Не закрывая браузеры, сделайте такой лог http://virusinfo.info/showthread.php?t=78057
Не закрывая браузеры, сделайте такой лог http://virusinfo.info/showthread.php?t=78057
Aleksandra, не получается запустить vba32. синий экран, вызванный lt3q1eju.sys при включенных экранах и фв авиры и pgkj0wy3.sys при отключенных (если правильно понял - эти файлы от VBA32)
Лог делали в режиме ordinary? Антивирус отключали?
до режима и до лога я не дошел. после вопроса Would you like to run Vba32 Antirootkit on dedicated desktop with advanced security features on (recommended option)? отвечая и Нет и Да, комп умирает...
стал наблюдать за фв авиры...
в момент появления банера последняя проверенная ссылка была:
http://qocgle.com/loPtfdn3dSasoicn/js.php?t=r&tt=brw
когда нажал на "обновление" было вот что:
http://213.133.103.217/bt_pdfn3skxle...2Fupdate%2Ejpg
Добавлено через 8 минут
Aleksandra, аналогично - синий экран в то же время...
не может это быть из-за авиры, хоть и с отключенными экранами и фв? может быть ее совсем удалить?
Последний раз редактировалось buh04; 19.06.2011 в 23:16. Причина: Добавлено
нет, не дружит со мной эта vba32... снес авиру, перегрузил - синий экран на том же месте... пробовал даже safe mode - то же самое...
почитал соседние ветки - у всех вирусы как вирусы - лечатся легким движением... а тут... как-то обидно даже...
Сделайте лог RSIT.
сделал
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\Mozilla Firefox\update.exe',''); QuarantineFile('C:\Users\OLGAN~1\AppData\Local\Temp\0.9868431169816121.exe',''); DeleteFile('C:\Users\OLGAN~1\AppData\Local\Temp\0.9868431169816121.exe'); DeleteFile('C:\Program Files\Mozilla Firefox\update.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
3. Выполните скрипт в AVZ:
Загрузите файл quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=103946Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
сейчас сделаю, но эти атавизмы (остались разрешения для файрволла) от прошлых инфекций - я вручную убрал эти ключи из реестра, а файлов таких уже нет.
Скорее всего так и есть, но кто знает...
да, в карантине пусто, по ссылке выдается Ошибка загрузки. Данный файл уже был загружен
Добавлено через 6 часов 0 минут
установил в файрволле авиры блокировку всех исходящих и входящих пакетов с двух ip - 213.133.103.217 и 213.133.103.221. банер пока не появляется...
авира сообщает о блокировке пакетов... но это наверно не совсем то решение...
Последний раз редактировалось buh04; 20.06.2011 в 07:39. Причина: Добавлено
так и не нашел нормальное решение проблемы...
банер не выскакивает, но инет тормозит... наверно от того, что браузеры постоянно пытаются залезть на qocgle.com...
пробовал запускать другие "лечебные" проги, рекомендуемые в соседних ветках.
Combofix вызывает синий экран BAD_POOL_HEADER
Gmer запустился... посмотрите, кто разбирается, пожалуйста лог, может всплывет что...
c:\windows\system32\WS2_32.dll запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Решил проблему благодаря совету gjf в соседней ветке путем восстановления загрузочного сектора. Хотя насколько я понял, утилита от Касперского теперь тоже лечит эту заразу.
Спасибо всем за участие в решении проблемы!
Уважаемый(ая) buh04, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.