опять eKAV!!!

[1gor]

Здравствуйте,

Прочитал на эту тему предыдущие посты. Но ничего из того, что советовалось выполнить не смог. Эта зараза блокирует все, что хоть как-то напоминает антивирус. Я просто папку с AVZ открываю и он сразу блокирует. Я даже не успеваю курсор до exe-шного файла довести. Запустился с Kaspersky Rescue Disk - он один какой-то файл удалил. Но перед выходом, посмотрев скрытые загрузочные файлы, решил грохнуть один показавшийся мне подозрительным с расширением .bak . Как оказалось зря Винда загружаться отказалась.
Помогите, пожалуйста , выпутаться из этой ситуации!

P.S. Стоит вторая ось - 7ка. Пишу из под нее.

[Bratez]

Винда загружаться отказалась

Что происходит при попытке загрузки?
Постарайтесь припомнить, что именно удалил Kaspersky Rescue Disk?

[1gor]

Спасибо, что ответили. Я уже и не ждал.
Загрузку системы восстановил, думаю это был какой-то глюк, связанный с вирусом. После того как система загрузилась я смог запустить переименованный AVZ. Он нашел вот такую заразу в system32
"ntimage.gif:QRNIuC" и "ntimage.gif:QRNIuC:$DATA". Плюс массу перехватчиков, источник которых он не смог установить. Исправил некоторые блокировки.
Потом я запустил скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\program files\plugin.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','plugin');
DeleteFile('C:\WINDOWS.0\system32\FAC5DA\3A0CA3.EX E');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','3A0CA3');
DeleteFile('c:\windows.0\system32\svrchost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','SysSrv');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iseL2.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
ExecuteSysClean;
RebootWindows(true);
end.

который вычитал на форуме. На всякий случай. НО... после завершения я не смог закрыть AVZ. Причем он не повис - я мог открывать некоторые опции. В итоге пришлось делать reset. При следующей загрузке опять вылез eKAV.
Что удалил Rescue Disk не запомнил, но судя по появившемуся трояну это было не то.

Пойду пробовать делать логи. Может получится.

[1gor]

Путем подбора кода для смс-ки (описанным на форуме) удалось убрать баннер. Смог запустить переименованный AVZ. Прилагаю два архива. Один - "сбор информации для раздела "Помогите", второй - "все подозрительные файлы". Во втором безопасными точно являются

кватокалибратор - калибровщик монитора
файл с расширением .pif - переименованный gmer
sptd.sys - эмулятор дисководов
все с именем jula - звуковая карта
ib_backup.exe и vusbbus.sys - компоненты проги "смета.ру" (или ее кряка)

При выполнении скриптов AVZ не смог загнать в карантин следующих персонажей:
deskpan.dll
(rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServe r{00E7B358-F65B-4dcf-83DF-CD026B94BFD4})
System - повторяется 2 раза
mscoree.dll - повторяется 3 раза
spkv.sys
По окончании работ AVZ закрыть не удалось, как и в прошлый раз. Запустить gmer,AVPTool, хайджек не дает ни в каком виде.

P.S. Вспомнил, что надо было сделать архив "лечение/карантин и сбор информации". Вошел в систему, сделал скрипт. И , о чудо!, смог закрыть AVZ. Прогресс налицо. Прилагаю три архива. Есть еще "virusinfo cure".

P.S. Архив "подозрительные файлы" оказался большим и не влез.

[Bratez]

Вот только не надо заниматься самодеятельностью в виде выполнения чужих скриптов!

Выполните такой скрипт:

Код:

begin
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
ExecuteSysClean;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

и после перезагрузки сделайте логи в соответствии с п.2 и 3 раздела Диагностика.

[1gor]

После ночных манипуляций все заработало! Даже диспетчер задач! AVZ рулит!!!
Скрипт выполнил. Хотя я этот netprotocol.dll отловил еще в самом начале. Забыл про это написать. Когда будете смотреть логи не забудьте про указанные выше безопасные элементы, которые Вам могут показаться подозрительными. Еще добавлю:
fb server и fb guard - это прога "смета.ру".
Подозрительным кажется iavlsp.dll - на него ругался AVZ при самых первых запусках.

С нетерпением жду Вашего ответа.

[Bratez]

fb server и fb guard - это прога "смета.ру".

Это Firebird SQL Server.

Подозрительным кажется iavlsp.dll

Закиньте на www.virustotal.com на всякий случай, хотя это вроде от аваста файлик?

[1gor]

iavlsp.dll это хвост от Iolo System mechanik. Безопасный. Получается, что все чисто. Но очень прошу посмотреть, может что подозрительное найдете.

[Bratez]

Ничего подозрительного в логах не видно.

[1gor]

Рано я обрабовался. И-нет пропал прямо во время написания поста. Думал провайдер подвис, зашел через 7ку - работает. Захожу снова в ХР, запускаю AVZ. Он опять находит "ntimage.gif:QRNIuC:$DATA", но ничего почему-то с ним не делает. Закрыть я его опять не смог. Диспетчер задач снова блокирован. Танцы с бубном начинаются сначала. -((

[1gor]

Огромная просьба написать скрипт, чтобы грохнуть "ntimage.gif:QRNIuC:$DATA" и "ntimage.gif:QRNIuC". По данным AVZ расположены в "c:\windows\system32" . Найти самому их невозможно.

Либо одно, либо оба есть после любых чисток. Даже если система на некоторое время нормализуется, потом все возвращается на круги своя. Максимум чего добился, так это запуска AVZ, gmer, AVPTool, HJ. gmer, HJ и AVPTool виснут после двух секунд работы. AVZ заканчивает сканирование, но закрыть программу уже нельзя. Завел другую учетку - не помогло. В ней то же самое. Чистки из-под другой винды ничего не дают.
Пожалуйста, напишите скрипт!
Да, если я выполню его из под другой учетки он сработает?

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\ntimage.gif:QRNIuC:$DATA','');
DeleteFile('c:\windows\system32\ntimage.gif:QRNIuC:$DATA');
 QuarantineFile('c:\windows\system32\ntimage.gif:QRNIuC:$DATA','');
 DeleteFile('c:\windows\system32\ntimage.gif:QRNIuC:$DATA');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[1gor]

Скрипт выполнить не удается. Буду переставлять систему.

Спасибо за помощь

[Bratez]

Да, если я выполню его из под другой учетки он сработает?

Сработает. Даже из-под другой ОС сработает, если буковку диска правильно скорректировать. Так что может не стоит спешить с переустановкой?