Пока других проявлений нет. Приходится писать сюда с другого компа.
AVZ ругается на некоторые файлы. Есть подозрение на что-то нехорошее.
Пока других проявлений нет. Приходится писать сюда с другого компа.
AVZ ругается на некоторые файлы. Есть подозрение на что-то нехорошее.
Последний раз редактировалось gynman; 02.06.2011 в 11:00.
1) Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('D:\RECYCLER\S-1-5-21-1343024091-1482476501-839522115-1003\Dd1.msi',''); QuarantineFile('H:\autorun.inf',''); QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll',''); DeleteFile('D:\RECYCLER\S-1-5-21-1343024091-1482476501-839522115-1003\Dd1.msi'); DeleteFile('H:\autorun.inf'); DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(4); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
2) Затем выполните второй скрипт в AVZ:
Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
3) Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118
GHETTO/STREET WORKOUT
все сделал, доступ на сайт появился, но AVZ все еще ругается. Gmer - скачать неполучается. 404 ошибка.
Последний раз редактировалось gynman; 02.06.2011 в 11:00.
Уберите карантин из поста, закачайте его по красной ссылке вверху. Скачайте Gmer http://www2.gmer.net/gmer.zip и сделайте лог
The Truth is Out There
закачал...
наконецто удалось....
Последний раз редактировалось gynman; 02.06.2011 в 11:00.
1) Выполните скрит в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ayfefsq'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq\Parameters'); RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq\Parameters'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq'); QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll',''); DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2) Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна обнаружить буткит:
Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.Код:Disk \Device\Harddisk0\DR0 sector 01: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
Пришлите содержимое первого сектора по правилам.
Скачайте свежий CureIT! и проверьте компьютер - сообщите обнаружил ли он буткит и пролечил ли его.
Cделайте новый лог GMER.
GHETTO/STREET WORKOUT
AVZ - почему теперь незапускается, ждет 3-5 сек и просто незапускается. остальные проги открываются нормально, скачал новый все равно таже ситуация.
Попробуйте сделать так:
1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com
3. Запускать AVZ с ключом: avz.exe ag=y (в этом случае при запуске AVZ включается AVZGuard)
Если после этих манипуляций всё равно не удастся запустить AVZ - попробуйте такую версию AVZ: http://ifolder.ru/13623748
Аналогично переименуйте папку и исполняемый файл программы HijackThis.
После этого выполните рекомендации из моего поста #8 + сделайте все логи по правилам.
GHETTO/STREET WORKOUT
скрипт выполнился. а вот на втором этапе только одна срочка:
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
и больше, как вы писали, ничего необнаруживается.
даное содержание сохранить?
Скачайте свежий CureIT! и произведите полную проверку всех дисков.
Потом сделайте новый лог GMER - посмотрим в чём дело.
GHETTO/STREET WORKOUT
логи на всякий случай.
Последний раз редактировалось gynman; 02.06.2011 в 11:00.
Пофиксите в HijackThis:
Сделайте лог GMER - без него невозможно определить пролечена ли полностью система.Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\Елена\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: (no name) - - (no file)
Я же вас просил сделать лог GMER:
Потом сделайте новый лог GMER
GHETTO/STREET WORKOUT
GMER ЛОГ.
оСТАЛЬНОЕ ПРОФИКСИЛ.
Бонжур этот не хочет удаляться никак, может можно как то принудительно его удалить?
Последний раз редактировалось gynman; 02.06.2011 в 11:00.
У вас буткит.
Проверку CureIT! выполняли?
http://virusinfo.info/showthread.php?t=27923Бонжур этот не хочет удаляться никак, может можно как то принудительно его удалить?
GHETTO/STREET WORKOUT
1) Скачайте эту программу:
http://www.esagelab.com/files/bootkit_remover.rar
2) Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!):
Запустите cleanup.batКод:remover.exe dump \\.\PhysicalDrive0 mbr.bin remover.exe fix \\.\PhysicalDrive0
По окончании в папке появится файл mbr.bin. Пришлите его согласно Приложению 3 правил.
3) Сделайте новый лог GMER.
Если возникнут проблемы с загрузкой операционной системы - выполните следующее:*** ВНИМАНИЕ!
При перезаписи MBR всегда существует небольшой риск нанести вред операционной системе. Поэтому, перед тем как использовать утилиту Bootkit Remover, обязательно приготовьте загрузочный установочный диск с используемой версией Windows, с помощью которого (Recovery Console) можно восстановить MBR в случае его повреждения.
Загрузится с установочного диска в режиме консоли и выполнить "fixmbr"
GHETTO/STREET WORKOUT
загрузил mbr.zip, проверил gmer-ом вот лог:
Последний раз редактировалось gynman; 02.06.2011 в 11:00.
1) Выполните команду fixmbr \device\harddisk0 в консоли восстановления - подробнее здесь:
http://support.microsoft.com/kb/307654/ru
2) Сделайте новый лог GMER.
GHETTO/STREET WORKOUT
Уважаемый(ая) gynman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.