Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.

Модерирует : KLASS, IFkO

KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

   

HDD



Platinum Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Вирусы в Windows XP, Vista, 7, 8, 8.1, 10. Проблемы. Решения.


Стандартные действия
Вариант №1
1. Скачиваем Dr.Web LiveDisk - Ссылка ведёт на страницу загрузки, записываем диск, загружаемся и проверяем системы на вирусы.  
И\или
Скачиваем Kaspersky Rescue Disk - Ссылка ведёт на страницу загрузки: на ядре Linux (вирусы под win не пройдут, а под *nix их нету по крайней мере живых), ядро от десятой версии и изменена "никсовая" оболочка. Обновление происходит раз в неделю. Записываем диск, загружаемся и проверяем системы на вирусы.
Вариант №2
1. Скачиваем загрузочный диск на базе LiveCD (Ссылки в Варезнике LiveCD/BootCD (DVD/USB) на базе OPK WinPE)
2. Скачиваем антивирусы работающие без инсталляции.
2.1 Dr.Web CureIT! - Ссылка ведёт на страницу загрузки  
2.2 Kaspersky Virus Removal Tool (AVPTool) - Ссылка ведёт на страницу загрузки  
3. Прожигаем скачанный LiveCD на болванку, перезагружаемся, выставляем в биосе загрузку с CD\DVD(Что бы зайти в биос, нужно нажимать после включения компьютера кнопки Del или F2, зависит от производителя материнской платы.) На некоторых материнских платах, возможно вызвать Boot Menu нажав F8 при загрузке и выбрать загрузку с CD\DVD не заходя в биос.  
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
Желательно отключить систему восстановления. Свойства системы-система восстановления.
Разница между вариантом №1 и вариантом №2 заключается в следующем:
Если нет возможности скачать LiveCD, то проверяйте компьютер в безопасном режиме. При загрузке нажимать F8, выбрать верхний пункт(Safe Mode или безопасный режим). В этом случае при сохранение CureIt и AVPTool к себе на компьютер переименовывайте файлы. Ряд вирус блокирует запуск при стандартном имени файла.
Это стандартные действия, которые не гарантируют восстановление работоспособности ОС, НО! 90% проблем решается таким способом.
Если не помогает, то скачиваем AVZ, сканируем и выкладываем лог. Обязательно указываем какая версия Windows.
Полезные инструменты(утилиты)
Sysinternals (Microsoft) Process Explorer - Выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.
Sysinternals (Microsoft) Autoruns - Позволяет контролировать автозагрузку запускающихся при старте операционной системы сервисов, приложений и других компонентов.
Sysinternals (Microsoft) Process Monitor - программа для мониторинга файловой системы, реестра и процессов в оперативной памяти. Filemon+Regmon
HijackThis - программа для удаления невидимых spyware
AutoLogger - автоматический сборщик логов, более подробное описание утилиты смотрите на странице скачивания.
AdwCleaner - программа для удаления тулбаров, adware и другого рекламного мусора.
MBRCheck - утилита для проверки MBR на предмет заражения современными "руткитами"
RegASSASSIN - Программа для удаления "заблокированных" веток и ключей в реестре из-за mailware
SmartFix - Эффективная программа для быстрого автоматического исправления неполадок.
Когда нужны? Когда есть работающая система, но есть подозрения, что дело "нечисто".  
Темы на форуме

Помощь при лечении компьютера от вирусов - помощь от "хелперов" с "VirusInfo". В топике строгие правила. Внимательно читаем шапку.
Антивирусы (Antivirus'ы) не требующие инсталяции - кому не хватает CureIT и AVPTool
AVZ - Anti-SpyWare, Anti-AdWare
Восстановление Windows - Как вернуть Windows к жизни без переустановки
Windows заблокирован! - отдельный топик по решению проблем с вирусом блокирующим запуск ОС и требующем выслать денег по СМС.
Обзор антивирусов(и др. средств безопасности на их основе) под Windоws 98/XP/Vista/7/8/8.1/10  
Тема посвящённая Kido, Conficker, Downadup
Полезные ссылки в интернете

Чистые системные файлы Windows, которые заражают блокеры - ссылка ведёт на страницу закачки
Поиск описания  вирусов по названию
Советы по лечению ПК от Олега Зайцева, автора Avz
Ручное лечение компьютера от вирусов - Спец.форум по проблемам с вирусамих.
Очистка Windows от вирусов - Статья от FuzzyL
Список "левых" служб, ссылающихся на svchost.exe, для WindowsXP
Страница VirusHunter`a - "Диспетчер задач\реестр\настройки рабочего стола  заблокирован(ы) .." Подборка полезных "точечных"  утилит.  
Безопасный Интернет. Универсальная защита для Windows ME - Vista - автор-составитель антивирусный эксперт, золотой бета-тестер Лаборатории Касперского Николай Головко
 
Шапка ©HDD
Вопросы по шапке здесь
Всего записей: 14819 | Зарегистр. 15-03-2003 | Отправлено: 23:20 18-09-2009 | Исправлено: KLASS, 18:48 16-02-2017
nesnakomez

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребята всем привет. в шапке написано

Цитата:
4. Проверяем одной утилитой, перезагружаемся, проверяем второй утилитой, пытаемся загрузить систему.  
 Желательно отключить систему восстановления. Свойства системы-система восстановления.

но доктором я ещё смогу проверить а вот касперский? я поставил на скачивание  
Kaspersky Virus Removal Tool 2010 но на форуме написано что этот антивирус требует установки. вопрос мне нужно его установить на заражоный компьютер? как если он не запускается? да и вообще..
приходит только одно обяснение что я поставил качать не ту программу..?
 
 
Добавлено:
Теперь к проблем..ребята помогите решить.
Скачал антивирус от доктор веб и прямо из под виндовс проверил на наличее вредного софта..я был шакирован вот что он нашол..
 
даю ссылку что бы не постить здесь..документ лежит у меня на сайте.
Dr.web Log
Проблема возникла сразу после удаления..я не мог выйти в интернет..но интернет присудствовал так как обнавление и другое всё работало, только браузер не отображал стр. не ИЕ НЕ Мозила.
Но за два дня я решил эту проблему оказалось что в интернет настройках --соединения-- лан соединение стояла галка что то связаное с прокси я её отключил теперь работает...но тепмерь опять старая проблема..комп. работает после перезагрузки минут пять может больше а потом начинает тормазить..открываеш стр. и ждёш пока она загрузиться..но не всегда она загружается просто терпения не хватает..пробуеш отключить процесс через диспечера, так тоже не получается ..подазреваю что вирус ещё там ! вчера установил AVG Интернет секюрите он тоже пару вирусов нашол..сканировал антивирусом от зайцева (последнея версия) он не чего не находит..
теперь качаю лайв сд и антивирус от доктора и касперского буду проверять ещё раз..
Ребята что мне делать после проверки? что то нужно показать здесь? логи или?
 
Мои данные ПК

Цитата:
 
 Betriebssystemname    Microsoft Windows XP Professional  
 Version    5.1.2600 Service Pack 2 Build 2600  
 Betriebssystemhersteller    Microsoft Corporation  
 Systemname    BECKER  
 Systemhersteller    To Be Filled By O.E.M.  
 Systemmodell    ALiveNF4G-DVI  
 Systemtyp    X86-basierter PC  
 Prozessor    x86 Family 15 Model 79 Stepping 2 AuthenticAMD ~2204 Mhz  
 BIOS-Version/-Datum    American Megatrends Inc. P1.10, 09.08.2006  
 SMBIOS-Version    2.4  
 Windows-Verzeichnis    C:\WINDOWS  
 Systemverzeichnis    C:\WINDOWS\system32  
 Startgerat    \Device\HarddiskVolume1  
 Gebietsschema    Russische Foderation  
 Hardwareabstraktionsebene    Version = "5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)"  
   
 Zeitzone    Westeuropaische Normalzeit  
 Gesamter realer Speicher    1.024,00 MB  
 Verfugbarer realer Speicher    182,80 MB  
 Gesamter virtueller Speicher    2,00 GB  
 Verfugbarer virtueller Speicher    1,96 GB  
 Gro?e der Auslagerungsdatei    2,26 GB  
 Auslagerungsdatei    C:\pagefile.sys
Всего записей: 156 | Зарегистр. 06-04-2007 | Отправлено: 15:55 25-11-2011
Seduxen



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
nesnakomez
Ничего серьёзного у Вас нету. И не то качаете...
Лучший вариант - Universal Virus Sniffer(UVS). Ссылка и инструкция в соответствущй теме. потом пройтись AVZ на предмет исправления, если понадобится, благо, он у Вас уже есть. Последним можно непосредственно из-под винды. Имхо.
 
Но можно и по п.4. В безопасном режиме.
Всего записей: 784 | Зарегистр. 03-07-2004 | Отправлено: 22:40 25-11-2011
yxma

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
он только однажды волхвов помянул...
ставьте линух и не лазьте в рассадник вирусняка - инет под дусей. И забудете о том, что это такое вообще. Легче всего - росинка9: очень простая, понятная сборка. Дружелюбный форум - если какая деталь заинтересует.
 
Добавлено:
да и скорость интернета процентов на 15-20 подрастет, если это кому актуально
Всего записей: 409 | Зарегистр. 05-08-2008 | Отправлено: 04:47 26-11-2011
vovan613

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как убить Trojan.Mayachok.1  
Помогите !!!
avz лог
 Протокол антивирусной утилиты AVZ версии 4.37
Сканирование запущено в 26.11.2011 12:03:54
Загружена база: сигнатуры - 296773, нейропрофили - 2, микропрограммы лечения - 56, база от 24.11.2011 21:49
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 308877
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7600,  ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:WSAConnect (42) перехвачена, метод APICodeHijack.JmpTo[02533D91]
Функция ws2_32.dll:connect (4) перехвачена, метод APICodeHijack.JmpTo[02533D7A]
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=1689C0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83052000
   SDT = 831BA9C0
   KiST = 830C16F0 (401)
Функция NtAllocateVirtualMemory (13) перехвачена (8329DE0F->8B79E2C4), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThread (57) перехвачена (8332CC0E->8B79F8F6), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtCreateThreadEx (58) перехвачена (8328AD51->8B79F9D2), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtFreeVirtualMemory (83) перехвачена (83105821->8B79E550), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtLoadDriver (9B) перехвачена (831F3279->8B9DC8B0), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (10D) перехвачена (8323EAF1->8B79F9FE), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtQueueApcThreadEx (10E) перехвачена (8323EB15->8B79FA24), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetContextThread (13C) перехвачена (8332DD13->8B79FA4A), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Функция NtSetSystemInformation (15E) перехвачена (832DCDF5->8B9DC870), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSystemDebugControl (170) перехвачена (8325B2FC->8B9DC830), перехватчик C:\Windows\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (18F) перехвачена (832D95B5->8B79E660), перехватчик C:\Windows\system32\drivers\dwprot.sys, драйвер опознан как безопасный
Проверено функций: 401, перехвачено: 11, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=300, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 300)
Маскировка процесса с PID=352, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 352)
Маскировка процесса с PID=440, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 440)
Маскировка процесса с PID=912, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 912)
Маскировка процесса с PID=1096, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1096)
Маскировка процесса с PID=1592, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1592)
Маскировка процесса с PID=1652, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1652)
Маскировка процесса с PID=1664, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1664)
Маскировка процесса с PID=1832, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1832)
Маскировка процесса с PID=1988, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1988)
Маскировка процесса с PID=712, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 712)
Маскировка процесса с PID=1228, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1228)
Маскировка процесса с PID=1512, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1512)
Маскировка процесса с PID=1532, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1532)
Маскировка процесса с PID=1540, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1540)
Маскировка процесса с PID=2112, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2112)
Маскировка процесса с PID=2132, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2132)
Маскировка процесса с PID=3272, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3272)
Маскировка процесса с PID=3496, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3496)
Маскировка процесса с PID=3536, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3536)
Маскировка процесса с PID=3636, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3636)
Маскировка процесса с PID=3720, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3720)
Маскировка процесса с PID=2128, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2128)
Маскировка процесса с PID=2196, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2196)
Маскировка процесса с PID=3768, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3768)
Маскировка процесса с PID=3808, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3808)
Маскировка процесса с PID=1200, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1200)
Маскировка процесса с PID=1444, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1444)
Маскировка процесса с PID=2036, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2036)
Маскировка процесса с PID=3344, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3344)
Маскировка процесса с PID=1936, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1936)
Маскировка процесса с PID=3888, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3888)
Маскировка процесса с PID=1288, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1288)
Маскировка процесса с PID=2528, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2528)
Маскировка процесса с PID=180, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 180)
Маскировка процесса с PID=3976, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3976)
Маскировка процесса с PID=4060, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4060)
Маскировка процесса с PID=4004, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4004)
Маскировка процесса с PID=4088, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4088)
Маскировка процесса с PID=3540, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3540)
Маскировка процесса с PID=3244, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3244)
Маскировка процесса с PID=3648, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3648)
Маскировка процесса с PID=4220, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4220)
Маскировка процесса с PID=4428, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4428)
Маскировка процесса с PID=5304, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 5304)
Маскировка процесса с PID=5548, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 5548)
Маскировка процесса с PID=5696, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 5696)
Маскировка процесса с PID=4672, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4672)
Маскировка процесса с PID=3520, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3520)
Маскировка процесса с PID=4444, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4444)
Маскировка процесса с PID=3608, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3608)
Маскировка процесса с PID=6060, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 6060)
Маскировка процесса с PID=2380, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2380)
Маскировка процесса с PID=4828, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4828)
Маскировка процесса с PID=5204, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 5204)
Маскировка процесса с PID=1196, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 1196)
Маскировка процесса с PID=4504, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 4504)
Маскировка процесса с PID=3428, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 3428)
Маскировка процесса с PID=2944, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 2944)
Маскировка процесса с PID=5612, имя = ""
 >> обнаружена подмена PID (текущий PID=0, реальный = 5612)
 Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 85AFF1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 85AFF1F8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 54
 Количество загруженных модулей: 588
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Windows\system32\pnwdiyh.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\pnwdiyh.dll>>> Поведенческий анализ  
 Типичное для кейлоггеров поведение не зарегистрировано
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\pnwdiyh.dll"
Ошибка скрипта: ')' expected, позиция [44:3]
Ошибка микропрограммы 385
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 642, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 26.11.2011 12:04:30
Сканирование длилось 00:00:36
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
 
Добавлено:
Dr.Web пишет Процесс в памяти: C:\Windows\System32\wininit.exe:448 Trojan. Mayachok.1 Обезврежен
Но после перезагрузки всё повторяется  
Забивает оперативу напроч
Всего записей: 4 | Зарегистр. 13-10-2009 | Отправлено: 05:10 26-11-2011
opt_step



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vovan613

Цитата:
Как убить Trojan.Mayachok.1  

http://forums.ferra.ru/index.php?showtopic=40873 и http://www.pc-manual.ru/virus__/trojan-mayachok-1/
и лог под тег more уберите

----------
Reset - не кнопка, а горькая необходимость.
Всего записей: 11239 | Зарегистр. 10-09-2008 | Отправлено: 07:25 26-11-2011 | Исправлено: opt_step, 07:27 26-11-2011
vzar



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Свеженький
Всего записей: 7931 | Зарегистр. 31-07-2009 | Отправлено: 11:31 26-11-2011
cveta2006

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите пожалуйста.очень  прошу.сын  хочет установить игру  и при скачивании кряка  .антивирус НОД 32 автоматом удаляет файл со ссылкой на  WIN32 Kryptik.FM .в описании советуют при установке отключить антивирус и пишут .что любой кряк антивирус считает вирусом. а как узнать  безопасный он или .сделать так как они советуют или вообше забить на игру ?
Очень прошу ответить срочно!
Всего записей: 28 | Зарегистр. 10-11-2011 | Отправлено: 11:28 27-11-2011
Nimbussr



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cveta2006
Это ложное срабатывание.
У НОД32 это часто бывает на различного рода кейгены, патчеры, в том числе и NoDVD для игр.
Смело скачивайте кряк и играйте.
А если это окажется вирус, то вы теперь знаете в какую тему и на каком форуме нужно писать.
Всего записей: 2103 | Зарегистр. 31-05-2008 | Отправлено: 12:43 27-11-2011
Seduxen



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я бы забил. Или купил лицензию, если совсем невмоготу.  
По поводу же "любой кряк считает вирусом" - врут, мягко говоря...
Разновидностей win32/Kryptik много, пример.
Всего записей: 784 | Зарегистр. 03-07-2004 | Отправлено: 12:58 27-11-2011
Akast23

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AppInit_DLLs значение в реестре
У меня в системе в этом значение прописался вирус я его убрал(и все стало хорошо работать), потом у знакомого примерно так же работал вирус как и у меня я решил по такому же методу глянуть но у него windiws 7 а у меня XP , у меня все понятно было а вот у него не понятно что написано какой то каспер прописан. Вот я и хотел вас попросить как то должен стоять стандартное значения, обыскал все форумы так и не нашел.
Вот оно это значение у него CPROGRA~2KASPER~1KASPER~1x64kloehk.dll,CPROGRA~2KASPER~1KASPER~1x64sbhook64.dll
сомнительный какой то он(
Всего записей: 2 | Зарегистр. 27-11-2011 | Отправлено: 13:29 27-11-2011
jonvarvar



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cveta2006
 Проверьте подозрительный файл online, через тот же virustotal
 В зависимости от результатов - принимайте решение. Хотя, на мой взгляд, лучше уж "перебдеть, чем помереть". (Если NOD буде блокировать файл, на время проверки можете  отключить антивирус или прописать файл в исключения - особо не опасайтесь - сам по себе кейген не запустится).
Всего записей: 532 | Зарегистр. 24-07-2009 | Отправлено: 13:33 27-11-2011
simply2



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Подскажите, пожалуйста как называется вирус и как с ним бороться?
 
Действия BIOS – видит жесткий диск.
Ни одна из программ  Windows PE загрузи с CD, диска HDD не видет.
При загрузке компьютера появляеться собщение (черный эран –типа DOC) с сообщение о блокировке и естественно пероде денег. Для снятия требует код.
 
Проник в систему с помощью обмана (предложение в обновление софта).
 
Как я понимаю диск запоролен и скрыт.
Всего записей: 111 | Зарегистр. 21-12-2005 | Отправлено: 18:37 27-11-2011 | Исправлено: simply2, 18:40 27-11-2011
arvidos



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
simply2
то что не видится винт во всяких LiveCD это вряд ли вирус - измени в биосе режим работы SATA контроллера на IDE, тогда увидится
если просит код в начале загрузки - надо пофиксить MBR. сначала загрузись с WinPE, а там уже восстановишь загрузчик
Всего записей: 3557 | Зарегистр. 24-04-2009 | Отправлено: 18:39 27-11-2011
simply2



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
arvidos
 
В том то и дело что настройка в BIOS стоит SATA >IDE
Всего записей: 111 | Зарегистр. 21-12-2005 | Отправлено: 18:43 27-11-2011
arvidos



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
не может вирус блокировать определение винта в LiveCD. пробуй на другой режим переключить, также попробуй подключить интерфейсный кабель в другой выход на мат.плате
Всего записей: 3557 | Зарегистр. 24-04-2009 | Отправлено: 18:47 27-11-2011
s800



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Внимание новая зараза:
http://forum.ru-board.com/topic.cgi?forum=8&topic=42855#1,
(эту дрянь видять только 7 антивирусов)
вот результат с вирустотал  
http://www.virustotal.com/file-scan/report.html?id=c04c60536353f1aee1a3a6ba2fe8c4f5fd7a4b25f9cedaa1caad1779917c3714-1322438201
p/s почему не запустил сюда  
Андеграунд » Вирусный bugtraq на ru-board
у меня при переходе по ссылке антивирусник выдает:  


----------
Самый хороший учитель в жизни — опыт. Берет, правда, дорого, но объясняет доходчиво.
Всего записей: 1687 | Зарегистр. 21-02-2005 | Отправлено: 04:11 28-11-2011 | Исправлено: s800, 04:45 28-11-2011
simply2



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
arvidos
 
Большое спасибо за помощь!
Итог шальные ручки ламера и вирус.
 
Всего записей: 111 | Зарегистр. 21-12-2005 | Отправлено: 04:17 29-11-2011
darnMagus

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Хочу поделится опытом: недавно столкнулся с вирусом, очень интересно "вселявшимся" на флешки. Он создавал папку "RECYCLER", в неё клал свой .exe файл, а запуск этого обеспечивал следующим образом - скрывал все папки на флеш-диске, заменяя их ярлыками, но с некторой оговоркой, в объекте ярлыков он указывал следующее:
%windir%\system32\cmd.exe /c "start %cd%RECYCLER\Имя_Вируса.exe &&%windir%\explorer.exe %cd%Имя_Папки  
Понятное дело, на большинстве пользовательских машин скрытые файлы отключены, а то, что ярлычок с именем папки теперь со стрелочкой, мало заметно.
 
Причем файл autorun.inf начисто отсутствовал. Я удивился, почему бы себя и и автозапуском не подстраховать? С удивлением узнал, что мелкософтные уже давно закрыли бреш с бездумным запуском файлов из autorun.inf(за исключением CD/DVD). И что существует "автозагрузка" и "автозапуск", и это не одно  и тоже:
Отличия автозапуска и автозагрузки.Майкрософт
Скажите, у меня только было прозрение, это довольно ясная и известная вещь?
Всего записей: 96 | Зарегистр. 24-03-2008 | Отправлено: 11:21 29-11-2011 | Исправлено: darnMagus, 11:24 29-11-2011
arvidos



Silver Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
darnMagus
возможно в твоем случае была уязвимость через LNK файлы (ярлыки). относительно новый способ заражения. и без участия autorun.inf. подпробнее
Всего записей: 3557 | Зарегистр. 24-04-2009 | Отправлено: 12:06 29-11-2011
darnMagus

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
arvidos,
спасибо за ссыль, но у меня все не настолько круто Хотя, возможно, здесь присутствует некая аналогия...
меня больше интересует другая фича - насчет autorun.inf - получается, вирусы, заражающие флешки, на нормальных системах(с последними обновлениями) уже не сработают? Т.е. автозагрузкой они уже не запускаются? Или есть хитрые способы проникновения через автозагрузку или автозапуск?? (именно автозапуск)  
Всего записей: 96 | Зарегистр. 24-03-2008 | Отправлено: 18:05 29-11-2011
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Вирус(ы) в Windows XP,Vista,7,8,8.1,10. Проблемы. Решения.
KLASS (16-02-2017 18:32): Продолжение в Вирус(ы) в ОС Windows. Проблемы. Решения. (II)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru