Система заблокирована. Отправьте SMS сообщение...

[N.Joy]

Cameroon, никак не выполняется скрипт. та же ошибка.

извини, уже 10.15 (ошибка)

[Cameroon]

Сделайте повторные логи по правилам.

[N.Joy]

есть)

virusinfo_syscure.zipvirusinfo_syscheck.ziplog.txtinfo.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[Cameroon]

АВЗ, очевидно, рапортовал об ошибке потому, что не мог найти активный процесс c:\windows\system32\pnkbstra.exe, хотя в предыдущих логах он был.

PnkBstrB по прежнему нет ни в логах АВЗ, ни в логах HJT.

PavSRK.sys, PavTPK.sys - интересное зазвание служб... обычно в описаниях служб не ставятся расширения...

Если Вы уверены в том, что файл c:\windows\system32\pnkbstrb.exe действительно существует на Вашем компьютере, то выполните скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);StopService('PavSRK.sys');StopService('PavTPK.sys');StopService('PnkBstrA');StopService('PnkBstrB');QuarantineFile('C:\WINDOWS\system32\PavTPK.sys');QuarantineFile('C:\WINDOWS\system32\PavSRK.sys');QuarantineFile('c:\windows\system32\pnkbstra.exe');QuarantineFile('c:\windows\system32\pnkbstrb.exe');DeleteFile('C:\WINDOWS\system32\PavTPK.sys');DeleteFile('C:\WINDOWS\system32\PavSRK.sys');DeleteFile('c:\windows\system32\pnkbstra.exe');DeleteFile('c:\windows\system32\pnkbstrb.exe');DeleteService('PavSRK.sys');DeleteService('PavTPK.sys');DeleteService('PnkBstrA');DeleteService('PnkBstrB');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

[N.Joy]

да, pnkbstrb.exe был, но я его удалила еще до последних логов.... :)

что еще делать?

[Cameroon]

Тогда пробуйте такой скрипт:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);StopService('PavSRK.sys');StopService('PavTPK.sys');StopService('PnkBstrA');QuarantineFile('C:\WINDOWS\system32\PavTPK.sys');QuarantineFile('C:\WINDOWS\system32\PavSRK.sys');QuarantineFile('c:\windows\system32\pnkbstra.exe');DeleteFile('C:\WINDOWS\system32\PavTPK.sys');DeleteFile('C:\WINDOWS\system32\PavSRK.sys');DeleteFile('c:\windows\system32\pnkbstra.exe');DeleteService('PavSRK.sys');DeleteService('PavTPK.sys');DeleteService('PnkBstrA');BC_ImportALL;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

[N.Joy]

:) not enough actual parameters в позиции 7.15

... я фиксила PnkBstrA в HJT.. но он же все равно есть на компьютере...

:)

[Cameroon]

Уж не знаю, что АВЗ не нравится на стадии копирования в карантин: QuarantineFile('C:\WINDOWS\system32\PavTPK.sys');

Пойдем другим путем: скачайте программу IceSword.

Откройте, выберите вкладку File (внизу слева), затем найдите файл pnkbstra.exe, который находится в папке c:\windows\system32\, нажмите на нем правой кнопкой Force Delete.

Затем найдите файлы PavTPK.sys и PavSRK.sys в папке C:\WINDOWS\system32\, нажмите на них правой кнопкой Copy to... , укажите какую-нибудь папку на диске и введите названия для обоих файлов 1.txt и 2.txt. Это делается для того, чтобы у Вас остались копии удаляемых файлов. Затем удалите PavTPK.sys и PavSRK.sys той же командой Force Delete.

[N.Joy]

pnkbstra.exe удалила, а вот PavTPK.sys и PavSRK.sys опять же найти не могу в этой папке..

логи заново сделать?

[Cameroon]

особой надобности нет. они все равно ничего принципиально нового не покажут.

На этом компьютере был когда-нибудь установлен антивирус Panda?

[N.Joy]

нет не был.

[Cameroon]

По большому счету, эти файлы не представляют принципиальной опасности.

При всем при том, что в логах они отображаются, а физически их нет... :)

Ничего особо опасного в логах не вижу.

Хотя рекомендации по поводу чистящих утилит, которыя я давал выше не лишним было бы выполнить. Особенно это касается последней программы:

- следите за автозагрузкой на Вашем компьютере. Отсеивайте нежелательные элементы сразу же.

WinPatrol сразу бы предупредил Вас о том, что в host кто-то пытается прописать изменения, и спросил бы у Вас, разрешаете ли вы эти изменения туда внести. Если бы вы ответили нет, сайты бы не заблокировались. Более того, WinPatrol бы Вас в случае чего предупредил, что в автозагрузку ломится троян, и вы бы сразу ему сказали: "Нетушки, друг, гуляй-ка ты куда подальше!" :)

Изменено 7 мая, 2009 пользователем Cameroon

[N.Joy]

Спасибо большое, постараюсь разобраться :)

только как они с касперским будут работать, дружно или не очень? :)

особенно WinPatrol и авира... думаю начать с них)

[Cameroon]

WinPatrol ни с чем драться не будет, но каждый раз, когда кто-то будет добавлять себя в автозагрузку, он у Вас переспросит, разрешаете ли Вы это сделать. Поэтому внимательно читайте, по какоиу пути находится приложение добавляемое в автозагрузку: услышите "гав" и появится окошко с кнопками yes и no - вот на нем и читайте. Большинство вирусов селятся в папках system32 или windows. Помимо этого, он может выводить список активных процессов (с возможностью их убить), список служб, библиотек, отложенных записей и многое другое...

Авира - это полноценный антивирус. Ставить в одну систему 2 антивируса - крайне нежелательно! Выберите какой-нибудь один. (Авира бесплатная - это плюс, но Каспер - признанный лидер).

[Cameroon]

Пишу из этого же самого офиса.

Позвонили, сказали, что интернет отключается.

Вот логи главного компа, раздающего интернет (я в логах ничего подозрительного не вижу...)

hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip

Сказали, что как-то раз панель управления помменяла цвет на ярко-бежевый , потом сама вернулась на место, и потом начал отключаться интернет минут через 10 работы.

Возможно, проблемы во втором компе, у которого проблемы с железом. Кроме того, на нем я нашел следы csrcs в реестре, но самого файла не было... :D

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 14 мая, 2009 пользователем Cameroon

[Cameroon]

опять та же песня.

вот логи.

virusinfo_syscheck.zip

virusinfo_syscheck.zip

[silverworld]

Прошу прощения.

Теперь у меня новая проблема.

Не пускает вообще.

Пишет PROVOD.DB испорчен.

Не могу даже проверить базу.

И главное - не пойму почему так произошло.

Работала как обычно и вдруг - раз и всё.

Что делать?