Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К сожалению я сейчас не у того компа, как я писал ранее машина не моя, могу лишь отправить quarantine.zip  
 
p.s. quarantine.zip на анализ службу Техподдержки отправил.
Хожу к ним уже 2 дня, из под LiveCD вычичаю всю эту заразу.
Правлю userinit,run не помогает, taskman возникает снова, по поведению похож на palevo.

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 21:30 07-10-2010 | Исправлено: Bandrr, 21:42 07-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Шлите пока quarantine.zip Но желательно, если завтра Вы сбросите и остальное добро - это позволит внести изменения в AVZ, чтобы эффективно бороться с такими зловредами.
Когда будете у той машины - сделайте то, что я порекомендовал с MBAM. Совещался с коллегой - это единственный способ, зараза раскидывает много файлов, которые потом восстанавливают то, что мы зачищаем. MBAM должен будет помочь, погляжу логи и выпишу рецепт

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 21:53 07-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Письмо с quarantine.zip отправил.  
Лог с MBAM постараюсь сделать завтра.

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 22:23 07-10-2010
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
И снова я прошу помощи.
 
Симптомы болезни. Компьютер с Windows XP SP3 отвалился от домена. Не видит, не пингует. Сетевую карту менял, не помогло. Сетевая розетка рабочая. Проверился NOD (хоть это и не антивирус) - вылечил 11 вирусов. Не помогло. Затем CureIt - вылечил еще 1 вирус. AVZ ничего не нашел.
 
Сделал логи. На время создания логов NOD работал. Ну не нашел я его как отключить. А удалять не хотелось. Логи http://rghost.net/2847682
 
Заранее спасибо.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 22:30 07-10-2010 | Исправлено: Mushroomer, 22:31 07-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bandrr
Письмо получил, там ничего интересного. Продолжим завтра.
 
Mushroomer
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 StopService('netmonzMP');
 StopService('netmonz');
 DeleteService('netmonzMP', true);
 DeleteService('netmonz', true);
 DeleteFile('C:\Temp\oaC60bWw.sys');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('netmonzMP');
 BC_DeleteSvc('netmonz');
 ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
 SetAVZPMStatus(true);
 BC_Activate;
 RebootWindows(true);
end.

 
Система перезагрузится. После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи согласно только пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Прикрепите новые логи к новому сообщению в этой ветке.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 00:20 08-10-2010
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
Антивирус именно отключил, но не выгрузил.  

Цитата:
- Закройте все программы, включая Антивирус и Файрвол,
Сделал так, чтобы антивирус не загружался при загрузке компьютера. А Файервол и не запущен был.

Цитата:
- Прикрепите новые логи к новому сообщению в этой ветке.  
http://rghost.ru/2851622

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 13:13 08-10-2010 | Исправлено: Mushroomer, 13:32 08-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Отправляю лог mbam http://rghost.ru/2852386
На почту сейчас скину архив infected.
Могу скинуть файлы реестра

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 14:52 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bandrr
Мне бы было желательно получить вот эти файлы:

Код:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\Documents and Settings\ADMIN\Local Settings\Temp\134.exe
C:\RECYCLER\S-1-5-21-1386133702-8300606912-594990075-8750\syscr.exe
C:\Documents and Settings\ADMIN\Application Data\ltzqai.exe  
C:\WINDOWS\system32\41.exe
C:\WINDOWS\system32\msvmiode.exe
C:\WINDOWS\cfdrive32.exe

 
Если можно - пришлите их в архиве, как я говорил.
 
Затем удалите в MBAM.

Код:
Зараженные процессы в памяти:
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.Autorun.B) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.
Зараженные папки:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.Autorun.B) -> No action taken.
C:\Documents and Settings\ADMIN\Local Settings\Temp\134.exe (Trojan.LVBP) -> No action taken.
C:\Documents and Settings\ADMIN\Local Settings\Temporary Internet Files\Content.IE5\MTO5OP0D\prr[1].exe (Trojan.LVBP) -> No action taken.
C:\RECYCLER\S-1-5-21-1386133702-8300606912-594990075-8750\syscr.exe (Worm.Autorun.B) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\Documents and Settings\ADMIN\Application Data\ltzqai.exe (Worm.Palevo) -> No action taken.
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\msvmiode.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\cfdrive32.exe (Trojan.Agent) -> No action taken.

