переустановка винды не помогла ... пишу вам, может поможете...
предлагает загрузить какой-то левый антивирус и задалбывает сообщениями об ошибках
moderated:::карантин загружаем по красной ссылке вверху темы.
переустановка винды не помогла ... пишу вам, может поможете...
предлагает загрузить какой-то левый антивирус и задалбывает сообщениями об ошибках
moderated:::карантин загружаем по красной ссылке вверху темы.
Последний раз редактировалось Pancho; 25.07.2008 в 21:30.
да еще - постоянно блокирует реестр, дисп задач, ставит стартовой http://vvv.ucleaner.com/main.php?wmi...o4OQ==&lndid=2
нод ничего плохого не видит...
moderated:::активная ссылка
Последний раз редактировалось Rene-gad; 25.07.2008 в 20:46.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:O2 - BHO: QXK Olive - {B468D36D-C8CB-4A82-B0E0-393A2FA0256C} - C:\WINDOWS\nfavxwdbmfe.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O21 - SSODL: wnslvxtf - {27FBBDEB-857B-47A1-A25B-E98CA81C7F33} - C:\WINDOWS\wnslvxtf.dll O21 - SSODL: eqvwamkl - {25A6F0FB-A776-4FD8-9D80-E0F0AD4C5CE5} - C:\WINDOWS\eqvwamkl.dll O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winta73'); QuarantineFile('C:\WINDOWS\eqvwamkl.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winta73.sys',''); QuarantineFile('C:\WINDOWS\wnslvxtf.dll',''); QuarantineFile('C:\WINDOWS\nfavxwdbmfe.dll',''); DeleteFile('C:\WINDOWS\nfavxwdbmfe.dll'); DeleteFile('C:\WINDOWS\wnslvxtf.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winta73.sys'); DeleteFile('C:\WINDOWS\eqvwamkl.dll'); BC_ImportDeletedList; ExecuteSysClean; executerepair(5); executerepair(11); executerepair(17); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по красной ссылке вверху темы.
- Прикрепите логи к новому сообщению.
Немного полегчало, но рядом с часами все еще надпись "вирус арлет" и в меню нет пунктов "все программы" и "панель уравления"
Сильно ду советов что делать дальше, т.к. проблемы остались, хотя их стало меньше
Последний раз редактировалось Pancho; 25.07.2008 в 22:14.
простите, не уверен что выслал правильные файлы, высылаю повторно
Последний раз редактировалось Pancho; 25.07.2008 в 22:14.
У меня такое ощущение что вы лог AVZ старый вложили?
вероятно да, простите, исправился (сообщение в 22:00)
Где лог virusinfo_syscure и Hijackthis.log? virusinfo_cure.zip из темы убрать-это карантин!
а у меня нет virusinfo_syscure хотя я выполнил оба скрипта и перезагружался... а лог вложу
вот, выполнил скрипт повторно и получил тот файл, который вы просили - virusinfo_syscure.zip
выполните скрипт ...
какие проблемы остались ?Код:begin ExecuteRepair(6); ExecuteRepair(8); RegKeyStrParamWrite('HKCU','Control Panel\International','sTimeFormat','H:mm:ss'); RebootWindows(true); end.
спасибо, все вроде бы хорошо кроме одного момента, оторый вызывает подозрение:
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=083220)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 8055A220
KiST = 804E26A8 (284)
Функция NtCreateKey (29) перехвачена (8057065D->F740E0E0), перехватчик spps.sys
Функция NtEnumerateKey (47) перехвачена (80570D64->F742CCA2), перехватчик spps.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F742D030), перехватчик spps.sys
Функция NtOpenKey (77) перехвачена (80568D59->F740E0C0), перехватчик spps.sys
Функция NtQueryKey (A0) перехвачена (80570A6D->F742D10, перехватчик spps.sys
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F742CF8, перехватчик spps.sys
Функция NtSetValueKey (F7) перехвачена (80572889->F742D19A), перехватчик spps.sys
Проверено функций: 284, перехвачено: 7, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 82FDC1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 82FDC1F8 -> перехватчик не определен
Проверка завершена
Это эмулятор дисков шалит...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\администратор\\local settings\\temporary internet files\\content.ie5\\hq4547x5\\download_snm-2.67_swpl[1].exe - not-a-virus:FraudTool.Win32.SpyNoMore.ck
- c:\\windows\\eqvwamkl.dll - Trojan.Win32.Vapsup.jaa (DrWEB: Trojan.Popuper.886
- c:\\windows\\nfavxwdbmfe.dll - Trojan.Win32.Vapsup.jab
- c:\\windows\\wnslvxtf.dll - Trojan.Win32.Vapsup.izz (DrWEB: Trojan.Popuper.7319)
Уважаемый(ая) Pancho, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.