gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!! ПРОСЬБА ЗАКРЫТЬ ТЕМУ   Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Allex13 Инфекция есть и много. Обрабатываю. AdapterLp Не лезьте куда не просят. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 18:08 23-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Allex13 - Отключите Антивирус и Файервол. - Выполните скрипт: Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer;   KeyList : TStringList; KeyName : string;                             begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do  begin  KeyName := AName+'\'+KeyList[i];  RegKeyResetSecurity(ARoot, KeyName);  RegKeyResetSecurityEx(ARoot, KeyName);  end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var  i : integer;  KeyList : TStringList;  KeyName : string;                             begin  Result := 0;  if StopService(AServiceName) then Result := Result or 1;  if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;  KeyList := TStringList.Create;  RegKeyEnumKey('HKLM','SYSTEM', KeyList);  for i := 0 to KeyList.Count-1 do   if pos('controlset', LowerCase(KeyList[i])) > 0 then begin    KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                          if RegKeyExistsEx('HKLM', KeyName) then begin     Result := Result or 4;                       RegKeyResetSecurityEx('HKLM', KeyName);     RegKeyDel('HKLM', KeyName);     if RegKeyExistsEx('HKLM', KeyName) then                      Result := Result or 8;                      end;   end;                    if AIsSvcHosted then   BC_DeleteSvcReg(AServiceName)  else   BC_DeleteSvc(AServiceName);  KeyList.Free; end;   begin  ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True);  DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}  BC_ServiceKill('xmzbo');  BC_ServiceKill('whgzeevw');  BC_ServiceKill('wdrcg');  BC_ServiceKill('wbjgc');  BC_ServiceKill('vqzxkjzv');  BC_ServiceKill('twdsjmp');  BC_ServiceKill('saqru');  BC_ServiceKill('rnckap');  BC_ServiceKill('oucwhv');  BC_ServiceKill('oojmqgj');  BC_ServiceKill('oayyuzpts');  BC_ServiceKill('nuqkztuen');  BC_ServiceKill('ntpxxi');  BC_ServiceKill('nrocksda');  BC_ServiceKill('ncqorvtcq');  BC_ServiceKill('mmabnjhjb');  BC_ServiceKill('mczkwk');  BC_ServiceKill('lkhfnnum');  BC_ServiceKill('ktvgqq');  BC_ServiceKill('koinfcar');  BC_ServiceKill('kmjrwr');  BC_ServiceKill('jwxqjopo');  BC_ServiceKill('hylqkd');  BC_ServiceKill('hvatgyrc');  BC_ServiceKill('hhfnac');  BC_ServiceKill('fxxcthad');  BC_ServiceKill('fbpope');  BC_ServiceKill('fbdgp');  BC_ServiceKill('dymzv');  BC_ServiceKill('dsktfe');  BC_ServiceKill('djojw');  BC_ServiceKill('chfnpsd');  QuarantineFile('C:\WINDOWS\system32\ctlfree.exe','');  QuarantineFile('C:\WINDOWS\system32\ctlqua.exe','');  QuarantineFile('C:\WINDOWS\system32\06.tmp','');  QuarantineFile('C:\WINDOWS\system32\03.tmp','');  QuarantineFile('dymzv.sys','');  QuarantineFile('C:\WINDOWS\system32\02.tmp','');  QuarantineFile('fbpope.sys','');  QuarantineFile('hhfnac.sys','');  QuarantineFile('hvatgyrc.sys','');  QuarantineFile('koinfcar.sys','');  QuarantineFile('lbrtfdc.sys','');  QuarantineFile('mmabnjhjb.sys','');  QuarantineFile('nuqkztuen.sys','');  QuarantineFile('oucwhv.sys','');  QuarantineFile('vqzxkjzv.sys','');  QuarantineFile('djojw.sys','');  DeleteFile('C:\WINDOWS\system32\03.tmp');  DeleteFile('djojw.sys');  DeleteFile('dymzv.sys');  DeleteFile('C:\WINDOWS\system32\02.tmp');  DeleteFile('fbpope.sys');  DeleteFile('hhfnac.sys');  DeleteFile('hvatgyrc.sys');  DeleteFile('koinfcar.sys');  DeleteFile('mmabnjhjb.sys');  DeleteFile('C:\WINDOWS\system32\06.tmp');  DeleteFile('nuqkztuen.sys');  DeleteFile('oucwhv.sys');  DeleteFile('vqzxkjzv.sys');  DeleteFile('C:\WINDOWS\system32\ctlqua.exe');  DeleteFile('C:\WINDOWS\system32\ctlfree.exe');  BC_ImportAll; ExecuteSysClean;  BC_LogFile(GetAVZDirectory + 'boot_clr.log');  SetAVZPMStatus(true);  BC_Activate;  RebootWindows(true); end.   Система перезагрузится. После перезагрузки: - Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Сделайте повторные логи   - Включите Антивирус и Файрвол - Подключите ПК к интернету/локальной сети - Выполните скрипт: Код:   var   qfolder: string;   qname: string; begin   qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';   qfolder := ExtractFilePath(qname);   if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);   CreateQurantineArchive(qname);   ExecuteFile('explorer.exe', qfolder, 1, 0, false); end.   По окончанию Вам откроет папку с архивом. Это - карантин. - Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь. - Прикрепите новые логи, а также файл boot_clr.log из папки AVZ к новому сообщению в этой ветке. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 18:24 23-02-2011 | Исправлено: gjf, 18:24 23-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Allex13 Выполните скрипт: Код: begin  ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}  SetAVZPMStatus(false);  RebootWindows(false); end. Система после этого перезагрузится. Проверьте, остались ли какие-либо проблемы. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 19:19 23-02-2011

AdapterLp Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Allex13 Цитата: AdapterLp Выводит 11.88v Битых секторов не было RAM не проверял(( Лазил в системник сегодня, конденсаторы целые,ничего не вздуто..   Выводит 11.88v Хм...   Северный Южный мост не больше 55С градусов?   Всего записей: 426 | Зарегистр. 15-09-2009 | Отправлено: 20:11 23-02-2011 | Исправлено: AdapterLp, 20:12 23-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Allex13 Понятно. Давайте так. Выполните скрипт: Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True);  QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');  RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');  CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');  DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');  BC_ImportAll; ExecuteSysClean;  SetAVZPMStatus(false);  RebootWindows(true); end.   После перезагрузки в меню Пуск выберите "Выполнить..." и введите "cmd". В открывшемся окне введите следующую команду и нажмите Enter. Код: sfc /scannow Может потребоваться дистрибутив Windows, с которого производилась установка системы. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 22:22 23-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Allex13 Ну и так можно Пожалуйста, обращайтесь! ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 23:24 23-02-2011

Trex Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Открывал отдельную тему: http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=21869#1 но мне посоветовали обратиться и сюда. Семерка Ультима с обновленным Касперским, согласно ему вирусов нет. В АВЗ скрипт отказался запускаться с сообщением Ошибка скрипта: '.' expected, позиция [4:6]", поэтому я вручную отключил сетевой адаптер и по возможности выгрузил почти все программы и выполнил сканирование диска С:. Логи прилагаю: http://rghost.ru/4514091   Кому лень смотреть мой вышеуказанный пост, скопирую сюда: Цитата: Минут через 5 после подьема 7-ой винды, ни с того ни с сего, громко квакает "ку-ку" 2 раза и через секунд 15 еще раз. Кроме того на втором плане есть тихие щелчки, как будто переходят по линкам браузера, хотя сам браузер не включен. Проверил Касперским - чисто. так, вроде это оно:   C:\Program Files\Common Files\Sysupdate\wmupd.exe   я думал, что это виндовая приблуда, но оказалось - нет.   вирустотал, только макафи плачется:   http://www.virustotal.com/file-scan/report.html?id=3a4409d702963d463a9dbf2500978a07cd933c2ecb4aa016b238c28fe316e327-1290341010   По дате оно сидит с конца августа, вроде никаких проблем не было...     Я вычистил это дело, но оно вернулось, правда вроде без звуков, вторая цитата: Цитата: Сегодня опять обнаружил эту гадость, но уже в директории:   C:\Program Files\Common Files\Adobe   Что же оно делает ???   Еще раз ссылка, отсылайте в антивирусные компании:   http://rghost.ru/4503247     Добавлено:   Кстати, по вирустотал теперь даже макафи не плачется:   http://www.virustotal.com/file-scan/report.html?id=8b691099bfb8481a0615c8cf7b3f7ce7652524dc1db860eb939d691d63b2340f-1298470593 Всего записей: 6614 | Зарегистр. 03-09-2001 | Отправлено: 13:44 24-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Trex Логи сделайте по правилам в шапке. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 14:23 24-02-2011

Trex Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf Так я написал, что скрипт АВЗ у меня не запустился, и поэтому я просто провел сканирование дсика С:, а логи RSIT я сделал по правилам и запаковал 2 лога RSIT и один лог АВЗ в архив и выложил. Меня больше волнует, чем занимается вышеприведенный файлик, т.к. вирусов у меня нет, я обсканировал всем, чем только можно, включая сканирование при загрузке с ЛАйфСД. Всего записей: 6614 | Зарегистр. 03-09-2001 | Отправлено: 15:18 24-02-2011 | Исправлено: Trex, 15:19 24-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Trex Я видел. Попробуйте пожалуйста ещё раз лог АВЗ получить. Скрипт скопируйте и выполните ещё раз.   По файлу - какой-то даунлоадер: Подробнее... ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 15:57 24-02-2011

Trex Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf удивительно, но сейчас скрипт выполнился, хотя до этого, пробовал раз 5: http://rghost.ru/4516705 Всего записей: 6614 | Зарегистр. 03-09-2001 | Отправлено: 16:43 24-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Trex Это Вы сделали? Цитата: Опасно - отладчик процесса "skypePM.exe" = "rundll32.exe"   Цитата:  >>  Заблокирован элемент Выполнить в меню Пуск   ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 17:47 24-02-2011

Trex Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf я убрал skypePM.exe из автозапуска и стер сам файл, ибо оно мне не надо, а скайп без него отлично работает. Всего записей: 6614 | Зарегистр. 03-09-2001 | Отправлено: 18:56 24-02-2011

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Trex В остальном всё чисто. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11491 | Зарегистр. 14-03-2007 | Отправлено: 19:04 24-02-2011 | Исправлено: gjf, 19:05 24-02-2011

Trex Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf Спасибо за проверку ! но что же это за файл, как он попадает на комп и если он что-то передает с компа или наооборот скачивает на комп, почему ни один антивирус не ругается на него ? Всего записей: 6614 | Зарегистр. 03-09-2001 | Отправлено: 19:08 24-02-2011 | Исправлено: Trex, 19:09 24-02-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование