Нет связи с virusinfi.info

[gynman]

Пока других проявлений нет. Приходится писать сюда с другого компа.
AVZ ругается на некоторые файлы. Есть подозрение на что-то нехорошее.

[Ingener]

1) Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('D:\RECYCLER\S-1-5-21-1343024091-1482476501-839522115-1003\Dd1.msi','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll','');
 DeleteFile('D:\RECYCLER\S-1-5-21-1343024091-1482476501-839522115-1003\Dd1.msi');
 DeleteFile('H:\autorun.inf');
 DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(4);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
2) Затем выполните второй скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

Файл quarantine.zip из папки с AVZ закачайте по ссылке "прислать запрошенный карантин" вверху темы.
3) Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118

[gynman]

все сделал, доступ на сайт появился, но AVZ все еще ругается. Gmer - скачать неполучается. 404 ошибка.

[vegas]

Уберите карантин из поста, закачайте его по красной ссылке вверху. Скачайте Gmer http://www2.gmer.net/gmer.zip и сделайте лог

[gynman]

закачал...

[vegas]

Скачайте Gmer http://www2.gmer.net/gmer.zip и сделайте лог

Выполните

[gynman]

наконецто удалось....

[Ingener]

1) Выполните скрит в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq');
QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll','');
DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2) Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна обнаружить буткит:

Код:

Disk     \Device\Harddisk0\DR0   sector 01: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 02: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 04: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 32: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 63: rootkit-like behavior; copy of MBR

Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.
Пришлите содержимое первого сектора по правилам.

Скачайте свежий CureIT! и проверьте компьютер - сообщите обнаружил ли он буткит и пролечил ли его.

Cделайте новый лог GMER.

[gynman]

AVZ - почему теперь незапускается, ждет 3-5 сек и просто незапускается. остальные проги открываются нормально, скачал новый все равно таже ситуация.

[Ingener]

Попробуйте сделать так:
1. Переименовать папку AVZ, задать ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.
2. Переименовать avz.exe в что-то типа test.exe, game.pif, program.com
3. Запускать AVZ с ключом: avz.exe ag=y (в этом случае при запуске AVZ включается AVZGuard)
Если после этих манипуляций всё равно не удастся запустить AVZ - попробуйте такую версию AVZ: http://ifolder.ru/13623748
Аналогично переименуйте папку и исполняемый файл программы HijackThis.

После этого выполните рекомендации из моего поста #8 + сделайте все логи по правилам.

[gynman]

1) Выполните скрит в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ayfefsq');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq\Parameters');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ayfefsq');
QuarantineFile('D:\WINDOWS\system32\tmlhcknr.dll','');
DeleteFile('D:\WINDOWS\system32\tmlhcknr.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2) Запустите Gmer. При предварительном сканировании (сразу после запуска) программа должна обнаружить буткит:

Код:

Disk     \Device\Harddisk0\DR0   sector 01: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 02: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 04: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 32: rootkit-like behavior; copy of MBR
Disk     \Device\Harddisk0\DR0   sector 63: rootkit-like behavior; copy of MBR

Нажать правым щелчком по строке, выберите "Copy" и сохраните содержимое первого сектора в каком-нибудь каталоге.
Пришлите содержимое первого сектора по правилам.

Скачайте свежий CureIT! и проверьте компьютер - сообщите обнаружил ли он буткит и пролечил ли его.

Cделайте новый лог GMER.

скрипт выполнился. а вот на втором этапе только одна срочка:

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
и больше, как вы писали, ничего необнаруживается.
даное содержание сохранить?

[Ingener]

Скачайте свежий CureIT! и произведите полную проверку всех дисков.
Потом сделайте новый лог GMER - посмотрим в чём дело.

[gynman]

логи на всякий случай.

[Ingener]

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qip.ru/search?query=%s&from=IE
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\Елена\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)

Сделайте лог GMER - без него невозможно определить пролечена ли полностью система.
Я же вас просил сделать лог GMER:

Потом сделайте новый лог GMER

[gynman]

GMER ЛОГ.
оСТАЛЬНОЕ ПРОФИКСИЛ.
Бонжур этот не хочет удаляться никак, может можно как то принудительно его удалить?

[Ingener]

У вас буткит.
Проверку CureIT! выполняли?

Бонжур этот не хочет удаляться никак, может можно как то принудительно его удалить?

http://virusinfo.info/showthread.php?t=27923

[gynman]

У вас буткит.
Проверку CureIT! выполняли?

да, он один нашел и удалил. после перезагрузки прогнал еще, ничего не обнаружил. после делал приведенные логи.

[Ingener]

1) Скачайте эту программу:
http://www.esagelab.com/files/bootkit_remover.rar
2) Сохраните текст ниже как cleanup.bat в ту же папку, где находится скачанная Вами утилита (в Блокноте вставьте текст, затем Файл - Сохранить как - Выберите 'Тип файла: все файлы' и 'Имя файла: cleanup.bat'. Не забудьте сохраниться именно в ту папку, где находится утилита!):

Код:

remover.exe dump \\.\PhysicalDrive0 mbr.bin
remover.exe fix \\.\PhysicalDrive0

Запустите cleanup.bat
По окончании в папке появится файл mbr.bin. Пришлите его согласно Приложению 3 правил.
3) Сделайте новый лог GMER.

*** ВНИМАНИЕ!
При перезаписи MBR всегда существует небольшой риск нанести вред операционной системе. Поэтому, перед тем как использовать утилиту Bootkit Remover, обязательно приготовьте загрузочный установочный диск с используемой версией Windows, с помощью которого (Recovery Console) можно восстановить MBR в случае его повреждения.

Если возникнут проблемы с загрузкой операционной системы - выполните следующее:
Загрузится с установочного диска в режиме консоли и выполнить "fixmbr"

[gynman]

загрузил mbr.zip, проверил gmer-ом вот лог:

[Ingener]

1) Выполните команду fixmbr \device\harddisk0 в консоли восстановления - подробнее здесь:
http://support.microsoft.com/kb/307654/ru
2) Сделайте новый лог GMER.