работать на компьютере, в памяти
которого активен вирус, поэтому настоятельно
рекомендеум парезагрузиться..........
Когда я проверял ещё какой-то программоё она мне выдавала, что у меня Win32:Trojan Small, памоему так.
Выполните такой скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\qmap32.dll');
DeleteFile('C:\WINDOWS\SVCHOST.EXE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
Копмьютер перезагрузится. Прикрепите к теме файл 'boot_clr.log' из папки с AVZ.
Скрипт выполнился но снова была пепрезагрузка пасле "синего экрана"? верхняя строка "синего экрана" была: (что-то типа) STOP 0000023....
Файл boot_clr
послал через "Послать запрошенный файл".
Эффекта никакого всёровно зараженные файлы на месте
[quote=Santei;101004]Файл boot_clr послал через "Послать запрошенный файл". [/quote]
По этой ссылке отправляют архивы с карантинными файлами, а логи прикрепляют к сообщению! Кстати, файлы из карантина вы так и не прислали (см. ответ #20).
Последний скрипт выполните в безопасном режиме.
[B]Santei[/B]
Логи прикрепляются к теме, файлы посылаются.
Карантин послал, а с этим, что? C:\Acer\Empowering Technology\WMIAcerCheck.exe. Прислать сам файл?
Сейчас попробую выполнить скрипт в безопасном режиме.
Выполнил скрипт в безопасном режиме, все прошло нормально.
ОК. Теперь попробуйте сделать логи п.8-12 правил. В обычном режиме. Изменилось ли поведение компьютера?
По пункту №8 на 93% выполнения вылезло окно с ошибкой (я англиский не знаю), несколько секунд и снова "синий экран" STOP....... и перезагрузка. Как Вы наверное заметили раньше окна с ошибкой не было, т.е. небольшое изменение, а в остальном всё по старому.
Давайте сделаем следующее.
1) Убедитесь, что восстановление системы отключено.
2) Повторите логи при включенном AVZGuard (AVZ - AVZGuard - Включить AVZGuard) и пришлите по правилам файлы карантина из папки с именем "сегодняшнее_число" (другие не нужно). Возможно, наши скрипты упускают какой-то компонент трояна, дропающий вредоносные файлы заново.
3) Сколько у вас в папке C:\Windows\system32\ файлов с именем вида "svchost.exe"?
Попробуй в AVZ поискать C:\WINDOWS\SVCHOST.EXE, именно так как написано. Если найдется, то в карантин и через форму прислать.
Затем поискать в реестре эту же строку. Если найдется, то сохраните лог и приложите к теме.
Будем надеяться, что ничего не найдется.
В любом случае далее:
Скачиваем Cure-It, загружаемся в SafeMode, отключаем Avast! и запускаем проверку.
Я тут порылся в поисковиках, кое-что нашел.
Как выяснилось, вирус этот весьма живучий, к тому же поражает
exe-файлы, вполне возможно, что ваша копия AVZ тоже заражена.
Поэтому план такой.
Найдите возможность воспользоваться выходом в интернет на другом компьютере,
скачайте программу CureIt ([url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)[/url],
AVZ и HijackThis и запишите на CD-R в распакованном виде.
На своем компьютере загрузитесь в безопасный режим,
сначала запустите CureIt (прямо с CD), пусть пролечит,
затем AVZ также прямо с CD и выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\qmap32.dll');
DeleteFile('C:\WINDOWS\SVCHOST.EXE');
DeleteFile('C:\WINDOWS\sysaudio.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('XPManager');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Теперь уже в обычном режиме прогоните еще разок CureIt, потом копируйте AVZ и HijackThis на жесткий и сделайте все логи + приложите [I]boot_clr.log [/I]из папки с AVZ.
Bratez, всё сделал как вы написали, CureIt ничего не нашел, скрипты с AVZ выполнились полностью, но файла 'boot_clr.log' я в папке с AVZ не нашел.
Что ж, поздравляю, общими усилиями зверя мы победили :)
Осталось пофиксить вот это:
[code]
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
[/code]
И файл popcaploader_v5.cab поищите, если он где-то сохранился - удалите.
Я сразу не заметил , но CureIt немного нужых файлов удалила, я храню на компе setup - ы всех нужных программ (никак руки не доходили на болванки нарезать) ну вот она их и удалила и несколько игрушек, я так понял, что они все были заражены.
Но это не беда за день можно всё восстановить, самое главное, что НИКАКИХ ЗВЕРЕЙ БОЛЬШЕ НЕТ. :D
В HijackThis строку 016 - DPF............. удалил без проблем.
Файл popcaploader_v5.cab поиск windows не нашел, в реестре я тоже поискал, пусто.
В поиске windows поикал sysaudio (c окончанием .dll; .sys; .exe), svhost, qmap.dll, поиск нашёл пару файлов sysaudio и всё, но они не опасны т.к. после полной проверки системы Avast не обнаружил не одного зараженного.
ДУМАЮ НА ЭТОМ МОЖНО ПОСТАВИТЬ ЖИРНУ ТОЧКУ, ОБЩИМИ УСИЛИЯМИ МЫ ЕГО ПОБЕДИЛИ.
ХОЧУ ПОБЛАГАДОРИТЬ ВСЁХ КТО МНЕ ПОМОГ – БОЛЬШОЕ СПАСИБО!
ОСОБЕННО ХОЧУ ОТМЕТИТЬ Bratez’а: «ВЫ МУЧАЛИСЬ СО МНОЙ
БОЛЬШЕ ВСЕХ» БАЛЬШУЩЕЕ СПАСИБО.
Очень рад, что случайно нашел ваш форум, если что, знаю куда обратится.
Приятно было пообщаться! :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]