 
Перезагрузите систему и сделайте новые логи MBAMю
 
Добавлено:
Mushroomer
Чисто. Уберём хвосты от AVZ. Выполните скрипт:

Код:
begin
 ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
 SetAVZPMStatus(false);
 RebootWindows(false);
end.

Система после этого перезагрузится. Проверьте, остались ли какие-либо проблемы.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 15:11 08-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уже ушёл от них,скинул всё что нашёл.У них не было времени так что ловил на скорую руку.

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 15:17 08-10-2010 | Исправлено: Bandrr, 15:20 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bandrr
Это то, что надо, спасибо.
Жду выполнения инструкций с MBAM и повторных логов. нужно добить заразу.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 15:29 08-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вам спасибо.
Договорился на понедельник, надеюсь в понедельник добьем.

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 15:31 08-10-2010
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
Система после этого перезагрузится. Проверьте, остались ли какие-либо проблемы.
Все сделал. Проблема осталась Перестал показываться значек сетевого подключения в системном трее.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 15:55 08-10-2010 | Исправлено: Mushroomer, 15:56 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
Перенастроить подключение пробовали?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 15:59 08-10-2010
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Удалить протокол TCP/IP, а потом его добавить? Настройки там какие были такие и остались.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 16:12 08-10-2010 | Исправлено: Mushroomer, 16:19 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
Ну да. И подключение тоже удалить и добавить, все настройки прописать заново.
 
Добавлено:
Bandrr
Ваш "выводок":

Цитата:
10.exe_, 22.exe_, 28.exe_, m[1].exe_, m[2].exe_ - P2P-Worm.Win32.Palevo.awru,  
134.exe_, prr[1].exe_ - Trojan-Downloader.Win32.Small.awad,  
3517.exe_, 6180384.exe_, mimi[1].exe_, msvmiode.exe_ - Email-Worm.Win32.Joleee.fgs,  
r[1].exe_ - P2P-Worm.Win32.Palevo.awrv


----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 16:35 08-10-2010
Digital Ray



Massive Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Ко всем
Помогите пожалуйста распознать источник
который самовольно кликает, когда комп в сети (Фаирфокс без звука)
примерно 1 раз в час слышно 4-5 таких кликов подряд  
в динамиках слышна "очередь" звуков -- Windows Navigation Start.wav
потом пауза, сопровождающаяся резким понижением скорости серфинга
.
Комп настольный, система ВинХр,  
антивирус Макафи Сюита (молчит),  
... ИЕ заблокирован фаиром...  
.
подскажите пожалуйста с чего и где начинать поиски..?

----------
Предпочитаю SRWare Iron -//- Маршруты Москвы -//- Православный календарь.

Всего записей: 3301 | Зарегистр. 31-12-2001 | Отправлено: 16:49 08-10-2010 | Исправлено: Digital Ray, 16:57 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Digital Ray

Цитата:
с чего и где начинать поиски..?

Сомневаюсь, что дело в вирусе, скорее барахлит железо.
Но если хотите - сделайте логи, погляжу.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 16:58 08-10-2010
Bandrr



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
10.exe_, 22.exe_, 28.exe_, m[1].exe_, m[2].exe_ - P2P-Worm.Win32.Palevo.awru,  
134.exe_, prr[1].exe_ - Trojan-Downloader.Win32.Small.awad,  
3517.exe_, 6180384.exe_, mimi[1].exe_, msvmiode.exe_ - Email-Worm.Win32.Joleee.fgs,  
r[1].exe_ - P2P-Worm.Win32.Palevo.awrv  

признаю мой.

Всего записей: 68 | Зарегистр. 07-10-2007 | Отправлено: 17:00 08-10-2010
Digital Ray



Massive Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
gjf

Цитата:
Но если хотите - сделайте логи, погляжу.

Забросил в ПМ

----------
Предпочитаю SRWare Iron -//- Маршруты Москвы -//- Православный календарь.

Всего записей: 3301 | Зарегистр. 31-12-2001 | Отправлено: 17:18 08-10-2010
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Digital Ray

Цитата:
Файл номер 1967088 удален !!!

В шапке - рекомендованные файлообменники для логов. И ссылки не в ПМ, а прям в ветку.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 08-10-2010 | Исправлено: gjf, 17:35 08-10-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru