Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ramzes83
1. C:\Program Files\Remote Manipulator System - Server\rutserv.exe  - это Вы устанавливали?
2. Сделайте лог с помощью MBAM.


----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:32 03-03-2011
ramzes83



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
да. это аналог радмина. там все чисто
Подробнее...
так-то эти файлы последствия активации венды... и одного вьвера паролей. можно убивать)
:\eset_eternal_trial\wpa_kill2\antiwpa_crypt.dll (Hacktool) -> No action taken.
c:\program files\elcomsoft\advanced registry tracer\uninstall.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\oobe\antiwpa_crypt.dll (Hacktool) -> No action taken.

Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 13:50 03-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ramzes83
Удалите в MBAM.

Код:
e:\rezerv_copy\_tub\ws 1 lab\c\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
e:\rezerv_copy\_tub\ws3 doc\disk C\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.  

Потом лог повторить.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 14:04 03-03-2011
shamo365

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
В общем хотел сделать все то, что написано, но KIS 2011 не хочет обновляться, выдает ошибку 80000100
Система - 7ка х64 SP1. Касперский AVP пока ничего не нашел.
Каждые секунд 10 появляется окно "Запуск программы невозможен, так как на компьютере отсутствует wininet.dll..." хотя этот файл есть. Есть мысль, что это появилось после установки последнего IE9 с сайта майкрофоста, потому что после перезагрузки это началось, папки открываются каждая в новом окне, хотя стоит чтобы в одном окне открывалось.
Пробовал удалить wininet.dll но он не удаляется никак, даже когда я загрузил с СД диска систему, даже в безопасном режиме, атрибуты того, кто что может с ним делать (ну система или админ) не меняются.
чуть позже сделаю все логи, а то не хочется ставить систему с 0

Всего записей: 2 | Зарегистр. 04-03-2011 | Отправлено: 18:40 04-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shamo365

Цитата:
чуть позже сделаю все логи

Вот как только - так и сразу.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 19:02 04-03-2011
shamo365

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KIS 2011 и RemoveTools ничего не нашли, а AVZ не запускается, пишет снова за этот dll

Всего записей: 2 | Зарегистр. 04-03-2011 | Отправлено: 21:28 04-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
shamo365
В меню Пуск выберите "Выполнить..." и введите "cmd". В открывшемся окне введите следующую команду и нажмите Enter.

Код:
sfc /scannow

Может потребоваться дистрибутив Windows, с которого производилась установка системы. Системные файлы восстановятся.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 00:27 05-03-2011
ramzes83



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
добрый день. с тем компом пока завязал. Поставил новую систему. сразу антивир NOD32. после включения в общуюю сеть сразу полезла эта зараза. Общие признаки тут http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=840#21
 Чистая венда XP-SP3. установил неделю назад примерно. Последнее что ставил, так это пунтосвичер с офсайта. Еще вчера ночью все было чисто (работал удаленно). Сегодня все компы в сетке включились. и сразу после включения моего подопытного все повторилось.  
 
логи http://zalil.ru/30638394
c:\WINDOWS\system32\oobe\antiwpa_crypt.dll   - удалил, пока не появлялось...  
софт AxxonSoft\AxxonSmart\ установил практически сразу после чистой установки Windows - зараза появилась только сегодня.
 
вот отчет по файлу с цифровым именем, к которому идет запрос
http://www.virustotal.com/file-scan/report.html?id=3c51af703a2c99cedc3afd7c015f77ce15272abc4ca24cc5178c7eea2e0cd7ae-1299653271
библиотека aaaamon.dll
http://www.virustotal.com/file-scan/report.html?id=7a5aac31d712ac62f9254c7ec31d5b1b7c67f30e36994c331ba0558ae0208e6e-1299653320

Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 09:56 09-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ramzes83
- Выполните скрипт:

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\cam\LOCALS~1\Temp\2G7e2Pt8.sys','');
 QuarantineFile('C:\WINDOWS\system32\01.exe','');
 QuarantineFile('C:\WINDOWS\system32\05.exe','');
 QuarantineFile('C:\WINDOWS\system32\30.exe','');
 QuarantineFile('C:\WINDOWS\system32\81.exe','');
 DeleteFile('C:\DOCUME~1\cam\LOCALS~1\Temp\2G7e2Pt8.sys');
 DeleteFile('C:\WINDOWS\system32\01.exe');
 DeleteFile('C:\WINDOWS\system32\05.exe');
 DeleteFile('C:\WINDOWS\system32\30.exe');
 DeleteFile('C:\WINDOWS\system32\81.exe');
 BC_ImportAll;
ExecuteSysClean;
 SetAVZPMStatus(true);
 BC_Activate;
 RebootWindows(true);
end.

 
Система перезегрузится. После перезагрузки - логи заново.
Карантин пришлите на почту в шапке темы.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:06 09-03-2011 | Исправлено: gjf, 12:08 09-03-2011
ramzes83



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
лог http://zalil.ru/30639030
после выполнения скрипта (удаления драйвера) появилось неизвестное устройство. Код экземпляра устройства: "ROOT\LEGACY_UZEXODK5\0000" , код ID - пустое поле. автоматическая установка драйвер не установила. Письмо на почту отправил.
 следом вопрос. если вылечим машину (в чем уврен)) как в сети вычислить. откуда идет эта шняга?.. всего около 50 компов...  
 Так-то немного грешу на NOD32.. есть лицензионный DrWeb, но машина старая, и он вешает систему намертво... изменил настройки нода - абсолютная защита.. (хотя это в другую верку.. )
 на 3 других машинах проявлялось пару-тройку дней, потом пропало, хотя цифровыые файлы лежат на месте.. "sys" не искал. не обратил внимание..

Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 12:43 09-03-2011 | Исправлено: ramzes83, 12:53 09-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ramzes83
Чисто. Чистим хвосты, выполните скрипт:

Код:
begin
 ExecuteStdScr(6);
 SetAVZPMStatus(false);
 RebootWindows(false);
end.

 
Компьютер перезагрузится.
 

Цитата:
после выполнения скрипта (удаления драйвера) появилось неизвестное устройство. Код экземпляра устройства: "ROOT\LEGACY_UZEXODK5\0000" , код ID - пустое поле. автоматическая установка драйвер не установила.

Это - нормально, это было нужно для проверки. Больше такого не будет.

Цитата:
 как в сети вычислить. откуда идет эта шняга?.. всего около 50 компов...

Боюсь, что в данном случае никак.

Цитата:
хотя цифровыые файлы лежат на месте..

Содержимое "цифровых файлов", которые Вы мне выслали, говорит о том, что они - пустышки, оставленные после лечения Eset'ом. Удалите их вручную.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 13:05 09-03-2011
ramzes83



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
спасибо. пока чисто) весьма странно, так как ни чего нового не качал с сети.. софт брал проверенный ранее... как этот драйвер через фаервол нодовски пролез.. дырки видно остались..  на других машинах повнимательнее отнестись к файлам sys в неположенных местах?.. дабы не отвлекать вас))) ксатти, а этот файл QuarantineFile('C:\DOCUME~1\cam\LOCALS~1\Temp\2G7e2Pt8.sys' остался у меня?? он зашифрован как-то в карантине? - для изучения.. или может ссылку, где про него почитать можно...

Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 13:26 09-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ramzes83
У Вас фактически ничего не было - в основном грязь в реестре.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 13:40 09-03-2011
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Телефончик Билайн 89626952469 просит 400 руб - У Каспера, ESET, drWeb кода разблокировки нет (или их много). Может пробегал код разблокировки?  

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 11:11 11-03-2011
ramzes83



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
serg53

Цитата:
или их много

так вот надо попробовать сначала их. а если лень (как мне), то грузиться с лайвCD, и проверять реестр

Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 12:13 11-03-2011
serg53



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ramzes83

Цитата:
ак вот надо попробовать сначала их. а если лень (как мне), то грузиться с лайвCD, и проверять реест

Не хотелось идти  Тяпница... Хотелось по телефону все сделать....

Всего записей: 967 | Зарегистр. 11-12-2006 | Отправлено: 12:18 11-03-2011 | Исправлено: serg53, 12:19 11-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ramzes83
serg53


Цитата:
ВНИМАНИЕ!!! В данной ветке вольное общение по теме и без не приветствуется, всё только согласно приведенным правилам и только в тему!

 
По разблокировке сюда.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:28 11-03-2011
mih_s



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ищу скрипт типа такого :
 
Мастер поиска и устранения проблем -->  
 
--> Системные проблемы -->выбрать "Все проблемы" --> Пуск --> отметить все найденные проблемы --> выполнить "Исправить все отмеченные проблемы"
 
--> Настройки и твики браузера --> выбрать "Все проблемы" --> Пуск --> отметить все найденные проблемы --> выполнить "Исправить все отмеченные проблемы"
 
--> Приватность --> выбрать "Все проблемы" --> Пуск --> отметить все найденные проблемы --> выполнить "Исправить все отмеченные проблемы"
 
--> Чистка системы --> выбрать "Все проблемы" --> Пуск --> отметить все найденные проблемы --> выполнить "Исправить все отмеченные проблемы"
 
Перезагрузить систему

Всего записей: 899 | Зарегистр. 30-08-2010 | Отправлено: 16:59 11-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mih_s
Шапку читать будем? За скриптами сюда.


----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:09 11-03-2011
WoiaW

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добро в форум! Я подхватил вирус SCVHOST.exe
удалил, а на флешке от него образовалось new folder.exe!
Я через winRar его переименовал в N.txt,, что бы как-то приостановить его работу!
Удалить его не могу!!! Он сам себя через секунду создаёт!
Удалил с флешки recycle, restore! Толку нет!
 
autorun.inf защищён через командную строку! Т.е. вирус его не удалит!

Всего записей: 4 | Зарегистр. 12-02-2011 | Отправлено: 06:55 13-03-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru