VR

baikal Внимание !!! База поcледний раз обновлялась 01.04.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Обнови базы Восстановление системы отключи Логи делай в обычном режиме а не в безопасном

Хр Отключи востановления системмы. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Music\Мои Раздачи\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3',''); QuarantineFile('G:\Musik\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3',''); QuarantineFile('E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe',''); QuarantineFile('F:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe',''); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe',''); DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('F:\autorun.inf'); DeleteFile('F:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe'); DeleteFile('E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После этого выполни еще скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В AVZ Файл/Мастер поиска и устранения проблем выбери степень опасности все проблеммы. И нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы Повтори логи карантин и новые логи залей на фтп

6-6-6 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\afwcore.sys',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('G:\Recycled.exe',''); QuarantineFile('C:\утилы\Antivirь.exe',''); QuarantineFile('c:\windows\system32\xp-10b2ea6a.exe',''); QuarantineFile('C:\WINDOWS\system32\XP-10B2EA6A.EXE',''); DeleteFile('C:\WINDOWS\system32\XP-10B2EA6A.EXE'); DeleteFile('c:\windows\system32\xp-10b2ea6a.exe'); DeleteFile('G:\Recycled.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\drivers\afwcore.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После этого выполни еще скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В AVZ Файл/Мастер поиска и устранения проблем выбери степень опасности все проблеммы. И нажми Поиск отметь все найденные проблеммы и нажми Исправаить отмеченные проблемы И перед повторным сканом обнови базы AVZ Файл/Обновление баз Повтори логи карантин и новые логи залей на фтп

PADONAK У меня все загружается если кому надо вот копия первой страницы ftp://ftp.burnet.ru/incoming/users/VR/virus_help.rar baikal Делал логи Если AVZ не запускается то переменуй ее например так adfuq.pif

Frank Внимание !!! База поcледний раз обновлялась 20.11.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Frank Делай логи по правилам в шапке

Логи до скрипта или после? Как профиксить на писано в шапке этой темы Удали папку Quarantine из папки AVZ, после выполни скрипт AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{E02F7931-8554-45AA-94DB-6F9331954EDA}'); DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}'); QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll',''); QuarantineFile('C:\WINDOWS\TEMP\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys',''); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C642131}'); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe',''); DeleteService('AMDMSRIO'); DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe'); DeleteFile('C:\WINDOWS\TEMP\{55638DD9-D5A9-11D3-B74B-204C4F4F5020}\AMDMSRIO.sys'); DeleteFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll'); DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После выполни CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.begin Залей карантин на фтп Скачай ftp://ftp.burnet.ru/incoming/users/VR/setup_7.0.0.290_12.04.2009_03-51.exe проведи полную проверку ПК Повторите логи.

Простой Сперва обнови базы, а потом отключай и нет и сканируй. Добавлено спустя 8 минут 38 секунд: Пока только такой скрипт AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Distr\Loner\Install\Antivirus\KIS8.exe',''); QuarantineFile('C:\Distr\Loner\Install\Antivirus\KAV8.exe',''); QuarantineFile('C:\Distr\Loner\Install\Antivirus\Ad-Aware.exe',''); QuarantineFile('C:\Distr\BWMeter v4.2.1\Crack\BWMeter.exe.BAK',''); QuarantineFile('%USERPROFILE%\Application Data\bpfeed.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll',''); QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-2475149798-0135312387-008128239-1511\backup.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1198525270-9768830328-861180688-7189\winservices.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-1198525270-9768830328-861180688-7189\winservices.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-2475149798-0135312387-008128239-1511\backup.exe'); DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\rise.exe'); DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll'); DeleteFile('C:\Documents and Settings\All Users\Application Data\hyclib.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Профикси O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing) O2 - BHO: hyclibP - {E02F7931-8554-45AA-94DB-6F9331954EDA} - C:\Documents and Settings\All Users\Application Data\hyclib.dll Залей карантин на фтп (файл quarantine.zip из папки AVZ) Повторите логи с обновленными базами

Да я знаю что это системный файл я хотел его закинуть в карантин не понимаю как получилось так что написал удалить. Чета сегодня я со мной происходит блин второй раз из-за невнимательности допускаю ляп. Галсан Скрипт поправил можешь выполнять безбоязненно

Галсан Эти логи после скрипта или до? AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe',''); QuarantineFile('C:\Documents and Settings\Admin\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\system32\ntshrui.dll',''); DeleteFile('C:\WINDOWS\system32\drivers\services.exe'); DeleteFile('C:\Documents and Settings\Admin\svchost.exe'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\YLG4AWD1\ertyu[1].exe'); DeleteFile('D:\МУЗЫКА &\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Залей карантин на фтп (файл quarantine.zip из папки AVZ) Повторите логи 2-й стандартный скрипт AVZ и лог HijackThis и тоже залей на фтп

По логам нечего зловредного не вижу, проверь все программы на предмет авто обновления установи файрвол. Так же не мешало обновить Acrobat 7.0 - на последнюю версию Acrobat 9.1 Трафик так понимаю по-прежнему течет? Так же немешает поставить СП3 и все обновления после http://ulanovka.ru/forum/viewtopic.php?t=32371

D_Master спасибо большое что указал на мою ошибку, я сам не заметил как это вышло ведать с просони не туда ткнул, я обычно пишу скрипты с помощью avz_se а тут небыло ее под рукой решил прямо в логах натыкать скрипт, вот ведать и напортачил Галсан Извиняюсь за такую не простительную ошибку скрипт поправил.

Галсан AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\services.exe',''); QuarantineFile('C:\WINDOWS\system32\Zodiac.scr',''); QuarantineFile('C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE',''); QuarantineFile('C:\Documents and Settings\LocalService\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe',''); QuarantineFile('C:\Documents and Settings\Admin\svchost.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Admin.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys',''); QuarantineFile('D:\МУЗЫКА &\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3',''); DeleteFile('D:\МУЗЫКА &\Топ, Новинки С Разных Сайтов ver.3\14.01.2оо9\Dance\DJ Athlon - Track 8.mp3'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\YLG4AWD1\ertyu[1].exe'); DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys'); DeleteFile('C:\Documents and Settings\Admin\Admin.exe'); DeleteFile('C:\Documents and Settings\Admin\svchost.exe'); DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\userinit.exe'); DeleteFile('C:\Documents and Settings\LocalService\svchost.exe'); DeleteFile('C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE'); DeleteFile('C:\WINDOWS\system32\Zodiac.scr'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Залей карантин на фтп (файл quarantine.zip из папки AVZ) Повторите логи 2-й стандартный скрипт AVZ и лог HijackThis

HiJackThis лежит живой и здоровый на фтп в папке D_Master качай через тотал. ftp://ftp.burnet.ru/incoming/users/D_Master/HiJackThis.exe

pentagon Выполни begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WIN;DOWS\system32\28463\WCHM.bak'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Перезагрузка. Пофиксите: R3 - URLSearchHook: (no name) - - (no file) По логам: все, что требовалось, вычистили - Ardamax Keylogger и компания. Скриптом, который я указал выше, добиваем бэкап. Проблеммы остались?

pentagon Выполни скрипт AVZ SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\system32\28463\wchm.exe'); QuarantineFile('C:\d1vmq.exe',''); QuarantineFile('C:\WINDOWS\system32\nmdfgds1.dll',''); QuarantineFile('C:\WINDOWS\system32\afmain0.dll',''); QuarantineFile('C:\WINDOWS\system32\28463\WCHM.007',''); QuarantineFile('C:\WINDOWS\system32\optyhww0.dll',''); QuarantineFile('c:\windows\system32\28463\wchm.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\dsnpfd.sys',''); QuarantineFile('C:\WINDOWS\system32\28463\WCHM.006',''); DeleteFile('C:\WINDOWS\system32\28463\WCHM.006'); DeleteFile('c:\windows\system32\28463\wchm.exe'); DeleteFile('C:\WINDOWS\system32\optyhww0.dll'); DeleteFile('C:\WINDOWS\system32\28463\WCHM.007'); DeleteFile('C:\WINDOWS\system32\afmain0.dll'); DeleteFile('C:\WINDOWS\system32\nmdfgds1.dll'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\system32\olhrwef.exe'); DeleteFile('C:\WINDOWS\system32\twex.exe'); DeleteFile('C:\WINDOWS\system32\urretnd.exe'); DeleteFile('C:\d1vmq.exe'); DeleteFile('C:\autorun.inf'); BC_ImportAll; BC_DeleteFile('c:\windows\system32\28463\wchm.exe'); BC_DeleteFile('C:\WINDOWS\system32\twex.exe'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. begin После перезагрузки выполни еще один скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. файл quarantine.zip из папки AVZ вылажи на фтп Повторите логи.

Извеняюсь я тебя спутал с Pretor. Но скрипт правильный по твоим логам. Как я понимаю проблем больше нет?

PADONAK Какой вирус находил NOD? Очень похоже, что это был файловый вирус. Пока так Выполните скрипт begin ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(11); ExecuteRepair(16); RebootWindows(true); end.

Проверять антивирус на реальных вирусах очень опасно, поэтому создан спецальный тестовый файл EICAR который определяется как вирус но не является таковым Тестовый "вирус" EICAR был специально разработан для проверки работы антивирусных продуктов. Тестовый "вирус" НЕ ЯВЛЯЕТСЯ ВИРУСОМ, и не содержит кода, который может навредить вашему компьютеру. Внизу в таблице дан код тестового "вируса". Загрузить тестовый "вирус", так же можно с официального сайта EICAR. X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Чтобы получить тестовый "вирус" нужно сохранить вышеуказанный код в блокноте с расширением .txt или .com Для того чтобы проверить реакцию антивирусной системы на другие типы объектов, Вы можете модифицировать содержание "стандартного тестового вируса", добавив к нему один из префиксов.

giper86 Перезалил на фтп OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe был коцанный файл Если все-таки есть подозрения на зловредов давай еще выполним вот такой лог. Скачай RSIT ftp://ftp.burnet.ru/incoming/users/VR/RSIT.exe. Запусти, выбери проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Залей их на фтп. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

giper86 Принципе это нормально, аська, майл-агент или другие месенжеры есть? Можно уже удалять установленные программы Для деинсталяции ComboFix с компьютера необходимо выполнить: Нажать Пуск затем Выполни в окне набери команду Combofix /u (обязательно нужен пробел между х и /), нажми кнопку "ОК" Скачайте OTCleanIt ftp://ftp.burnet.ru/incoming/users/VR/OTCleanIt.exe, запустите, нажмите Clean up Перед удалением гмера в папке Windows найдите файл gmer_uninstall.cmd запустите его, после удалите gmer_uninstall.cmd и gmer.ini, теперь можно удалять папку с Гмером.

giper86 У тебе был сетевой червь kido из-за него и увеличивался трафик.

giper86 В логах все чисто. Проблеммы еще остались?

Извеняюсь это giper86

giper86 Скачай Malwarebytes' Anti-Malware ftp://ftp.burnet.ru/incoming/users/VR/mbam-setup.exe, установи, обнови базы, выбери "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажми "Remove Selected" (удалить выделенные). Откройте лог и скопируй в тетстовый файл сохрани его и залей на фтп. Проблеммы еще остались?