подцепил вирус

**Vladimirzzz** · 08.09.2009, 13:55

У меня был установлен Avira Premium Security Suite 8.2.0.373.RUS
В один прекрасный момент он начал изредка ругаться на некоторые файлы, в том числе svchost.exe. Через некоторое время количество предупреждений от AntiVir Guard увеличилось. Они пошли одним сплошным потоком. Занесение файлов в карантин не помогало. Начал ругаться даже на некоторые файлы Авиры. Сканер Авиры перестал запускаться. Начали вылезать ошибки обращения к памяти во время загрузки компа и во время работы. Пришлось Авиру снести. Попробовал поставить NOD32 v.2.7. После установке фикса NOD32.FiX.v2.2 по инструкции перезагрузил комп. После каждой следующей перезагрузки на долю секунды начало открываться окно DOS и что-то подгружаться. Все приложения перестали запускаться, появлялось сообщение "нет права доступа к приложению, файлу, URL ...". Ярлыков NOD32 не появилось. Его признаки были видны только в диспетчере задач в процессах. Перезагрузился в безапасном режиме и снес NOD32 вместе с фиксом. Работоспособность почти всех приложений восстановилась. Попробовал еще раз установить более свежую версию NOD32 v.4 без фикса. Вирус заблокировал. Скачал Dr. Web CureIt!, запустил в безопасном режиме, но само сканирование не запустилось (похоже опять вирус заблокировал). Скачал единственную найденную версию avptool_9.0.0.655, запустил в безопасном режиме, с третьей попытки просканировал комп и нашел кучу вирусов, которые вылечил либо удалил. По инструкции провел диагностику с помощью AVZ и HiJackThis. Высылаю полученные файлы. При каждой загрузке компа все еще на долю секунды открывается окно DOS и что-то подгружается и вылезают ошибки обращения к памяти. Помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kuzz** · 08.09.2009, 15:31

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('nvoglnt.dll','');
 QuarantineFile('C:\WINDOWS\system32\nvoglnt.dll','');
 QuarantineFile('C:\WINDOWS\system32\pvmjpg30.dll','');
 QuarantineFile('ACDV.dll','');
 QuarantineFile('C:\WINDOWS\system32\ACDV.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\itecir.sys','');
 QuarantineFile('C:\WINDOWS\system32\nvsvc32.exe','');
 QuarantineFile('C:\Program Files\ATKGFNEX\GFNEXSrv.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ATKACPI.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\nv4_mini.sys','');
 QuarantineFile('C:\WINDOWS\system32\ice_time.dll','');
 QuarantineFile('c:\windows\system32\nvsvc32.exe','');
 QuarantineFile('c:\program files\atkgfnex\gfnexsrv.exe','');
 DeleteFile('C:\WINDOWS\system32\drivers\vm\VMSD.sys');
SetAVZPMStatus(True);
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил)

**Vladimirzzz** · 08.09.2009, 16:41

Здесь новый лог virusinfo_syscheck.zip после выполнения вышеуказанного скрипта.
Пока не получается загрузить архив virus.zip. Загрузка не доходит до конца.

**Vladimirzzz** · 08.09.2009, 19:00

Подскажите, нужно обратно включить восстановление системы после всех проверок?

**pig** · 08.09.2009, 19:21

Когда лечение закончится.

**Vladimirzzz** · 09.09.2009, 00:11

Подскажите плиз, мне попробовать поставить NOD32 и проверить им ноут или ждать следующих указаний?

**pig** · 09.09.2009, 07:18

Карантин загрузить получилось? В первую голову его надо на изучение.

**Vladimirzzz** · 09.09.2009, 10:05

Карантин загрузил еще вчера. Жду с нетерпением ответа.

**Vladimirzzz** · 11.09.2009, 00:59

Ребята, вы про меня не забыли? Как там мой карантин? Подскажите, есть какая-нибудь новая информация? Что мне дальше делать? После выполнения скрипта у меня видимо были удалены какие-то драйвера и появились два неопознанных устройства Windows. Один драйвер получилось восстановить, я, правда, не успел заметить, что это было за устройство

), а второе устройство так и не получилось определить, пришлось удалить, больше оно не вылезало. Ошибки обращения к памяти при загрузке ноута тоже остались.

**vegas** · 11.09.2009, 17:32

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ice_time.dll');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Повторите логи

**Vladimirzzz** · 11.09.2009, 23:25

Скрипт выполнил, логи во вложении. Жду дальнейших рекомендаций.
Подскажите, может проще и быстрее винду переустаниовить, а потом просканировать с помощью NOD32? А то пока никакого эффекта. К тому же похоже вирус постепенно одно за другим грохает мои приложения

**vegas** · 12.09.2009, 02:01

Переустановить всегда успеете. Поищите на диске с помощью АВЗ файл prio.dll (сервис - поиск файлов на диске). Если найдется - в карантин его и в лабораторию. Пофиксите Hijackthis

Код:

O20 - AppInit_DLLs: ice_time.dll prio.dll

Перезагрузитесь, повторите лог хиджака и сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118

**Vladimirzzz** · 12.09.2009, 23:02

Файл prio.dll нашел. C:\Program Files\Prio\prio.dll. Нажимаю на "Копировать отмеченные файлы в карантин".
Протокол:
Поиск файлов по маске prio.dll
C:\Program Files\Prio\prio.dll
Поиск файлов завершен
Просмотрено 57285, найдено 1
Файл C:\Program Files\Prio\prio.dll скопирован в карантин
Захожу в файл - просмотр карантина, а его там нет

.
Не понимаю, я что-то не правильно делаю?
Пока больше ничего не стал делать.

**pig** · 13.09.2009, 00:23

Авиру выключали? Она могла файл из карантина слопать, если распознала в нём зловреда.

**Vladimirzzz** · 13.09.2009, 00:32

Да Авиры у меня давно уже нет. Я ее снес в самом начале. У меня сейчас вообще не стоит никой антивирус. Подкажите, что дальше делать?

**NickGolovko** · 13.09.2009, 07:15

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 QuarantineFile('C:\Program Files\ATK Hotkey\Hcontrol.exe','');
 QuarantineFile('C:\Program Files\Wireless Console 2\wcourier.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

Карантин пришлите по правилам.

P.S. И никуда ваша Avira не делась... висит в логах в полном составе. Деинсталляция прошла в лучшем случае процентов на 30, если судить по протоколам.

**Vladimirzzz** · 13.09.2009, 15:29

Скрипт выполнил, карантин выслал. Скажите, карантин получили? Нужно выполнить предыдущее указание?

Сообщение от vegas

Переустановить всегда успеете. Поищите на диске с помощью АВЗ файл prio.dll (сервис - поиск файлов на диске). Если найдется - в карантин его и в лабораторию. Пофиксите Hijackthis

Код:
O20 - AppInit_DLLs: ice_time.dll prio.dllПерезагрузитесь, повторите лог хиджака и сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118

Как мне полностью снести Авиру? Я ее деинсталировал с помощью Your Uninstaller 2008.

**Белый Сокол** · 13.09.2009, 16:27

Как мне полностью снести Авиру? Я ее деинсталировал с помощью Your Uninstaller 2008.

Поищите в этом списке свой продукт.

**Vladimirzzz** · 13.09.2009, 17:35

Спасибо за ссылку. Подчистил с помощью утилит Avira AntiVir Removal Tool и Avira AntiVir RegistryCleaner
Надеюсь, что поможет.

**vegas** · 13.09.2009, 20:49

Что с проблемой? Логи повторите

подцепил вирус (заявка № 54223)

Опции темы

подцепил вирус

Новый лог virusinfo_syscheck.zip

Похожие темы

Подцепил вирус

Подцепил FileDownloader вирус

подцепил вирус

Подцепил вирус

Подцепил вирус

Метки для этой темы

Ваши права в разделе