[Drongo]

igoryanich, Здравствуйте

Цитата igoryanich:

Так а дальше то что? »

Ждите в порядке общей очереди. Перед выполнением логов, нужно выгрузить\закрыть все приложения, оставил только Internet Explorer и отключиться от Сети. Чего вы не сделали, в результате получился "километровый" лог. Уточняю один момент, на систему ставились какие-то патчи украшающие внешний вид системы, и изменяющие системные файлы? Беру в карантин, потом проверите их

Код:

c:\windows\explorer.exe
c:\windows\system32\ctfmon.exe

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('GMSIPCI', 4);
 SetServiceStart('wscsvc', 4);
 StopService('GMSIPCI');
 StopService('wscsvc');
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 QuarantineFile('spmk.sys','');
 QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
 DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
 DeleteFile('E:\INSTALL\GMSIPCI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('GMSIPCI');
 BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните ещё один скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта в папке AVZ будет создан файл - quarantine.zip. Отправьте его на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Не игнорируйте рекомендации!
1. В Internet Explorer 7, отключите ActiveX и настройте безопасность. Рекомендуется использовать Firefox с плагином NoScript
2. Устанавливайте все последние обновления с http://windowsupdate.microsoft.com/
3. Рекомендую проверять систему регулярно, утилитой CureIT
4. Регулярно обновляйте базы для вашего антивируса.
5. Не работайте с правами Администратора на компьютере.

После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer.

[igoryanich]

1."Беру в карантин, потом проверите их (c:\windows\explorer.exe
;c:\windows\system32\ctfmon.exe" непонял эту фразу.Чем их проверить.У меня бывает очень часто (при открытии папок и не только) выскакивает какая-то системная ошибка и там постоянно фигурирует эта explorer.exe.
. И ещё с иконками постоянная проблемма ставлю нравившуюся мне иконку например на GIF а она не только на GIF появляется но ещё и на 3GP и на MOV и ещё кое на каких, и что самое странное потом всё это проходит, и через время опять клинит.
2.По поводу логов и закрытия всех программ я понял.Ещё один момент:надо обязательно включать Internet Explorer или можно и Firefox? И выключать надо только инет или и локальную сеть тоже.
3.Вот этот самый длинный код я так понял его тоже надо в AVZ выполнить.Так ведь?
4.Второй скрипт выполнить там же? В AVZ?
5.В результате какого скрипта будет создан файл quarantine.zip. Первого или второго?
6.Вы пишите чтоб я в Internet Explorer 7 отключил ActiveX и т.д. Но я никогда ею не пользовался у меня Firefox? "использовать Firefox с плагином NoScript" после того как я этот плагин установлю там надо где-нибудь,что-нибудь в настройках менять.И ещё это плагин надо включить на время деланья логов или вообще?
7. Утилиту CureIt использую регулярно не по одному разу в день бывает.
8.У меня NOD32 базы обновляются примерно раз в сутки.
9.Я вот что не понимаю почему нельзя на правах администратора как это-то может влиять.


В самом низу вы пишите "После всех процедур, повторите логи AVZ и HiJackThis, но во время создания логов, настоятельно рекомендую, отлючиться от Интернета, и закрыть все программы, оставив только Internet Explorer". Я не очень понял зачем второй раз логи делать.

[Drongo]

Цитата igoryanich:

Ещё один момент:надо обязательно включать Internet Explorer »

Цитата из правил третий пункт.

Цитата:

Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

Цитата igoryanich:

Вот этот самый длинный код я так понял его тоже надо в AVZ выполнить.Так ведь? »

Вы правильно поняли. Запускаете AVZ - выбираете меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Цитата igoryanich:

И выключать надо только инет или и локальную сеть тоже. »

И инернет и локальную сеть тоже.

Цитата igoryanich:

В результате какого скрипта будет создан файл quarantine.zip. Первого или второго? »

В результате второго скрипта.

Цитата igoryanich:

Но я никогда ею не пользовался у меня Firefox? »

Пользуйтесь FireFox'ом. Это общая рекомендация.

Цитата igoryanich:

И ещё это плагин надо включить на время деланья логов или вообще? »

Нет, этот плагин как совет вообще.

Цитата igoryanich:

Я не очень понял зачем второй раз логи делать. »

Для того чтобы убедиться, что вирусов больше нет.

Как чувствует себя компьютер после выполнения скрита? Проблемы какие-то наблюдаются?

[igoryanich]

Я забыл Enternet Explorer включить.Ничего если я ещё раз первый скрипт выполню.Или не в коем случае?
После первого выполнения из папки с AVZ нужно появившиеся папки в сторону откинуть или нет?
И ещё. После установки NoScript чо-то нифига не скачивается. Где можно по настройкам инфо. почитать, а то на офиц. всё по английски и через переводчик мало что понятно.Или если есть время напишите где там что выставить в настройках надо.И вообще для чего она нужна,что она делает?

[Drongo]

Цитата igoryanich:

Ничего если я ещё раз первый скрипт выполню »

Если вы уже выполнили этот скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('GMSIPCI', 4);
 SetServiceStart('wscsvc', 4);
 StopService('GMSIPCI');
 StopService('wscsvc');
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 QuarantineFile('spmk.sys','');
 QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
 DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
 DeleteFile('E:\INSTALL\GMSIPCI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('GMSIPCI');
 BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.

То второй раз его выполнять не нужно.

Цитата igoryanich:

После первого выполнения из папки с AVZ нужно появившиеся папки в сторону откинуть или нет? »

Ничего никуда не нужно откидывать.

Карантин quarantine.zip отсылали?

Сделайте повторные логи, проделав инструкции со 2-го пункта.

[igoryanich]

Карантин ещё не отсылал, потому что думал что сначала надо сделать первый скрипт, потом появившиеся папки откинуть и сделать второй скрипт и появившиеся папки (только от второго без первого) уже отправлять. Но я ошибся.
Щас сделаю второй,затем отправлю и отпишу. А что по-поводу noscript? Нету никакой ссылочки?


Отправил.А долго ли ответ примерно ждать. И папки после первого скрипта оставить или они больше не понадобяться?


Скрипт нужно выполнить я так понимаю стандартный 2 и 3.Или вот этот последний:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('GMSIPCI', 4);
SetServiceStart('wscsvc', 4);
StopService('GMSIPCI');
StopService('wscsvc');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
QuarantineFile('spmk.sys','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe','');
DeleteFile('C:\WINDOWS\C:\WINDOWS\System32\svchost.exe');
DeleteFile('E:\INSTALL\GMSIPCI.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('GMSIPCI');
BC_DeleteSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.

и затем этот текстовый файл который после запуска HiJackThis остаётся.Вот эти два.Да?
Ещё пару вопросов:как мне отключить востановление системы. И если я на NOD выключу файервол то в панели управления брандмауэр уже выключать не надо.Правильно?
Вы не удивляйтесь что так много вопросов,я впервые и просто боюсь что-нибудь не так сделать.

[Drongo]

Цитата igoryanich:

А что по-поводу noscript? Нету никакой ссылочки? »

Поскольку я не использую FireFox, то сказать ничего не могу, можете задать ваш вопрос в этой теме - Mozilla FireFox

Цитата igoryanich:

И папки после первого скрипта оставить или они больше не понадобяться? »

Пока ничего не удаляйте.

Цитата igoryanich:

Скрипт нужно выполнить я так понимаю стандартный 2 и 3 »

Второй и третий.

Цитата igoryanich:

и затем этот текстовый файл который после запуска HiJackThis остаётся.Вот эти два.Да? »

Нет, только второй. Тоесть, сделанный последним.

Цитата igoryanich:

как мне отключить востановление системы »

Правой кнопкой мыши по Мой компьютер - Свойства - вкладка Восстановление системы - поставьте галочку "Отключить восстановление системы на всех дисках" - ОК.

Цитата igoryanich:

И если я на NOD выключу файервол то в панели управления брандмауэр уже выключать не надо.Правильно? »

Просто отключитесь от интернета и локальной сети и закройте NOD.

[igoryanich]

скрипт №2 http://exfile.ru/46021
скрипт №3 http://exfile.ru/46022
HiJackThis http://exfile.ru/46023

[Drongo]

igoryanich, Проверил, логи чистые.

Проверьте ещё вашу систему Kaspersky Online Scanner'ом. Если у вас установлен Java, то нажмите кнопку Kaspersky Online Scanner. Выберите нужные диски и запустите сканирование. Если Java у вас не установлен, скачайте её с Java Runtime Environment. Установите и выполните проверку. После окончания проверки сохраните, заархивируйте лог файл и прикрепите к сообщению.

У вас установлена программа Cheetah DVD Burner? Файл videocore.dll может быть от неё.

[igoryanich]

Cheetah DVD Burner нету.
Но Malwarebytes' Anti-Malware всё ещё находит videocore.dll (nod почему-то не находит и CureIt тоже).
Антивирус надо выкл. перед тем как on-line проверять или ещё какие нибудь требования.
И ещё как узнать стоит ли у меня java? В поиске что то выдаёт но там почти все папки пустые и не одного весомого файла нет.
А что будет если этот trojan vundo videocore.dll удалить анти малвэйром?