пункт №8

[Santei]

Только, что запустил проверку, Avast выдал:

c:\windows\svchost.exe
Win32:Trojan-gen. {Other}
Вирус/Червь
000727-0, 22.03.2007

c:\windows\system32\qmap32.dll
Win32:Trojan-gen. {Other}
Вирус/Червь
000727-0, 22.03.2007

avast! обнаружил вирус в операционной памяти.
Очень опасно работать на компьютере, в памяти
которого активен вирус, поэтому настоятельно
рекомендеум парезагрузиться..........

Когда я проверял ещё какой-то программоё она мне выдавала, что у меня Win32:Trojan Small, памоему так.

[Bratez]

Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\qmap32.dll');
 DeleteFile('C:\WINDOWS\SVCHOST.EXE');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

Копмьютер перезагрузится. Прикрепите к теме файл 'boot_clr.log' из папки с AVZ.

[Santei]

Скрипт выполнился но снова была пепрезагрузка пасле "синего экрана"? верхняя строка "синего экрана" была: (что-то типа) STOP 0000023....
Файл boot_clr
послал через "Послать запрошенный файл".
Эффекта никакого всёровно зараженные файлы на месте

[Bratez]

Файл boot_clr послал через "Послать запрошенный файл".

По этой ссылке отправляют архивы с карантинными файлами, а логи прикрепляют к сообщению! Кстати, файлы из карантина вы так и не прислали (см. ответ #20).

Последний скрипт выполните в безопасном режиме.

[Кто?]

Santei
Логи прикрепляются к теме, файлы посылаются.

[Santei]

Карантин послал, а с этим, что? C:\Acer\Empowering Technology\WMIAcerCheck.exe. Прислать сам файл?

Сейчас попробую выполнить скрипт в безопасном режиме.

[Santei]

Выполнил скрипт в безопасном режиме, все прошло нормально.

[Bratez]

ОК. Теперь попробуйте сделать логи п.8-12 правил. В обычном режиме. Изменилось ли поведение компьютера?

[Santei]

По пункту №8 на 93% выполнения вылезло окно с ошибкой (я англиский не знаю), несколько секунд и снова "синий экран" STOP....... и перезагрузка. Как Вы наверное заметили раньше окна с ошибкой не было, т.е. небольшое изменение, а в остальном всё по старому.

[NickGolovko]

Давайте сделаем следующее.

1) Убедитесь, что восстановление системы отключено.

2) Повторите логи при включенном AVZGuard (AVZ - AVZGuard - Включить AVZGuard) и пришлите по правилам файлы карантина из папки с именем "сегодняшнее_число" (другие не нужно). Возможно, наши скрипты упускают какой-то компонент трояна, дропающий вредоносные файлы заново.

3) Сколько у вас в папке C:\Windows\system32\ файлов с именем вида "svchost.exe"?

[PavelA]

Попробуй в AVZ поискать C:\WINDOWS\SVCHOST.EXE, именно так как написано. Если найдется, то в карантин и через форму прислать.
Затем поискать в реестре эту же строку. Если найдется, то сохраните лог и приложите к теме.

Будем надеяться, что ничего не найдется.

В любом случае далее:
Скачиваем Cure-It, загружаемся в SafeMode, отключаем Avast! и запускаем проверку.

[Bratez]

Я тут порылся в поисковиках, кое-что нашел.
Как выяснилось, вирус этот весьма живучий, к тому же поражает
exe-файлы, вполне возможно, что ваша копия AVZ тоже заражена.
Поэтому план такой.
Найдите возможность воспользоваться выходом в интернет на другом компьютере,
скачайте программу CureIt (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe),
AVZ и HijackThis и запишите на CD-R в распакованном виде.
На своем компьютере загрузитесь в безопасный режим,
сначала запустите CureIt (прямо с CD), пусть пролечит,
затем AVZ также прямо с CD и выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\qmap32.dll');
 DeleteFile('C:\WINDOWS\SVCHOST.EXE');
 DeleteFile('C:\WINDOWS\sysaudio.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_DeleteSvc('XPManager');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится. Теперь уже в обычном режиме прогоните еще разок CureIt, потом копируйте AVZ и HijackThis на жесткий и сделайте все логи + приложите boot_clr.log из папки с AVZ.

[Santei]

Bratez, всё сделал как вы написали, CureIt ничего не нашел, скрипты с AVZ выполнились полностью, но файла 'boot_clr.log' я в папке с AVZ не нашел.

[Bratez]

Что ж, поздравляю, общими усилиями зверя мы победили
Осталось пофиксить вот это:

Код:

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

И файл popcaploader_v5.cab поищите, если он где-то сохранился - удалите.

[Santei]

Я сразу не заметил , но CureIt немного нужых файлов удалила, я храню на компе setup - ы всех нужных программ (никак руки не доходили на болванки нарезать) ну вот она их и удалила и несколько игрушек, я так понял, что они все были заражены.
Но это не беда за день можно всё восстановить, самое главное, что НИКАКИХ ЗВЕРЕЙ БОЛЬШЕ НЕТ.

[Santei]

В HijackThis строку 016 - DPF............. удалил без проблем.
Файл popcaploader_v5.cab поиск windows не нашел, в реестре я тоже поискал, пусто.
В поиске windows поикал sysaudio (c окончанием .dll; .sys; .exe), svhost, qmap.dll, поиск нашёл пару файлов sysaudio и всё, но они не опасны т.к. после полной проверки системы Avast не обнаружил не одного зараженного.
ДУМАЮ НА ЭТОМ МОЖНО ПОСТАВИТЬ ЖИРНУ ТОЧКУ, ОБЩИМИ УСИЛИЯМИ МЫ ЕГО ПОБЕДИЛИ.

ХОЧУ ПОБЛАГАДОРИТЬ ВСЁХ КТО МНЕ ПОМОГ – БОЛЬШОЕ СПАСИБО!
ОСОБЕННО ХОЧУ ОТМЕТИТЬ Bratez’а: «ВЫ МУЧАЛИСЬ СО МНОЙ
БОЛЬШЕ ВСЕХ» БАЛЬШУЩЕЕ СПАСИБО.
Очень рад, что случайно нашел ваш форум, если что, знаю куда обратится.
Приятно было пообщаться!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены