на компе куча вирусов

[NickGolovko]

Логи-то AVZ сделайте по правилам, из-под администратора

[Vitus.virusinfo]

при запуске полиморфного avz под админом, сейчас выдаёт такую ошибку:
"Access violation at address 004AE082 in module "ckwejf.pif". Read of address 00000030"
после нажатия ОК:
"Access violation at address 004A3F9C in module "ckwejf.pif". Read of address 00000030"

Добавлено через 1 минуту

NickGolovko, всё что удалось сделать, сразу выкладываю
пока только один лог

[NickGolovko]

Напоминает файловый вирус, что мне уже совсем не нравится.

Загрузите тот файл полиморфа, что у вас имеется сейчас, в архиве с паролем virus по ссылке отправки карантина, после чего попробуйте перезакачать полиморф, переименовать тем же образом, запустить с тем же ключом и добыть логи.

Если с логами никак, попытайтесь хотя бы выполнить скрипт восстановления системы №10 и немедленно перезагрузиться в безопасный режим.

[Vitus.virusinfo]

NickGolovko,
извиняюсь, не туда ткнул =)

[NickGolovko]

Уже лучше Сейчас подготовлю скрипт, а вы пока займитесь подготовкой нового полиморфа и загрузкой старого.

Добавлено через 7 минут

Скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\KORXPWQT.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\iqfvs.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\fciekvesm.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\fpeglop.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
 QuarantineFile('C:\DOCUME~1\123\LOCALS~1\Temp\init.exe','');
 DeleteFile('C:\DOCUME~1\123\LOCALS~1\Temp\init.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
 DeleteFile('C:\WINDOWS\system32\drivers\fpeglop.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\fciekvesm.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\iqfvs.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\KORXPWQT.sys');
 DeleteFile('C:\WINDOWS\system32\msvcrt57.dll');
 BC_ImportALL;
 BC_QrSvc('KORXPWQT');
 BC_QrSvc('haizicwcwizjxn');
 BC_QrSvc('ffbvlzixymea');
 BC_QrSvc('bhkjzuf');
 BC_DeleteSvc('KORXPWQT');
 BC_DeleteSvc('haizicwcwizjxn');
 BC_DeleteSvc('ffbvlzixymea');
 BC_DeleteSvc('bhkjzuf');
 ExecuteSysClean;
 ExecuteRepair(10);
 BC_Activate;
 RebootWindows(true);
end.

Добавлено через 8 минут

P.S. У вас есть учетная запись В Контакте или на Одноклассниках?

[Vitus.virusinfo]

после чего попробуйте перезакачать полиморф, переименовать тем же образом, запустить с тем же ключом

та же ошибка.
скачивал новый, переименовывол по другому, запускал с ключем.
Ошибка та же.

выполнить скрипт восстановления системы №10

это как? и где?

Добавлено через 1 минуту

P.S. У вас есть учетная запись В Контакте или на Одноклассниках?

комп который мы лечим, не мой. У того кто за ним работает, есть учетная запись вконтакте, думаю в одноклассниках тоже есть.

если вопрос личный - то у меня тоже есть уч. з. вконтакте =)

Добавлено через 5 минут

NickGolovko,

begin
ExecuteRepair(10);
RebootWindows(true);
end.

вот это 10 скрипт?
если да - то как я его запущу, если у меня не запускается avz никак?

[NickGolovko]

А если переложить полиморф, например, в корень диска? У вас, как я вижу, в пути к файлу есть буквосочетание "avz".

[Vitus.virusinfo]

NickGolovko,
вы писали: http://virusinfo.info/showpost.php?p=98776&postcount=29

может вручную сделать это как то можно?

Добавлено через 11 минут

NickGolovko,
запустился полиморфный AVZ с ключем AM=Y, причем из под пользователя

что делать?

[Vitus.virusinfo]

вытащил лог проверки

запускать тот скрипт который вы написали???

[NickGolovko]

комп который мы лечим, не мой. У того кто за ним работает, есть учетная запись вконтакте, думаю в одноклассниках тоже есть.

Спросите, не загружались ли в последнее время из этих социальных сетей какие-либо приложения.

Добавлено через 32 секунды

Да, запускайте скрипт.

Добавлено через 1 минуту

Желательно из-под администратора

[Vitus.virusinfo]

NickGolovko,

Желательно из-под администратора

уж запустился из под юзера, дак не буду закрывать, а то опять не запуститься
ща сделаю скрипт ваш

[NickGolovko]

Из-под пользователя вряд ли что-то удалится ну ладно, пробуйте как есть. Потом попытайтесь загрузиться в безопасном режиме.

[Vitus.virusinfo]

NickGolovko,
ПОЛУЧИЛОСЬ!!!
завис при перезагрузке (пришлось жестко), но загрузился в безопасном.
Запустил на проверку CureIt'ом

На счет приложений из соц. сетей, говорит не грузила ничего.

Добавлено через 1 минуту

кстати после перезагрузки AVZ (обычный) из под юзера запустился без проблем
так что скриптик что надо

Добавлено через 1 минуту

Спросите, не загружались ли в последнее время из этих социальных сетей какие-либо приложения.

а что вы там увидели, расскажите?

[NickGolovko]

Воровство паролей от социальных сетей я увидел поэтому так охочусь за карантином. Новых приложений В Контакте пользователь тоже не добавлял? После проверки в безопасном пробуйте грузиться в обычном, входить как админ и выполнять тот же скрипт еще раз. Потом пришлите образовавшийся карантин.

[Vitus.virusinfo]

NickGolovko,
нет, приложений не добавляла, но приходило сообщение от подруги спамерское,
типо со ссылкой на сайт знакомств.
к сожалению она его удалила.
было ещё одно сообщение:
" приветик . тут узнали про акцию, получили голоса бесплатно
http://vkontakte.ru/note13890808_7485619 " (СПАМ)

может и отсюда

[Vitus.virusinfo]

Проверил всё что можно было.
CureIt в безопасном режиме удалил 5 вирусов.
Держите последние логи и карантин

Компу гораздо полегчало...

[Vitus.virusinfo]

Несколько раз вываливался синий экран

[NickGolovko]

Итак, обычная AVZ запускается. Это хорошо.

Загрузите тогда последнюю версию (4.32) и сделайте еще раз лог syscure. Я так и не понял, ушел sfc.sys или нет; нужно удостовериться.

И уберите наконец из системы драйвер от Касперского

[Vitus.virusinfo]

NickGolovko,
продолжаем =)
sfc помоему остался, как это проверить?

Добавлено через 1 минуту

как убрать всё что от касперского?

[NickGolovko]

sfc помоему остался, как это проверить?

Загрузите тогда последнюю версию (4.32) и сделайте еще раз лог syscure.

как убрать всё что от касперского?

Посмотрите в Autoruns. Что найдете - отключите, сняв галочку.