В компьютере вирусы win32/kruptik

[Umi]

Здравствуйте!

Обращаюсь к вам уже не в первый раз!

Однажды вы мне на этом форуме уже здорово помогли. :)

Был какой-то жуткий вирус, который трепал нервы.

Обратилась сбда, все наладилось.

И вот опять.

Какое-то время НОД 32 мой не хотел обновляться, говорил, сбой. Ну я не обращала внимание.

Сегодня обновился, и сразу же выдал, что в системе какие-то вредоносные файлы.

Иногда выдает предупреждение. Утром выдал, что найдет какой-то win32/kruptik.

Это мне очень не нравится. Сама справиться с этим всем не могу.

Прошу помощи!

Вроде, сделала сегодня всё, как требуется. Приклерпляю информацию, посмотрите, пожалуйста, что там. :)

Надеюсь на помощь!

Спасибо!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[ser208]

AVZ неплохо поработал.

В HijackThis поставьте галочку перед значением и нажмите Fix checked

O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe

В AVZ меню Файл -- Выполнить скрипт. Скопируйте код и нажмите "Запустить".

beginSetAVZGuardStatus(True);SearchRootkit(true, true);QuarantineFile('c:\windows\services.exe','');TerminateProcessByName('c:\windows\services.exe');DeleteFile('c:\windows\services.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится.

После перезагрузки выполнить еще один скрипт и получившийся карантин выслать в PM.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Обязательно отключить восстановление системы, как написано в правилах. После лечения можно будет включить обратно.

Логи нужно повторить.

Изменено 1 октября, 2008 пользователем ser208

[Umi]

После перезагрузки выполнить еще один скрипт и получившийся карантин выслать в PM.

Спасибо большое!

Пойду делать!

А какой еще раз скрипт выполнить после перезагрузки?

Этот же?

[ser208]

Сейчас посмотрел Ваш прошлый запрос о помощи -- там уже был этот вирус. Либо Вы не отключали Восстановление системы в прошлый раз и воспользовались им, либо у Вас этот вирус на флешке или где-то на HDD. Когда делаете логи, вставьте флешку.

Вы CureIt сканировали? Сделайте полное сканирование всего жесткого диска с вставленной флешкой.

З.Ы. Все ж правила не для красного словца пишутся. Строгое им следование позволяет с большей точностью определить зловреда, а также уберечься от повторного заражения.

Изменено 1 октября, 2008 пользователем ser208

[Umi]

ser208, даже не знаю, вроде всё, как указано, делала, ставила галочку на отключении восстановления системы. Это я точно помню. :)

Своей флешки у меня нет. Проверить нечего.

Сейчас просканирую avz.

И просканирую, все, что можно.

Самой о ужасно не приятно с вирусами.

Тем более, один компьютер несколько лет из-за них мы потеряли. Так что, теперь я вирусов ужасно боюсь. И при всякой опасности начинаю бить тревогу.

Я постараюсь сделать всё возможное, чтобы предоставить полную информацию, для обеспечения лучшей помощи!

Пойду ещё раз прочитаю все рукаводства, но я им стараюсь следовать, и вроде в прошлый раз следовала. Надеюсь, ничего не пропустила.

Спасибо большое! :)

[akoK]

Umi: :blush2: тот карантин, что вы мне отправили чист :g:

[Umi]

akoK, то есть, я что-то не правильно сделала? :) :)

Я вроде бы, пыталась четко следовать написанному. Выполнила один скрипт, потом второй. И потом отправила папку по почте.

А сейчас, кстати, происходит что-то странное. Иногда, когда пишу сообщения, в поле сообщения появляются много невнятных строк типа "еуауеа..." и так много раз. Хотя, я этого не писала. :) Это можно считать отоголоском вируса или сам вирус какой-то даёт о себе знать? :)

Сделала проверку еще раз.

Сегодня.

Вывешиваю. Надеюсь, делали всё верно.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Umi: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ВСЕ-Akvis-обнов[1].18.05.07.reg.bat - это Вам знакомо?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\System Volume Information\_restore{DAA7982F-6740-4AB1-916A-A9A1DD279FEF}\RP0\A0002418.sys');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Очистите временный файлы....

Какие проблемы еще наблюдаются?

Оффтоп

Давненько не заходил......даже соскучился :bye1:

[Umi]

Umi: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ВСЕ-Akvis-обнов[1].18.05.07.reg.bat - это Вам знакомо?

Да. :) Это "штучка" для нужного фотошопного фильтра. :)

Она у меня давно. Вроде, ничего вредного принести не может.

Скрипт выполню. Он аквису не повредит? :)

Вроде, пока видимых проблем не наблюдалось.

А что сделать с карантином, который я прислала, и что-то не получилось?

[ser208]

Скрипт выполню. Он аквису не повредит? :)

Ни коим образом.

Изменено 4 октября, 2008 пользователем ser208

[akoK]

А что сделать с карантином, который я прислала, и что-то не получилось?

Я получил, :) но ничего стоящего внимания туда не захотело копироваться. :)

Изменено 4 октября, 2008 пользователем akoK

[Форматцевт]

Umi: проверь установочные CD - кажется проблема в них, но я не спец по AVP.... сорри.

[akoK]

Indomito: я больше на флешки грешу.

[ser208]

Indomito: я больше на флешки грешу.

Своей флешки у меня нет. Проверить нечего.

Мне думается что-то скачанное на HDD.

[Umi]

akoK, спасибо! Пойду применять скрипт.

Indomito, а что именно такое "установочные СД"? :)

akoK, ser208, кстати говоря, вспомнила - с рабочей флешки (но давно) я переносила на комп "рабочую" информацию. Разные папки, которые использую для работы, если доделываю что-то дома. Они и сейчас у меня на компе. Это как-то могло повлиять? :) Может, их можно как-то отдельно проверить, конкретно эти папки?