Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
Kaile



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Сделал как написано. Отключил сетевой инет шнур, вышел из касперского. Выполняю скрипт при открытой Опере - после начала, немного погодя, вылетает синий экран смерти - там ошибка 0000000019 и бигинин дамп физической памяти. Итак 2 раза, на третий раз скрипт выполнен. Правда, когда выполнял ранее этот скрипт, но при не отключенном инет шнуре, то синего экрана не было.  
 
http://zalil.ru/30718837 - лог AVZ
http://zalil.ru/30718854 - инфо.тхт rsit  
http://zalil.ru/30718857 - лог.тхт rsit

Всего записей: 2408 | Зарегистр. 04-04-2009 | Отправлено: 20:36 22-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kaile
Ничего вредоносного не обнаружено.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 21:24 22-03-2011
pingvin7



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
С данным вирусом (который залетел ко мне 3 месяца назад)  RSIT.exe (в любом режиме, до переустановки Windows вываливался) и avz.exe при попытке включить AVZGuard даже в защищенном режиме давал ошибку до переустановки Windows. Этот вирус переворачивает изображение в Windows Media Plater и заточен под Денвер (в файл host добавляет слово  subdomain) и под Мозиллу – искажает изображение). Антивирус – avast (ни чего не находит).
AVPTool запускаемый перед Dr. Web CureIt не когда ни чего вредного не находил, а Dr. Web CureIt один раз (до переустановки Windows) нашёл и удалил вирус, но после этого не желательные проявления остались. Я полагал из-за оставшихся настроек в реестре.
AVZ – ни когда ни чего вредного не находила и не удаляла (я её всегда запускаю с максимальными настройками (и из скрипта в шапке), поиск на диске С: и в дистрибутивах – если переустанавливаю Windows то вирус появляется, хотя я к сети не подключался) (до переустановки Windows  в ней не запускался  AVZGuard, даже в защищённом режиме). Сейчас запускается и он и RSIT, но вирус есть .
После установки Windows я первым делом устанавливаю новую версию антивируса (сохранённую ранее) и сделал все запреты из книги Николая Головко “Безопасный Интернет”. Потом подключился к Интернет с ограниченными правами. Я давно работаю под пользователем с ограниченными правами. Сейчас подозрения на файл C:\Program Files\VisualTaskTips\VisualTaskTips.exe размером 65 536 датой 23.06.2008 запускаемым из проводника C:\WINDOWS\Explorer.EXE – о чём говорит антивирус. У меня XP SP3.
Чё делать?
http://vakuzmenok.narod.ru/viris/info.txt  
http://vakuzmenok.narod.ru/viris/log.txt
http://vakuzmenok.narod.ru/viris/virusinfo_syscheck.htm
http://vakuzmenok.narod.ru/viris/virusinfo_syscheck.xml
Вопрос к знатокам:
Можно ли изменить файл устанавливаемый Windows и имеющий (вероятно цифровую) подпись от Микросовт (эта подпись видна в проводнике, реально ли её подделать)?

Всего записей: 43 | Зарегистр. 31-03-2009 | Отправлено: 22:04 22-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pingvin7
Подделать нереально. Вирусов у Вас не видно. Темы из интернета, которые просили патчить системные файлы, устанавливали? Сборка Windows - официальная, или что-то типа ZverCD?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 22:16 22-03-2011
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VisualTaskTips - программа, которая показывает миникартинку окна запущенных программ, свернутых на Панель задач

Всего записей: 247 | Зарегистр. 16-07-2007 | Отправлено: 00:31 23-03-2011
RSEREGAR



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pingvin7

Цитата:
Чё делать?

Лечится от паранойи или установить Linux какой нибудь. Самый страшный вирус сидит перед монитором.

Всего записей: 702 | Зарегистр. 26-10-2008 | Отправлено: 04:39 23-03-2011 | Исправлено: RSEREGAR, 04:42 23-03-2011
pingvin7



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Темы из интернета, которые просили патчить системные файлы, устанавливали?

нет

Цитата:
Вирусов у Вас не видно.  

Значит сейчас вируса нет.
Но что-то при загрузки правит host - файл (каждый раз) (и это устанавливается с дистрибутива.), об этом говорит и Dr. Web CureIt.
Если переустраивать Windows, то опять будет то же самое.
thyrannosaurus - спасибо.
 
 

Всего записей: 43 | Зарегистр. 31-03-2009 | Отправлено: 10:34 23-03-2011 | Исправлено: pingvin7, 10:43 23-03-2011
RSEREGAR



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pingvin7

Цитата:
Если переустраивать Windows, то опять будет то же самое.

Значит autorun.inf в корне какого то диска (не системного) остался

Всего записей: 702 | Зарегистр. 26-10-2008 | Отправлено: 16:59 23-03-2011
Mushroomer



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf
Цитата:
Устройство - то я сделал, оно было нужно для увеличения "глубины сканирования". Сейчас уберём. Выполните скрипт:
Срипт выполнил. Устройство исчезло. Но (думаю, что связи нет, но как-то совпало) практически сразу Drweb стал ловить вирусы и произошло новое заражение.  
Симптом: перестал запускатьcя Internet Explorer
Вот новые логи. http://rghost.net/4898591
в самом конце файла avz_sysinfo.htm имхо есть кое-то подозрительное.

Всего записей: 22839 | Зарегистр. 19-01-2002 | Отправлено: 21:51 23-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mushroomer
Да, есть. Выполните скрипт:

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

 
Добавлено:
Проверьте, есть ещё проблемы?

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 23:46 23-03-2011
pingvin7



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При установки Windows я форматировал системный диск. В загрузочных секторах дисков D,I – Dr.Web CureIt и AVZ включенный на максимум ничего не нашли, а файл host меняется при каждом запуске. В папку "System Volume Information" на несистемных дисках, где как я подозреваю находится файл autorun.inf (в корне этого файла нет), но я не могу зайти в этот подкаталог хотя в Свойствах папки галочка “показывать системные файлы и папки”-точка стоит, а “скрывать защищенные системные файлы”-нет галочки –эта папка полупрозрачная как и корзина, хотя в корзину я вхожу запросто. А в защищенном режиме эта папка в Проводнике совсем не видна, а из Нортона не входит, хотя галочки стоят как надо.

Всего записей: 43 | Зарегистр. 31-03-2009 | Отправлено: 19:21 24-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pingvin7
Описанное - нормальное поведение здоровой системы с файловой системой NTFS.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 20:22 24-03-2011
Erekle



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте (не по лечению и не с рекомендациями по проблемам).
 
pingvin7, для System Volume Information надо ещё присвоить себе права на папку в её свойствах (вкладка "безопасность").
На несистемных дисках восстановление системы абсолютно не нужно. Для этих дисков отключите восстановление в Свойствах Системы.
 
gjf, у меня hosts не меняется. Это после SP2?

Всего записей: 1554 | Зарегистр. 13-10-2004 | Отправлено: 02:15 25-03-2011
pingvin7



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Описанное - нормальное поведение здоровой системы с файловой системой NTFS.

Вероятно я или антивирусы автоматом удалили вирус, а последствия остались.
 
 
 
Добавлено:
Erekle:

Цитата:
для System Volume Information надо ещё присвоить себе права на папку в её свойствах (вкладка "безопасность").

В Панели управления нет такой вкладки, нет и в Свойствах папки ни в Проводнике, а где она?  
P.S. У других папок в Проводнике вкладки Безопасность тоже нет.

Всего записей: 43 | Зарегистр. 31-03-2009 | Отправлено: 11:09 25-03-2011 | Исправлено: pingvin7, 12:42 25-03-2011
alexpost777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pingvin7

Цитата:
В Панели управления нет такой вкладки, нет и в Свойствах папки ни в Проводнике, а где она?  
P.S. У других папок в Проводнике вкладки Безопасность тоже нет.

Почитай здесь: http://daxa.com.ua/forum/topic_windows/id33/

Всего записей: 25 | Зарегистр. 17-06-2009 | Отправлено: 21:13 25-03-2011 | Исправлено: alexpost777, 21:24 25-03-2011
Kaile



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gjf

Цитата:
Kaile  
Ничего вредоносного не обнаружено.

 
Проверил на сайте Касперского файл PKey.exe - результат -  инфицирован тел вирус - PSWTool.Win32.ProductKey.b.  
 
PSWTool:
Программы, позволяющие просматривать или восстанавливать забытые (часто — скрытые) пароли. С таким же успехом в подобных целях данный тип программ может быть использован злоумышленниками.
 
Или это не вирус? Если вирус, то как его побороть? - может вообще удалить этот файл PKey.exe из папки WINDOWS/System32. Или этот файл нужен для работы ОС, только он просто инфицирован (заражен) этой программой PSWTool и, если этот файл PKey.exe нужен для работы ОС, то его можно как-то вылечить?
 

Всего записей: 2408 | Зарегистр. 04-04-2009 | Отправлено: 21:50 25-03-2011
gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Kaile
Это не вирус.

----------
Тут могла бы быть Ваша реклама... или эпитафия

Всего записей: 11401 | Зарегистр. 14-03-2007 | Отправлено: 22:48 25-03-2011
Kaile



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Понятно, спасибо. Странно для меня, что производитель этого файла 1.0.7.0. ProduKey,  из системной папки (Microsoft) - NirSoft, а не Microsoft.

Всего записей: 2408 | Зарегистр. 04-04-2009 | Отправлено: 05:49 26-03-2011
pingvin7



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я случайно под Администратором подключился к Интернету и сразу появились изменения в оформлении, которые исчезли после запуска Dr. Web CureIt и AVZ - которые ничего не нашли (они не нашли и старый безобидный вирус, который раньше находили в дистрибутиве и я предлагал его оставить (я его ни когда не трогал и не запускал)).

Всего записей: 43 | Зарегистр. 31-03-2009 | Отправлено: 18:44 26-03-2011
zemlyanskik



Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
http://radikal.ru/F/s002.radikal.ru/i199/1103/95/7d1665f32991.jpg.html
такой вопрос-стоит Веб 6 с журнальным ключом,он постоянно блокирует сайт antiddos.biz,откуда этот сайт ко мне ломится,я туда не захожу,ничего Оперой не открываю,стоит перезагрузить любую страницу,он тут,как тут,Вебом проверял-ничего,что за фигня!!На скрине уже другой сайт ,их два.Тоесть вредный сайт пытается через себя пропускать нужный сайт.Куки и кешь чистил,в реестре один сайт нашёл удалил,но ничего непомагло.И ещё месяца два назад заметил,что исходящий трафик при загрузке страницы увеличелся,при закачке нет.
Скрипт,что в шапке всем подходит? и как здесь zip файлы крепить в сообщении?

Всего записей: 333 | Зарегистр. 15-09-2009 | Отправлено: 01:22 29-03-2011 | Исправлено: zemlyanskik, 01:47 29-03-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru