Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
ZokbI4



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WoiaW
используйте антивирус, например касперский
 
Добавлено:
WoiaW
используйте антивирус, например касперский

Всего записей: 209 | Зарегистр. 16-05-2002 | Отправлено: 09:02 13-03-2011
WoiaW

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
не один антивирус его не определяет!

Всего записей: 4 | Зарегистр. 12-02-2011 | Отправлено: 11:58 13-03-2011
vbrv

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WoiaW
Если он восстанавливается на флешке, значит заражена система и сначала надо вылечить её.
Чем-как пробовал лечить?

Всего записей: 65 | Зарегистр. 01-02-2009 | Отправлено: 12:50 13-03-2011
WoiaW

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
переустановой! на другом компе вообще говорит, что файл защищён!

Всего записей: 4 | Зарегистр. 12-02-2011 | Отправлено: 13:52 13-03-2011
vbrv

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WoiaW
Проверь систему Dr.Web CureIt! и Kaspersky Virus Removal Tool.
И ещё Portable Malwarebytes Anti-Malware 1.50.1.1100 Final - как скачаешь, запусти и обнови базы (на другом компе например).

Всего записей: 65 | Зарегистр. 01-02-2009 | Отправлено: 19:34 13-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WoiaW
Чтобы Вам могли квалифицированно помочь, выполните указания из шапки.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 21:06 13-03-2011
WoiaW

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проверь систему Dr.Web CureIt! и Kaspersky Virus Removal Tool.  
И ещё Portable Malwarebytes Anti-Malware 1.50.1.1100 Final - как скачаешь, запусти и обнови базы (на другом компе например).
 
^
 
Нет, они не находят!

Всего записей: 4 | Зарегистр. 12-02-2011 | Отправлено: 12:04 14-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WoiaW
Последнее предупреждение

Цитата:
ВНИМАНИЕ!!! В данной ветке вольное общение по теме и без не приветствуется, всё только согласно приведенным правилам и только в тему!



----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:20 14-03-2011
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброе время суток. Это снова я с очередным вирусом у моего коллеги. Ситуация очень сильно напоминает http://virusinfo.info/showthread.php?t=94486
 
Логи http://rghost.net/4805272 я сделал. Лог Gmer пока не делал.  
Подозрение вызывает одна dll (имя файла, кажется, начинается на t)
 
Попутно есть вопрос общего характера: а можно где-то в Москве пройти обучение, чтобы стать хотя бы учеником хелпера

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 10:06 17-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:

Код:
Function DelAppInit_DLLsByFileName(Name : string) : boolean;
const
 RegKey = 'Software\Microsoft\Windows NT\CurrentVersion\Windows';
var  
 AppInit_DLLs,Temp_AppInit_DLLs,Temp : string;
 n,p : integer;
begin
 Result := false;
 Name := LowerCase(Name); AppInit_DLLs := ''; n := 0; p := 0;
 Temp_AppInit_DLLs := StringReplace(LowerCase(RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs')), ',', '  ') + ' ';
 if (Temp_AppInit_DLLs = ' ') or (pos(Name, Temp_AppInit_DLLs) = 0) then exit;
 Temp := Temp_AppInit_DLLs;
 while pos(Name, Temp) > 0 do
  begin
  Inc(p);
  Delete(Temp, pos(Name, Temp), Length(Name));
  end;
 Temp := '';
 while pos(' ', Temp_AppInit_DLLs) > 0 do
  begin
  If Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) <> '' then
   begin
   If n > 1 then Temp := Temp + ',';
   If pos(':\', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then Temp := Temp + ',';
   If pos('.', Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1)) > 0 then
   Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs) - 1) + ',' else Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs));
   n := 0;
   end;
  Delete(Temp_AppInit_DLLs, 1, pos(' ', Temp_AppInit_DLLs)); Inc(n);
  end;
 while (pos(',,', Temp) > 0) or (pos(' ,', Temp) > 0) do Temp := StringReplace(StringReplace(Temp, ',,', ','), ' ,', ',');
 while (pos(Copy(Temp, 1, 1), ' ,') > 0) do Delete(Temp, 1, 1);
 while (pos(Copy(Temp, Length(Temp), 1), ' ,') > 0) do Delete(Temp, Length(Temp), 1);
 Temp_AppInit_DLLs := Temp + ',';
 Temp := '';
 while pos(',', Temp_AppInit_DLLs) > 0 do
  begin
  If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
  If pos('\', Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) > 0 then  
  Temp := Temp + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)) else Temp := Temp + StringReplace(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs)), ' ', ',');
  Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
  end;
 Temp_AppInit_DLLs := Temp + ',';
 while pos(',', Temp_AppInit_DLLs) > 0 do
  begin
  If Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) <> '' then
  If (Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1) = Name) or ((p <= 1) and (ExtractFileName(Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs) - 1)) = Name)) then
  AppInit_DLLs := AppInit_DLLs else AppInit_DLLs := AppInit_DLLs + Copy(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
  Delete(Temp_AppInit_DLLs, 1, pos(',', Temp_AppInit_DLLs));
  end;
 If Copy(AppInit_DLLs, Length(AppInit_DLLs), 1) = ',' then Delete(AppInit_DLLs, Length(AppInit_DLLs), 1);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', RegKey, 'AppInit_DLLs', AppInit_DLLs);
 If RegKeyStrParamRead('HKLM', RegKey, 'AppInit_DLLs') = AppInit_DLLs then Result := true;
end;
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;  
KeyList : TStringList;
KeyName : string;                            
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                            
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                      
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then                
     Result := Result or 8;                  
   end;
  end;                  
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
 
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 BC_ServiceKill('Dup',false);
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\dup.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ag2xc3ob.sys','');
 QuarantineFile('C:\Documents and Settings\Андрей\Application Data\drm\drm.exe','');
 QuarantineFile('C:\WINDOWS\system32\tvyblpj.dll','');
 QuarantineFile('C:\Documents and Settings\Андрей\Application Data\drm\theme.dll','');
 DeleteFile('C:\WINDOWS\system32\tvyblpj.dll');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\dup.sys');
 DelAppInit_DLLsByFileName('C:\WINDOWS\system32\tvyblpj.dll');
 BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(1); {восстановление параметров запуска исполняемых файлов}
 SetAVZPMStatus(true);
 BC_Activate;
 RebootWindows(true);
end.

Система перезагрузится. После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антивирус и Файервол
- Подключите ПК к интернету/локальной сети
- Выполните скрипт:

Код:
 
var
  qfolder: string;
  qname: string;
begin
  qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
  qfolder := ExtractFilePath(qname);
  if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
  CreateQurantineArchive(qname);
  ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.
 

По окончанию Вам откроет папку с архивом. Это - карантин.
- Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь. Также логи отправьте по электронной почте, как указано в шапке.
- Прикрепите новые логи к новому сообщению в этой ветке.  
 

Цитата:
можно где-то в Москве пройти обучение

Можно и не только в Москве.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:24 17-03-2011
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
- Закройте все программы, включая Антивирус и Файрвол,

Цитата:
- Включите Антивирус и Файервол  

Просьба уточнить: важно именно закрыть антивирус? Или можно его выключить (выгрузить)?
Дело в том, что я не знаю, как выйти из Dr. Web Я знаю только как его временно отключить, но сам Dr. Web при этом отстанется загруженным.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 10:00 18-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
Именно

Цитата:
можно его выключить (выгрузить)

Просто если он внезапно заблокирует какой-то файл - скрипт отработает не так, как нужно.
 
P.S. Хотя многие забывают это сделать - что ж, приходится и так работать...

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 12:20 18-03-2011
SuperSarge



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если не удается очистить папки с помощью AVZ (что-то его вдруг блокирует)
 
Загрузитесь с ERD Commander (или другой PE загрузочной системы) выберите необходимую систему и чистите на здоровье папки и реестр, только аккуратно иначе винда крякнется. Чистка с помощью ERD намного эффективней, так как вирусы часто имеют своих спутников-помощников, вы его удалите, а он создался в другом месте через определенное время.
 
Сталкивался с такой фигней. Erd Commander пока лучшее решение
Скачать его можно в DC (erd commander 2008, например, есть сборки 3 в 1)

Всего записей: 65 | Зарегистр. 06-03-2011 | Отправлено: 08:16 19-03-2011
Eviuss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день! Мальчики помогите, пожалуйста, женщине!!! Полагаю, что моя любопытная дочь, поковырявшись в реестре, чего-то там удалила(застала ее за данным занятием), а может вирус какой забрел, т.к. лицензионный Каспер перед этим подавал какие-то знаки оранжевого цвета, но сам себе разрешал действия. Теперь при запуске любой программы на любом диске компьютер выдает : Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет прав доступа к этому объекту. Антивирус не запускается, значок Касперского на панели тоже исчез.

Всего записей: 17 | Зарегистр. 19-10-2010 | Отправлено: 16:50 19-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Eviuss
А если загрузиться в безопасном режиме?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 16:58 19-03-2011
Eviuss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господи, помоги мне! Это как?
 
Добавлено:
Запустилась в безопасном режиме. Ничего не изменилось...

Всего записей: 17 | Зарегистр. 19-10-2010 | Отправлено: 17:01 19-03-2011
gapoo



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Eviuss
Жмите F8 в конце отработки БИОСа - т. е. конце загрузки при чёрно-белом экране (когда пробегут все записи), это где-то 5-я - 10-я секунда работы.
В меню выбора типов загрузки выберите "загрузка последней удачной конфигурации с работоспособными параметрами"

Всего записей: 259 | Зарегистр. 02-03-2006 | Отправлено: 17:28 19-03-2011 | Исправлено: gapoo, 17:28 19-03-2011
Eviuss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К сожалению, изменений нет. Может можно как-то восстановить реестр? Восстановить систему не могу, в результате все той же ошибки. Из многочисленной  информации на форуме поняла, что это может быть вирус, но как его пропустил Каспер???

Всего записей: 17 | Зарегистр. 19-10-2010 | Отправлено: 17:42 19-03-2011
rodrigo_f



Gold Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Eviuss

Цитата:
Антивирус не запускается, значок Касперского на панели тоже исчез.  

А работает его функция, например - мышкой указать на какую либо папку и правой кнопкой - "Проверить на вирусы" - работает и есть ли.
Если есть - проверьте ваш комп на вирусы. И посмотрите его отчет за тот период, когда заглючила система. Если нет, попробуйте переустановить антивирус. Или скачиваете в инете образ загрузочного CD-диска с Drweb-ом и проверяете ваш винт - смотрите в шапке темы указано.

----------
U=I*R

Всего записей: 9394 | Зарегистр. 25-08-2007 | Отправлено: 18:39 19-03-2011
Eviuss

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сейчас пытаюсь скачать утилиту с Drweb, но боюсь откроется ли? Пыталась переустановить антивирус - ни фига не открывается, не переустанавливается (выдает все ту же фразу), проверка на вирусы ничего не дает - попросту не реагирует комп на это и все. Спасибо за ответы! Информации в нете море, А каждый случай - частный. Я пока ничего не нарыла для себя и выхода не вижу!!! Нас "чайников" часто упрекают в нежелании потратить деньги на мастера. Но после одного сгорела видеокарта, другие брали деньги за вызов, а проблема оставалась с их всевозможными предположениями происходящего(видать толковых мало). Поэтому, Господа, надеюсь на тех, у кого есть опыт по данному вопросу!
 
 
Дружище Drweb сигнализирует об отсутствии каких-либо вирусов на компьютере. Мой мозг плавится...Работать не могу!

Всего записей: 17 | Зарегистр. 19-10-2010 | Отправлено: 18:59 19-03-2011 | Исправлено: Eviuss, 11:45 20-03-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru