коммутатор

[Bicou]

Здравствуйте, столкнулась с этой же проблемой вчера. Удалось убрать банер и разблокировать интернет перестановкой времени назад, но вирус остался на месте, когда время вернула вернулся и вирус.
Кроме этого возникли сопутствующие проблемы: винда не перезагружается, после сохранения параметров все зависает, выключаю отключение и пропал ИЕ.

Лог здесь http://exfile.ru/71775

 

[sss]

А что это за лог? и что с ним делать?

---------- Добавлено в 13:19 ---------- Предыдущее сообщение было написано в 13:17 ----------

Bicou, что это за лог? и что с ним делать?

 

[Bicou]

kracopetka
Это прогой из первого сообщения этой темы получен, на сколько я поняла на его основе дается скрипт для лечения

 

[sss]

Bicou, понятно то, что ничего не понятно..... короче надо обращаться к специалистам..... чтобы все уничтожить!!!

 

[romul781]

Помогите, я тоже цыпанул заразу!! http://WebFile.ru/4164289

oljich, лечим пока утилитой гет2.зип http://pchelpforum.ru/f26/t17191/ затем
Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\siszyd32.exe');
 DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll');
 DeleteFile('C:\Windows\Tasks\Toolbar.job');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');     
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

---------- Добавлено в 16:01 ---------- Предыдущее сообщение было написано в 15:58 ----------

я уже чуть не плачу...... что мне делать!!!

kracopetka, вдумчиво читаем и выполняем
1. http://pchelpforum.ru/f26/t17191/
2. http://pchelpforum.ru/f26/t6442/ ждем ссылку на virusinfo_syscure.zip

---------- Добавлено в 16:24 ---------- Предыдущее сообщение было написано в 16:01 ----------

После сканирования. скрипт-3 http://webfile.ru/4164528

alexsav2010, Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\Drivers\rhwqnm.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\MxlW2k.SYS');
 DeleteFile('C:\WINDOWS\system32\Drivers\MxlW2k.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\aeaudio.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\MidiSyn.sys');
 DeleteFile('C:\Documents and Settings\Viktor\Start Menu\Programs\Startup\siszyd32.exe');
 DeleteFile('C:\WINDOWS\system32\DRWHOOK.DLL');
 DeleteFile('C:\WINDOWS\system32\Spider.cpl');
 DeleteService('MidiSyn');
 DeleteService('aeaudio');
 DeleteService('MxlW2k');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(6 );
 ExecuteRepair(8 );
 RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

---------- Добавлено в 16:25 ---------- Предыдущее сообщение было написано в 16:24 ----------

удалил бы и их - но не знаю откуда они берутся?!?!?! и как их удалить?!?!?!

Vopros, поиск помогает http://pchelpforum.ru/f26/t17191/
это нормально вирус присылать? еще раз такое утворите получите бан архив присылать нужно после сканирования авз, а не вирус!!!!!

 

[x-madax]

гдето подхватил. где незнаю. вылазиет окно красного цвета с активацией по смс. инет не работает. просит прислать смс на 1350
нод- не помог. он его удалил 0_оо
незнаю что делать(
подскажите

Подхватил то же самое. Где-не знаю. Насмерть блокируется запуск ЛЮБОЙ программы, в т.ч. regedit, total commander, avz, get.exe (обе версии) и проч. При запуске либо происходит сбой, либо меняется разрешение экрана с всплываением еще одного окна. При попытке запуска AVP выдает буквально следующее: "Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. За дополнительной информацией обратитесь к системному администратору или откройте "Просмотр событий""
Если кто разрулил проблему поделитесь секретом плз. Также нехило помогло бы если кто знает название запускного файла этой дряни и где его искать. Заранее благодарен.

 

[01pump]

x-madax,
Сначала это http://pchelpforum.ru/f26/t6442/#post69244
Потом это http://pchelpforum.ru/f26/t6442/

Вылечиться можно только через Live CD. В штатном режиме все антивири блокируются.

 

[romul781]

- как вылечить заразу?

d1ff, поиск по форуму не для Вас?
Вам сюда http://pchelpforum.ru/f26/t6442/ ждем ссылку на virusinfo_syscure.zip

 

[x-madax]

мде.. наверн проще систему грохнуть и переставить )о:

Вылечиться можно только через Live CD. В штатном режиме все антивири блокируются.

Это пойдет?
Windows XP Live-CD (infra-cd)

 

[Johnny Bird]

Vopros, поиск помогает http://pchelpforum.ru/f26/t17191/
это нормально вирус присылать? еще раз такое утворите получите бан архив присылать нужно после сканирования авз, а не вирус!!!!!

Просто большинство посетителей форума мало разбираются в компах (юзеры) и привыкли "нажал кнопку и всё почитилось". Тогда как по моему архиву можно заметить что не юзер, я сначала почистил всё вручную через несколько удобных утилит и как правило так вручную убираю все виры. Но в этот раз эти два:
'70.103.101.103\aekgoprn.dll';
'\??\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8 .sys';
что-то новое и как их найти не знаю, собственно ни одна из ручных утилит их удалить так же не может.

Поэтому в итоге прислал в архиве не то что было сначала на компе, тк в начале никаких логов AVZ и тп не делал, а уже результат после вычищения баннера и 4х файлов вирусов...

Хотелось бы чтобы вы, профи, написали как конкретно вручную можно найти и удалить эти два вируса...??? (Без файла Get2! Вручную!)

 

[01pump]

мде.. наверн проще систему грохнуть и переставить )о:

Это пойдет?
Windows XP Live-CD (infra-cd)

Должна пойти Пробуйте. Я если честно не помню на инфре "качество" загрузки с удаленным реестром
Там важно запускать правильно через удаленный реестр

 

[01pump]

Vopros, Не сможете руками найти и удалить.... потому что там руткит работает.

 

[Johnny Bird]

Да всё можно удалить только надо знать правильную последовательность удаления частей вируса... вот об этом я и прошу рассказать по-подробнее...
AVZ + меч - парочка способная униточтожить любой вирь, только надо знать где тело вируса самого...

 

[ИванКо]

Вот!!http://exfile.ru/71824

http://exfile.ru/71824

---------- Добавлено в 18:16 ---------- Предыдущее сообщение было написано в 18:13 ----------

Вот посмотри http://exfile.ru/71824

---------- Добавлено в 18:28 ---------- Предыдущее сообщение было написано в 18:16 ----------

Vopros, посмотри http://exfile.ru/71824

 

[Zloy08]

romul781

Так у меня самый последний лог чистый ?

 

[romul781]

ИванКо, сперва это http://pchelpforum.ru/f26/t17191/
баннер на месте

---------- Добавлено в 17:52 ---------- Предыдущее сообщение было написано в 17:47 ----------

Так у меня самый последний лог чистый ?

Zloy08, да есть еще одна пакость
давайте так:
1. отключите восстановление системы Пуск-Все программы-Стандартные-Служебные-Восстановление системы-Отключить-ок.
2. Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
обновите базы.
Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\PavSRK.sys');
 DeleteFile('C:\WINDOWS\system32\PavTPK.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\av5flt.sys');     
 DeleteService('PavSRK.sys');
 DeleteService('PavTPK.sys');
 DeleteService('AvFlt');     
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\PavTPK.sys');
 BC_DeleteFile('C:\WINDOWS\system32\PavSRK.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\av5flt.sys');     
BC_Activate;
RebootWindows(true);
end.

затем нажмите "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!! После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck

 

[ИванКо]

romul781,
Vopros, Ребята все чисто , от души душевно, долгих лет жизни !!!!! СПАСИБО!!!

---------- Добавлено в 19:45 ---------- Предыдущее сообщение было написано в 19:44 ----------

get2.exe запустил и стало чисто!!!

 

[Zloy08]

При завершении опять вылетела таблица access violation at adress 7C90В254 in module ntdll.dll/ write of adress 00000024, перезагрузка опять не произошла... (((((((((

---------- Добавлено в 19:53 ---------- Предыдущее сообщение было написано в 19:46 ----------

ЛОГ http://exfile.ru/71838

 

[alexsav2010]

лог скрипт № 2: http://webfile.ru/4166609

на компьютере исчез звук, после переустановки драйвера звук. карты, кодеков и медиа плеера ничего не изменилось. В "Звук и аудиоустройства", вкладке "Аудио" отображается только Модем № 4, Модем № 5. Как восстановить звук?

вчера еще пришлось переустановить Оперу, т.к. папка, в которую браузер был установлен оказалась пустой. Теперь Опера работает и интернет тоже

 

[zatani]

Та же проблема.
При выполнении get.exe комп перезагрузился, банер остался на месте.
Выполнили get2.exe При его выполнении появилась системная ошибка "Для учетной записи пользователя заданы ограничения на время подключения не позволяющие сейчас использовать ее для входа в систему", и комп перезагрузился. Банер пропал, но не на долго.
Еще раз отработали get2.exe. Все то же самое. Последний отчет avz скрипт 2 здесь: http://exfile.ru/71861