gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!! ПРОСЬБА ЗАКРЫТЬ ТЕМУ   Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору thyrannosaurus Цитата: По ссылке выдает "Вам запрещено действие" Залил на другой обменник http://zalil.ru/30116948 Всего записей: 22840 | Зарегистр. 19-01-2002 | Отправлено: 19:51 10-12-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Mushroomer Живучая дрянь, но попробуем.... - Загрузитесь в безопасном режиме. - Выполните скрипт: Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer;   KeyList : TStringList; KeyName : string;                             begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do  begin  KeyName := AName+'\'+KeyList[i];  RegKeyResetSecurity(ARoot, KeyName);  RegKeyResetSecurityEx(ARoot, KeyName);  end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var  i : integer;  KeyList : TStringList;  KeyName : string;                             begin  Result := 0;  if StopService(AServiceName) then Result := Result or 1;  if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;  KeyList := TStringList.Create;  RegKeyEnumKey('HKLM','SYSTEM', KeyList);  for i := 0 to KeyList.Count-1 do   if pos('controlset', LowerCase(KeyList[i])) > 0 then begin    KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                          if RegKeyExistsEx('HKLM', KeyName) then begin     Result := Result or 4;                       RegKeyResetSecurityEx('HKLM', KeyName);     RegKeyDel('HKLM', KeyName);     if RegKeyExistsEx('HKLM', KeyName) then                      Result := Result or 8;                      end;   end;                    if AIsSvcHosted then   BC_DeleteSvcReg(AServiceName)  else   BC_DeleteSvc(AServiceName);  KeyList.Free; end;   begin SearchRootkit(true, true); SetAVZGuardStatus(True);  DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}  AddToLog('Удаление скрытого сервиса '+'winmgt32k'+' - Результат:'+inttostr(BC_ServiceKill('winmgt32k')) );  AddToLog('Удаление скрытого сервиса '+'sysvideo32'+' - Результат:'+inttostr(BC_ServiceKill('sysvideo32')) );  AddToLog('Удаление скрытого сервиса '+'gopwk'+' - Результат:'+inttostr(BC_ServiceKill('gopwk')) );  QuarantineFile('C:\Program Files\Common Files\System\winmgt32k.dll','');  QuarantineFile('C:\Program Files\Common Files\System\sysvideo32.dll','');  DeleteFile('C:\Program Files\Common Files\System\sysvideo32.dll');  DeleteFile('C:\Program Files\Common Files\System\winmgt32k.dll');  BC_ImportAll; ExecuteSysClean;  ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}  SaveLog(GetAVZDirectory+'avz_log.txt');  SetAVZPMStatus(true);  BC_Activate;  RebootWindows(true); end.   Система перезагрузится. После перезагрузки загрузитесь в обычном режиме и: - Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Сделайте повторные логи. - Включите Антивирус и Файрвол - Подключите ПК к интернету/локальной сети - Выполните скрипт: Код:   var   qfolder: string;   qname: string; begin   qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';   qfolder := ExtractFilePath(qname);   if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);   CreateQurantineArchive(qname);   ExecuteFile('explorer.exe', qfolder, 1, 0, false); end.   По окончанию Вам откроет папку с архивом. Это - карантин. - Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь. Также пришлите карантин по мэйлу, как указано в шапке темы. - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке.     P.S. А кто такая Яна? ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 21:39 10-12-2010 | Исправлено: gjf, 21:40 10-12-2010

Mushroomer Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору gjf combofix.exe, посоветанный thyrannosaurus,  должен отработать до последнего лечения?   Цитата: А кто такая Яна? Вопрос неэтичный, но я отвечу. 1) это не я 2) моя коллега по предыдущей работе. Всего записей: 22840 | Зарегистр. 19-01-2002 | Отправлено: 08:02 11-12-2010 | Исправлено: Mushroomer, 08:03 11-12-2010

Urgva Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго всем дня! прошу о помощи в общем avz пишет подмена диспетчера задач, в процессах был цифры.exe ну и баннер рекламный как положено вот логи   http://www.mediafire.com/file/3gqhewzq62273hb/logs.rar Всего записей: 3 | Зарегистр. 13-12-2010 | Отправлено: 06:53 13-12-2010 | Исправлено: Urgva, 06:58 13-12-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Urgva - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Антивирус и Файрвол. - Выполните скрипт: Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer;   KeyList : TStringList; KeyName : string;                             begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do  begin  KeyName := AName+'\'+KeyList[i];  RegKeyResetSecurity(ARoot, KeyName);  RegKeyResetSecurityEx(ARoot, KeyName);  end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var  i : integer;  KeyList : TStringList;  KeyName : string;                             begin  Result := 0;  if StopService(AServiceName) then Result := Result or 1;  if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;  KeyList := TStringList.Create;  RegKeyEnumKey('HKLM','SYSTEM', KeyList);  for i := 0 to KeyList.Count-1 do   if pos('controlset', LowerCase(KeyList[i])) > 0 then begin    KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                          if RegKeyExistsEx('HKLM', KeyName) then begin     Result := Result or 4;                       RegKeyResetSecurityEx('HKLM', KeyName);     RegKeyDel('HKLM', KeyName);     if RegKeyExistsEx('HKLM', KeyName) then                      Result := Result or 8;                      end;   end;                    if AIsSvcHosted then   BC_DeleteSvcReg(AServiceName)  else   BC_DeleteSvc(AServiceName);  KeyList.Free; end;   begin SearchRootkit(true, true); SetAVZGuardStatus(True);  DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}  TerminateProcessByName('c:\windows\system32\lckfldservice.exe');  QuarantineFile('C:\Documents and Settings\User\dxlo.exe','');  QuarantineFile('C:\Documents and Settings\User\Application Data\nsvb.exe','');  QuarantineFile('C:\Documents and Settings\User\Application Data\juzjf.exe','');  QuarantineFile('C:\Documents and Settings\User\Application Data\juzjf.exe','');  QuarantineFile('c:\windows\system32\lckfldservice.exe','');  QuarantineFile('C:\WINDOWS\System32\Drivers\krtmjtlk.sys','');  AddToLog('Удаление скрытого сервиса '+'krtmjtlk'+' - Результат:'+inttostr(BC_ServiceKill('krtmjtlk')) );  AddToLog('Удаление скрытого сервиса '+'LckFldService'+' - Результат:'+inttostr(BC_ServiceKill('LckFldService')) );  DeleteFile('c:\windows\system32\lckfldservice.exe');  DeleteFile('C:\WINDOWS\System32\Drivers\krtmjtlk.sys');  DeleteFile('C:\Documents and Settings\User\Application Data\juzjf.exe');  DeleteFile('C:\Documents and Settings\User\Application Data\nsvb.exe');  DeleteFile('C:\Documents and Settings\User\Application Data\juzjf.exe');  DeleteFile('C:\Documents and Settings\User\dxlo.exe');  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); {удаление нестандартного диспетчера задач}  BC_ImportAll; ExecuteSysClean;  SaveLog(GetAVZDirectory+'avz_log.txt');  SetAVZPMStatus(true);  BC_Activate;  RebootWindows(true); end.   Система перезагрузится. После перезагрузки: - Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Обновите базы AVZ!!! Если заражённый компьютер по каким-то причинам не может связаться с Интернет, базы AVZ скачайте отсюда и распакуйте в папку ..\avz\base на заражённом компьютере, после чего перезапустите AVZ. - Сделайте повторные логи - Включите Антивирус и Файрвол - Подключите ПК к интернету/локальной сети - Выполните скрипт: Код:   var   qfolder: string;   qname: string; begin   qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';   qfolder := ExtractFilePath(qname);   if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);   CreateQurantineArchive(qname);   ExecuteFile('explorer.exe', qfolder, 1, 0, false); end.   По окончанию Вам откроет папку с архивом. Это - карантин. - Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь. - Прикрепите новые логи, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению в этой ветке. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 14:27 13-12-2010

Urgva Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте! новые логи http://www.mediafire.com/?mhi3056ins9kgkq   quarantine.zip оказался пустым Всего записей: 3 | Зарегистр. 13-12-2010 | Отправлено: 06:57 14-12-2010 | Исправлено: Urgva, 07:02 14-12-2010

HEXFIX Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте.   Периодически от провайдера приходит сообщение о рассылке спама с моего ПК. Также заметил, что регулярно стало слетать системное время, что очень плохо сказывается на триальных версиях программ. Провёл последовательность действий согласно шапке (АВ ничего подозрительного не нашли).   info.txt log.txt virusinfo_syscure.zip Всего записей: 306 | Зарегистр. 29-03-2010 | Отправлено: 10:42 14-12-2010

Urgva Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Похоже что решена! спасибо братцы Всего записей: 3 | Зарегистр. 13-12-2010 | Отправлено: 13:48 14-12-2010

setwolk Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору densavochkin Cureit последним протестите систему, если это троян32, то он его найдет и бахнет Всего записей: 1418 | Зарегистр. 16-02-2010 | Отправлено: 08:37 16-12-2010

gjf Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору densavochkin - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Антивирус и Файрвол. - Выполните скрипт: Код:   Function DelAppInit_DLLsByFileName(Name : string) : boolean; const  RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows'; var    AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;  n,p : integer; begin  Result := false;  Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;  Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', '  ') + ' ';  if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;  Temp := Temp_AppInit_DLLs;  while pos(Name, Temp) > 0 do   begin   Inc(p);   Delete(Temp, pos(Name, Temp), Length(Name));   end;  Temp := '';  while pos(' ', Temp_AppInit_DLLs) > 0 do   begin   If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then    begin    If n > 1 then Temp := Temp + ',';    If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';    If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then    Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));    n := 0;    end;   Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);   end;  while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');  while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);  while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);  Temp_AppInit_DLLs := Temp + ',';  Temp := '';  while pos(',', Temp_AppInit_DLLs) > 0 do   begin   If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then   If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then     Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');   Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));   end;  Temp_AppInit_DLLs := Temp + ',';  while pos(',', Temp_AppInit_DLLs) > 0 do   begin   If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then   If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then   AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));   Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));   end;  If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);  RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);  If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true; end;   begin SearchRootkit(true, true); SetAVZGuardStatus(True);  DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}  QuarantineFile('C:\Program Files\\Outlook Express\setup50.exe','');  DelCLSID('38DWED15-27U1-Q8Y8-PMTK-Y534T5N71VT4');  QuarantineFile('C:\WINDOWS\system32\WinDir\Svchost.exe','');  QuarantineFile('0.exe','');  DelAppInit_DLLsByFileName('0.exe');  DeleteFile('C:\WINDOWS\system32\WinDir\Svchost.exe');  BC_ImportAll; ExecuteSysClean;  ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}  BC_Activate;  RebootWindows(true); end.   Система перезагрузится. После перезагрузки: - Очистите темп-папки, кэш проводников и корзину. - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!! - Сделайте повторные логи   - Включите Антивирус и Файрвол - Подключите ПК к интернету/локальной сети - Выполните скрипт: Код:   var   qfolder: string;   qname: string; begin   qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';   qfolder := ExtractFilePath(qname);   if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);   CreateQurantineArchive(qname);   ExecuteFile('explorer.exe', qfolder, 1, 0, false); end.   По окончанию Вам откроет папку с архивом. Это - карантин. - Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь. - Прикрепите новые логи к новому сообщению в этой ветке. ---------- Тут могла бы быть Ваша реклама... или эпитафия Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:33 16-12-2010 | Исправлено: gjf, 12:35 16-12-2010

setwolk Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Farazon Уважаемый, здесь обсуждают конкретно случаи заражения...   По сабжу попробуйте, AVZ. Все виснет это ничего не открывается? Или же надо reboot делать? Всего записей: 1418 | Зарегистр. 16-02-2010 | Отправлено: 08:59 20-12-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование