Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
TaTyH
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\WINDOWS\system32\drwat32.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwzuc32.exe','');
 QuarantineFile('C:\WINDOWS\System32\win32k.sys','');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\wwwzuc32.exe');
 DeleteFile('C:\WINDOWS\system32\drwat32.exe');
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

 
Система перезагрузится. После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Выполните скрипт:

Код:
 
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
 

По окончанию Вам откроет папку с архивом. Это - карантин.
- Сделайте повторные логи.
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь.
- Прикрепите новые логи к новому сообщению в этой ветке.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 00:43 18-05-2010
setwolk



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Есть инет через proxy, уходя домой лочу ПК и машина остается в локальной сети и соотвественно в инете. Приходя на работу вижу по логам что моя машина с 5-7 утра была в инете вот поэтому адресу 64.12.24.41:443 хотя я туда не заходил, меня вапще не было еще на работе.
Кушает не много около метра-двух, но тем не менее не приятно как так?!
Пытался сканить себя всячески на вирусы всеми известными способами и лечилками, вирусов нет, однако трабла есть.
Какие будут советы мнения по данной проблеме?!

Всего записей: 1418 | Зарегистр. 16-02-2010 | Отправлено: 08:11 18-05-2010
XenoZ



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
setwolk
64.12.0.0/16 - сервера AOL (ICQ, QIP и т.п.). При чем тут "Помощь при лечении компьютера от вирусов"?

----------
А оно мне надо?..

Всего записей: 5438 | Зарегистр. 29-03-2006 | Отправлено: 10:48 18-05-2010
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
ОК. Если что - сообщите, продолжим.
Журналы восстановили. В них ничего необычного нет. Загрузка процессора обычная, но все равно, в течении первых 10 минут работы компьютера нет доступа к панели быстрого доступа, к кнопке пуск, к диспетчеру задач.  

Цитата:
в автозапуске непонятное имя wwwzuc32.exe
Еще один коллега по несчастью

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 11:38 18-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
setwolk
Уходя домой вырубить все приложения. АБСОЛЮТНО все. Включая, конечно, асю, квип и так далее
 
Mushroomer
У коллеги пока не всё так плохо.
Попробуем опять логи VBA32 Antirootkit. Кстати, прога обновилась - перекачайте. Ссылку помните?
 
Офф: А чего Вы используете именно 2003? С этим ядром от х64 не всё так просто, когда дело касается лечения.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:16 18-05-2010
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
Кстати, прога обновилась - перекачайте. Ссылку помните?
конечно.

Цитата:
А чего Вы используете именно 2003? С этим ядром от х64 не всё так просто, когда дело касается лечения.
Ну это файловый сервер, который выступает как рабочая станция, у которой есть интернет (такое совмещение + интернет конечно не есть правильно, но так есть). На нем установлена файловая серверная операционая система Windows 2003 Standart x32.  

Цитата:
Попробуем опять логи VBA32 Antirootkit.
ok.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 13:47 18-05-2010 | Исправлено: Mushroomer, 13:50 18-05-2010
setwolk



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
XenoZ
При том что существуют сетевые черви которые сидят и кушают траффик инета, поэтому и задал этот вопрос в правильной теме!
gjf
Хорошо сегодня выключу все и оставлю все равно машину в сети, потом по логам гляну, если что скину на virus.info и сюда

Всего записей: 1418 | Зарегистр. 16-02-2010 | Отправлено: 14:16 18-05-2010
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
Попробуем опять логи VBA32 Antirootkit.
Вот лог. http://rghost.ru/1649614
Лог делался в режиме extended. http://virusinfo.info/showthread.php?t=78057
Что странно: предыдущая версия VBA32 Antirootkit работала 4,5 часа. А новая версия работала 1 минуту.  

Цитата:
По требованию специалиста выключите режим расширенного мониторинга через пункт меню ArKit Driver -> UnInstall Extended Driver.
Драйвер можно выключать?

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 15:41 18-05-2010 | Исправлено: Mushroomer, 16:07 18-05-2010
opt_step



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Кстати, прога обновилась - перекачайте. Ссылку помните?

http://www.anti-virus.by/en/download_arkit_beta.php?
ftp://anti-virus.by/beta/Vba32arkit_beta.7z
ftp://anti-virus.by/beta/Vba32arkit_beta.rar
ftp://anti-virus.by/beta/Vba32arkit_beta.zip
http://vba.datacenter.by/beta/Vba32arkit_beta.7z
http://vba.datacenter.by/beta/Vba32arkit_beta.rar
http://vba.datacenter.by/beta/Vba32arkit_beta.zip

Всего записей: 11230 | Зарегистр. 10-09-2008 | Отправлено: 05:05 19-05-2010 | Исправлено: opt_step, 05:54 19-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
Драйвер можно выключать.
Ничего вредоносного не обнаружено.
Даже не знаю, что Вам порекомендовать в этой связи. Попрошу коллег посмотреть логи, может у них было нечто подобное в практике.
opt_step
Вы совершенно правы

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:06 19-05-2010
cdrom2

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
del

Всего записей: 2393 | Зарегистр. 17-02-2006 | Отправлено: 16:04 19-05-2010 | Исправлено: cdrom2, 17:02 19-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
cdrom2
setwolk

Цитата:
ВНИМАНИЕ!!! В данной ветке вольное общение по теме и без не приветствуется, всё только согласно приведенным правилам и только в тему! Если Вы хотите обсудить альтернативные пути лечения, поделиться опытом и т.д. - добро пожаловать сюда.  



----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 16:23 19-05-2010
JulianaC

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вот мои файлы после сканирования
http://rghost.ru/1684653
http://rghost.ru/1684670
http://rghost.ru/1684683

Всего записей: 60 | Зарегистр. 02-10-2006 | Отправлено: 22:04 22-05-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JulianaC
 
- Закройте/выгрузите все программы кроме Internet Explorer.  
Отключите  
- ПК от интернета/локальной сети.  
- Антивирус и Файрвол.  
- Выполните скрипт:  
 

Код:
begin  
SearchRootkit(true, true);  
SetAVZGuardStatus(True);  
 QuarantineFile('C:\WINDOWS\system32\snetcfg.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7n3PEDT4.sys','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7n3PEDT4.sys');
 DeleteFile('C:\WINDOWS\system32\snetcfg.exe');
 BC_ImportAll;  
ExecuteSysClean;  
 BC_Activate;  
 RebootWindows(true);  
end.  

 
Система перезагрузится. После перезагрузки:  
- Очистите темп-папки, кэш проводников и корзину.  
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!  
- Выполните скрипт:  
 

Код:
 
var  
  qfolder: string;  
  qname: string;  
begin  
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';  
  qfolder := ExtractFilePath(qname);  
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);  
  CreateQurantineArchive(qname);  
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);  
end.  

 
По окончанию Вам откроет папку с архивом. Это - карантин.  
- Сделайте повторные логи.  
virusinfo_syscure.zip  
virusinfo_syscheck.zip  
hijackthis.log
 
- Включите Антивирус и Файрвол  
- Подключите ПК к интернету/локальной сети  
- Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь.  
- Прикрепите новые логи к новому сообщению в этой ветке.
 

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 23:13 22-05-2010
JulianaC

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сделала
http://multi-up.com/276890
http://multi-up.com/276891
http://multi-up.com/276892
 
Карантин отправила

Всего записей: 60 | Зарегистр. 02-10-2006 | Отправлено: 00:47 23-05-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JulianaC
Больше ничего вредоносного в логах не обнаружено.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 05:14 23-05-2010
JulianaC

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Что это было?
Спасибо большое.

Всего записей: 60 | Зарегистр. 02-10-2006 | Отправлено: 08:43 23-05-2010
komrad7

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте.У меня товарищ подцепил порнобанер заблокировал диспетчер программы не запускаются неподскажете как от него избавиться.Пробовал разблокировать по коду  
с сервисов деактивации не получается.Код 3381 текст М202317265.Просьба помочь.

Всего записей: 197 | Зарегистр. 03-01-2010 | Отправлено: 14:04 23-05-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
komrad7, нужно для начала скачать образ какого-либо LiveCD с возможностью исправления в реестре. Например, ERD Commander (ссылку можно найти на этом форуме)

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 16:20 23-05-2010 | Исправлено: thyrannosaurus, 16:24 23-05-2010
Aroun



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте.У меня товарищ подцепил порнобанер заблокировал диспетчер программы не запускаются неподскажете как от него избавиться.Пробовал разблокировать по коду  
с сервисов деактивации не получается.Код 3381 текст М202317265.Просьба помочь.
 
На днях сражался, просканировал комп по сети с другого компа с каспером, он мне показал где файлы трояна лежат (это именно троян, не обычный порно-баннер в виде .dll модуля для эксплорера) , потом загрузился с hiren boot cd удалил все его копии, потом уже на самой машине поставил каспера.
 
Добавлено:
P.S. кстати ни cureIt ни avz у меня не работали, только hijackthis.

Всего записей: 680 | Зарегистр. 19-07-2005 | Отправлено: 16:30 23-05-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru