Вирус-Перехватчик, AVZ не раб(((

[RWC]

Здравствуйте, прошу помочь.

Сегодня заметил сидя на yandex.ru что после ввода искомой фразы и нажатия на кнопку "Найти", браузер переходит на "левую" страницу, вместо того чтобы выдать страницу с результатом запроса от yandex.ru. После этого проверил остальные основные поисковые системы (rambler, google, и др.) и на них тоже самое... после нажатия на кнопку "Поиск" или на кнопку "Найти" в адресной строке появляется адрес вот этого сайта

Код:

http://explorer.bucks.su/index.php?q=%EF%F0%E8%E2%E5%F2

этот сайт видимо перенаправляет на другие сайты.
после открываются еще другие сайты, каждый раз новые, но одной тематики, знакомства или порно.

Попробовал остальные браузеры...тоже самое(

Но тут еще не все...не работает AVZ.
Запустил AVZ, обновил базы, отключил антивирус(Dr.WEB), отключил Интернет,
Выбрал Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info

AVZ делает проверку, проверяет все диски, и в самом конце зависает.

в протоколе последние записи

Код:

Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 320, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.04.2009 23:31:16
Сканирование длилось 00:00:20
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы

и на этом месте он зависает, приходиться его убивать через диспетчера задач.
А когда ставлю на простую проверку, то все нормально работает.
Видимо он зависает в тот самый момент когда записывает логи
Логов естественно нету, они не успевают появиться, т.к. он зависает.((

Возможно он не может их заархивировать или еще что...не пойму.

Прошу помощи. Спасибо.

[RWC]

добавил лог от HijackThis

[drongo]

качайте avz из моей подписи и только с ним делать логи

[RWC]

тоже самое, зависает в том же месте.

[drongo]

В безопасном режиме загрузиться и сделать такой лог : http://virusinfo.info/showthread.php?t=10387
Также ,можно попробовать скачать avptool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ , просканировать все диски, если что найдёт- убить. Затем в нормальном режиме тоже попытаться сделать лог http://avptool.virusinfo.info/ru/AVPTool_manual.htm

[RWC]

Сделал в безопасном режиме.

Пробовал и в обычном режиме, но тоже зависает.
Потом попробовал и снял галочку "Запушенные процессы", и AVZ перестал зависать, могу скинуть лог с нормального режима но без "Запушенные процессы"

[drongo]

а что насчёт avptool,нашёл что-нибудь?
Лог от него ?
Выполните скрипт @ avz в нормальном режиме.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 QuarantineFile('C:\WINDOWS\fd.dll','');
 QuarantineFile('C:\Documents and Settings\RWC\Рабочий стол\3612A53C9FAF8238\3612A53C9FAF8238','');
 QuarantineFile('C:\WINDOWS\system32\pr2ajaqb.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\ps7ajaqb.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\pe3ajaqb.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

[RWC]

Я про тот лог который я получил от AVZ в нормальном режиме через Файл/Исследование системы , но без галочки "Запушенные процессы", тоесть без сканирования запушенныйх процессов, а когда я ставлю галочку "Запушенные процессы" то AVZ виснет.

Загрузил этот лог от AVZ, без запушенныйх процессов.


Скрипт выполнил, карантин прислал.

avptool скачал но еще не устанавливал, dr WEB удалить перед этим?


щяс запустил CureIt! на проверку

[light59]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('navigator');
 DeleteService('navigator');
 DeleteFile('C:\WINDOWS\fd.dll');
BC_ImportDeletedList;
 BC_DeleteSvc('navigator');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Попробуйте сделать логи, как написано в правилах.

[drongo]

cureit не имеет особово смысла использовать- у вас же и так drweb.
перед использованием avptool, достаточно отключить ваш основной антивирус на всякий случай

[RWC]

Вроде все стало норм, и AVZ заработал

Проверьте пожалуйста логи.

Большое спасибо.

[drongo]

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('3612A53C9FAF8238');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DeleteFile('C:\Documents and Settings\RWC\Рабочий стол\3612A53C9FAF8238\3612A53C9FAF8238');
 DeleteFile('C:\Documents and Settings\RWC\Рабочий стол\прогссс\прогс6\news\игры\1210526824_herocrafthexxagonlabsv1.rar');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.

Повторить лог virusinfo_syscure.zip
P.S. вместо загрузки игр с троянами -заняться нужно обновлением системы и изучением инструкций: http://virusinfo.info/showthread.php?t=30339

[RWC]

Это не игра с трояном, это игра под Windows Mobile, avz наверное ругается на нее потому что там кряк)

после выполнение скрипта и перезагрузки, вылезло окно с "Мастером нового оборудования" и в диспетчере устройств появилось неизвестное устройство. Удалился какой то драйвер?

Лог ниже.

[drongo]

авз этим не страдает, а вот трояны в креках очень часто живут, в данном случае он ворует ваши пароли к играм

Восстановление системы: включено
Отключить!

Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DeleteFile('C:\Documents and Settings\RWC\Рабочий стол\3612A53C9FAF8238\3612A53C9FAF8238');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('3612A53C9FAF8238');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
RebootWindows(true);
end.

spha.sys поискать по второму пункту правил, сомневаюсь что он на диске, но всё же поищите
сделайте лог gmer. ( http://virusinfo.info/showthread.php?t=40118 )

удалите наконец bonjour, на виндоус он вам нужен как мёртвому припарки.

[RWC]

AVZ снова перестал работать, удалил снова этот navigator через старый скрипт, все заработало, перезагрузился, вроде не появился снова.

удалите наконец bonjour, на виндоус он вам нужен как мёртвому припарки.

извините, что за bonjour? и где он есть?))

spha.sys- не нашел.

сделал лог в gmer.

"Мастер нового оборудования" так все и выскакивает, и еще... после выполнения скрипта, в проводнике, в моем компьютере под DVD-ROM'ами появилось надпись веб-папки.

Скидываю лог gmer. и новые логи от AVZ

[drongo]

интересный лог gmer, надо на всякий случай деинсталировать ваш эмулятор дисков чтобы не отвлекал.
Похоже, какой-то свежий руткит у вас надо скопировать нам его, чтобы иметь возможность бороться в будущем.

Собственно интересуют несколько файлов:
System32\Drivers\ah8favu2.SYS
\Device\__max++>\A2EC18DF.dll

gmer позволяет вам их скопировать?
Можно попробовать в avz поискать по второму пункту приложения правил.
Также, можно попробовать icesword, там есть поиск по диску с возможностью копирования. http://rapidshare.com/files/13306104...122en.zip.html
в отличии от avz, нужно запаковать файлы в zip с паролем virus самому

Код:

"Мастер нового оборудования" так все и выскакивает, и еще... после выполнения скрипта, в проводнике, в моем компьютере под DVD-ROM'ами появилось надпись веб-папки.

это известный побочный эффект, исправим.
не отвлекайтесь


P.S. c:\program files\bonjour\mdnsresponder.exe - bonjour у вас в компьютере
у себя давно удалил.

[RWC]

Он пропал.

щяс запустил Gmer, просканировал.Красным выделилось только

Service C:\Documents and Settings\RWC\??????? ????\F5F474F8C608F9D0\F5F474F8C608F9D0 (***hidden*** ) [AUTO]F5F474F8C608F9D0

искал System32\Drivers\ah8favu2.SYS но его нету...сохранил новый лог и сравнил со старым...и вот что.

старый лог(который я загружал вам ранее)

Код:

---- Kernel code sections - GMER 1.0.15 ----
?               sppi.sys                                                                                                                                                                                                                          Не удается найти указанный файл. !
.text           USBPORT.SYS!DllUnload                                                                                                                                                                                                             F715662C 5 Bytes  JMP 8650B3E0 
.text           ah8favu2.SYS                                                                                                                                                                                                                      F70D0386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03C9 1 Byte  [2E]
.text           ah8favu2.SYS                                                                                                                                                                                                                      F70D03C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text           ...                                                                                                                                                                                                                               
?               C:\Documents and Settings\RWC\Рабочий стол\F5F474F8C608F9D0\F5F474F8C608F9D0                                                                                                                                                      Отказано в доступе.
---- User code sections - GMER 1.0.15 ----

и

новый лог(который сделал недавно)

Код:

---- Kernel code sections - GMER 1.0.15 ----
?               spvk.sys                                                                                                                                                                                                                          Не удается найти указанный файл. !
.text           USBPORT.SYS!DllUnload                                                                                                                                                                                                             F718D62C 5 Bytes  JMP 865D31D8 
.text           axg85z8c.SYS                                                                                                                                                                                                                      F7107386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text           axg85z8c.SYS                                                                                                                                                                                                                      F71073AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           axg85z8c.SYS                                                                                                                                                                                                                      F71073C4 3 Bytes  [00, 70, 02] {ADD [EAX+0x2], DH}
.text           axg85z8c.SYS                                                                                                                                                                                                                      F71073C9 1 Byte  [2E]
.text           axg85z8c.SYS                                                                                                                                                                                                                      F71073C9 11 Bytes  [2E, 00, 00, 00, 5A, 02, 00, ...]
.text           ...                                                                                                                                                                                                                               
---- User code sections - GMER 1.0.15 ----

дак какой файл мне искать?

Он меняет имя...или иначе ah8favu2.SYS нету.Куда он пропал?)

\globalroot\Device\__max++>\A2EC18DF.dll а этого ваще нету в новом логе от gmer, может gmer удалил его?

загружу новый лог от gmer

PS: а может его теперь нету так как я снова удалил navigator, ведь во время сканирования navigator был еще не удален, я его удалил только после..., когда начал делать логи AVZ

[kps]

sp??.sys - это от эмулятора дисков.
ah8favu2.SYS - тоже.
Если удалите главный драйвер эмулятора дисков C:\WINDOWS\System32\Drivers\sptd.sys, то это у Вас пропадет.

[RWC]

то это у Вас пропадет.

что это?

да все-же, что делать?

[kps]

что это?

Драйвера эмулятора, которые меняют имя. Если они Вам мешают или не нужны, можете удалить.

да все-же, что делать?

Ждать, когда вирлаб ответит по поводу файла 3612A53C9FAF8238 из карантина.