Не могу зайти на антивирусные сайты. А частности на касперского и www.drweb.com. Соответственно, не могу скачать CureIt. Поэтому проделала все пункты из"Кратких правил по запросу помощи в лечении", за исключением первого. Вот логи. Помогите пожалуйста.

helis_is, Привет. У вас кидо.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

[hr]

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\01.tmp','');
QuarantineFile('c:\docume~1\ac0d~1\locals~1\temp\esp631.tmp','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\agp440.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Msy63.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Msy63.sys');
DeleteFile('c:\windows\system32\01.tmp');
DeleteFile('c:\docume~1\ac0d~1\locals~1\temp\esp631.tmp');
DeleteService('axogdy');
DeleteService('jmeasvyga');
DeleteService('mneqv');
DeleteService('ovwylwwtd');
DeleteService('oxzdp');
DeleteService('phjcu');
DeleteService('quznk');
DeleteService('vegdrng');
DeleteService('zkcot');
DeleteService('znuziie');
DeleteService('Msy63');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

[hr]

Файл C:\WINDOWS\system32\Drivers\agp440.sys заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в консоли восстанов-ления (http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10)
- На приглашение введите строку:
expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys
Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите.
- Выйдите из консоли восстановления командой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли вос-становления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

[hr]

После чего выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.
Begin
RegSearch('HKLM', '', 'esp631');
SaveLog(GetAVZDirectory + 'avz00.log');
end.

[hr]
Также сделайте логи утилитой gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Добрый день.

Спасибо за быстрый ответ. Сделала всё включая В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Однако, отправить через форму пока не могу, т.к. ссылка на страницу сайта антивирусника, а проблема не устранена.

Следующий совет выполнить не могу:
Файл C:\WINDOWS\system32\Drivers\agp440.sys заражен, его нужно заменить на чистый из дистрибутива: - Загрузитесь в консоли восстанов-ления (http://support.microsoft.com/?scid=kb%3Bru%3B314058&x=11&y=10)

- На приглашение введите строку:

Код:...
Не грузится ссылка про консоль. Но дело не в этом. У меня большое подозрение, что строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку. Проверьте пожалуйста.

helis_is, Хорошо, оставим на потом. Делайте следующие рекомендации.

После чего выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.
Begin
RegSearch('HKLM', '', 'esp631');
SaveLog(GetAVZDirectory + 'avz00.log');
end.

[hr]
Также сделайте логи утилитой gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Добрый день.

Сделано. Кроме отсыла карантина на сайт Касперского и замены файла с помощью консоли восстановления. Вот логи.

Лог AVZ не тот. Поищите рядом с файлом avz.exe такой avz00.log если не найдёте, выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.
Begin
RegSearch('HKLM', '', 'esp631');
SaveLog(GetAVZDirectory + 'avz00.log');
end.



Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service bkmcsbn
gmer.exe -del service hevsyec
gmer.exe -del file "C:\WINDOWS\system32\radxce.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hevsyec"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bkmcsbn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hevsyec"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bkmcsbn"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Добрый вечер, Drongo.

Сделано.

Лог gmer чистый

Выполните скрипт в AVZ
begin
QuarantineFile('C:\DOCUME~1\AC0D~1\LOCALS~1\Temp\esp631.tmp','');
DeleteFile('C:\DOCUME~1\AC0D~1\LOCALS~1\Temp\esp631.tmp');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\CE2A381E');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\CE2A381E');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\CE2A381E');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Компьютер перезагрузится.


Проверьте доступ к сайтам.

строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку »Какая здесь ошибка?

Добрый день, thyrex.

Цитата helis_is:
строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку »

Какая здесь ошибка?
Точно не помню ответ системы, но про синтаксис указание было. И на мой неискушенный взгляд не дописано рассширение файла agp440.sy_.

Добрый день, Drongo.

Скрипт выполнила. Комп перезагрузился. Эффект не достигнут - по-прежнему сайты антивирусников недосягаемы. :(

И на мой неискушенный взгляд не дописано рассширение файла agp440.sy_ »Всё там правильно. Это формат упакованых файлов в дистрибутиве.

Скрипт выполнила. Комп перезагрузился. Эффект не достигнут - по-прежнему сайты антивирусников недосягаемы »Давайте повторные логи + лог RSIT

• Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Добрый вечер, Drongo

Цитата helis_is:
И на мой неискушенный взгляд не дописано рассширение файла agp440.sy_ »

Всё там правильно. Это формат упакованых файлов в дистрибутиве.

Тогда прошу извинить. В ответ на эту строку комп отвечал что-то типа: не найден файл, папка или ошибка синтаксиса.

Давайте повторные логи + лог RSIT
Вложила. Кроме лога RSIT, т.к. не грузятся не только Ваши ссылки на утилиту, но и погугленные. Хотя, поисковики, в основном, на те же страницы и ссылаются в конечном итоге.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service xapvtiy
gmer.exe -del file "C:\WINDOWS\system32\radxce.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xapvtiy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xapvtiy"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Выполнять скрипт можно ещё так. Запустите гмер - После экспресс-проверки щёлкните по вкладки >>> - перейдите на вкладку CMD - вставьте текст находящийся в теге код - нажмите кнопку Run
gmer.exe -del service xapvtiy
gmer.exe -del file "C:\WINDOWS\system32\radxce.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xapvtiy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xapvtiy"
gmer.exe -reboot

http://i064.radikal.ru/1003/f0/0e9ebcfdd20b.png

Добрый вечер, Drongo

Новый лог

helis_is, лог чистый, что с доступом к сайтам?

helis_is, проверьте, какой из файлов присутствует на диске с дистрибутивом в папке I386: agp440.sy_ или agp440.sys

Добрый вечер, Drongo

Эффект тот же. Вернее, без эффекта :(

Добрый вечер, thyrex

Действительно не могу найти этот файл. Есть только agp.in_.

helis_is, Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского (http://forum.oszone.net/thread-164133.html). Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

А также

Посмотрите, на компьюnере в папке system32\dllcache есть файл agp440.sys?

Добрый день, Drongo

Теперь и на этот форум зайти не могу :) Пишу с чужого компа. Соответственно, утилиты тоже сейчас выкачаю здесь, потом дома буду упражняться.

Большая просьба, дублируйте мне сообщение на емейл. И очень хорошо, если бы у меня была возможность отвечать каким-нибудь альтернативным способом, а не только через форум.

Заранее спасибо.