[Drongo]

helis_is, Привет. У вас кидо.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

---

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\01.tmp','');
 QuarantineFile('c:\docume~1\ac0d~1\locals~1\temp\esp631.tmp','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\agp440.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Msy63.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Msy63.sys');
 DeleteFile('c:\windows\system32\01.tmp');
 DeleteFile('c:\docume~1\ac0d~1\locals~1\temp\esp631.tmp');
 DeleteService('axogdy');
 DeleteService('jmeasvyga');
 DeleteService('mneqv');
 DeleteService('ovwylwwtd');
 DeleteService('oxzdp');
 DeleteService('phjcu');
 DeleteService('quznk');
 DeleteService('vegdrng');
 DeleteService('zkcot');
 DeleteService('znuziie');
 DeleteService('Msy63');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

---

Файл C:\WINDOWS\system32\Drivers\agp440.sys заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в консоли восстанов-ления
- На приглашение введите строку:

Код:

expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите.
- Выйдите из консоли восстановления командой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли вос-становления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

---

После чего выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.

Код:

Begin
 RegSearch('HKLM', '', 'esp631');
 SaveLog(GetAVZDirectory + 'avz00.log');
end.

---

Также сделайте логи утилитой gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[helis_is]

Добрый день.

Спасибо за быстрый ответ. Сделала всё включая

Цитата:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Однако, отправить через форму пока не могу, т.к. ссылка на страницу сайта антивирусника, а проблема не устранена.

Следующий совет выполнить не могу:

Цитата:

Файл C:\WINDOWS\system32\Drivers\agp440.sys заражен, его нужно заменить на чистый из дистрибутива: - Загрузитесь в консоли восстанов-ления (http://support.microsoft.com/?scid=k...4058&x=11&y=10) - На приглашение введите строку: Код:...

Не грузится ссылка про консоль. Но дело не в этом. У меня большое подозрение, что строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку. Проверьте пожалуйста.

[Drongo]

helis_is, Хорошо, оставим на потом. Делайте следующие рекомендации.

После чего выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.

Код:

Begin
 RegSearch('HKLM', '', 'esp631');
 SaveLog(GetAVZDirectory + 'avz00.log');
end.

---

Также сделайте логи утилитой gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[helis_is]

Добрый день.

Сделано. Кроме отсыла карантина на сайт Касперского и замены файла с помощью консоли восстановления. Вот логи.

[Drongo]

Лог AVZ не тот. Поищите рядом с файлом avz.exe такой avz00.log если не найдёте, выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.

Код:

Begin
 RegSearch('HKLM', '', 'esp631');
 SaveLog(GetAVZDirectory + 'avz00.log');
end.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service bkmcsbn
gmer.exe -del service hevsyec
gmer.exe -del file "C:\WINDOWS\system32\radxce.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hevsyec"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bkmcsbn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hevsyec"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bkmcsbn"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

[helis_is]

Добрый вечер, Drongo.

Сделано.

[Drongo]

Лог gmer чистый

Выполните скрипт в AVZ

Код:

begin
 QuarantineFile('C:\DOCUME~1\AC0D~1\LOCALS~1\Temp\esp631.tmp','');
 DeleteFile('C:\DOCUME~1\AC0D~1\LOCALS~1\Temp\esp631.tmp');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\CE2A381E');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\CE2A381E');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\CE2A381E');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.


Проверьте доступ к сайтам.

[thyrex]

Цитата helis_is:

строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку »

Какая здесь ошибка?

[helis_is]

Добрый день, thyrex.

Цитата:

Цитата helis_is: строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку » Какая здесь ошибка?

Точно не помню ответ системы, но про синтаксис указание было. И на мой неискушенный взгляд не дописано рассширение файла agp440.sy_.

Добрый день, Drongo.

Скрипт выполнила. Комп перезагрузился. Эффект не достигнут - по-прежнему сайты антивирусников недосягаемы.