Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Открыть новую тему     Написать ответ в эту тему

gjf



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
КВАЛИФИЦИРОВАННАЯ ПОМОЩЬ БОЛЕЕ НЕ ОКАЗЫВАЕТСЯ!!!
ПРОСЬБА ЗАКРЫТЬ ТЕМУ

 

Всего записей: 11444 | Зарегистр. 14-03-2007 | Отправлено: 17:34 18-03-2010 | Исправлено: gjf, 02:10 04-06-2013
rr3

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WinXP SP3
При любой попытке соединения с Интернетом lsass начинет стучаться на два каких-то "левых" адреса (91.213.ххх.ххх), после чего (через 1-2 сек) "подвешивет" комп. Регулярно в самых разных местах натыкаюсь на пустой файл tmp.tmp . Антивирус AVG и AVPTool 9.0.0.722_03.08.2010_17-23 ничего не находят.
 
http://rghost.ru/2272115 virusinfo_syscure.zip
http://rghost.ru/2272120 virusinfo_syscheck.zip
http://rghost.ru/2272142 hijackthis.log
 
Примечание: "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" запускался без соединения с сетью Интернет.

Всего записей: 52 | Зарегистр. 16-08-2005 | Отправлено: 11:37 05-08-2010 | Исправлено: rr3, 11:50 05-08-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rr3
 
Выполните скрипт в AVZ

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mkvarvvt.dll','');
 DeleteFile('C:\WINDOWS\system32\mkvarvvt.dll');
DeleteFile('C:\WINDOWS\system32\tmp.tmp');
RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.  
Компьютер перезагрузится.
 
Выполните скрипт в AVZ

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте на newvirus@tut.by с указанной ссылкой на тему
 
Сделайте новые логи + сообщите, решена ли проблема

Всего записей: 250 | Зарегистр. 16-07-2007 | Отправлено: 16:04 05-08-2010
rr3

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
thyrannosaurus
 
Письмо на tut.by отправил.
 
Новые логи:
http://rghost.ru/2277244 virusinfo_syscure.zip
http://rghost.ru/2277253 virusinfo_syscheck.zip
http://rghost.ru/2277256 hijackthis.log
 
Проблема с lsass устранена, кажется, все в порядке. Спасибо.

Всего записей: 52 | Зарегистр. 16-08-2005 | Отправлено: 22:47 05-08-2010 | Исправлено: rr3, 22:50 05-08-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
rr3
В логах чисто

Всего записей: 250 | Зарегистр. 16-07-2007 | Отправлено: 11:22 06-08-2010
Ptichka80

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго вечера!
 
Я начинала свою тему здесь - http://forum.ru-board.com/topic.cgi?forum=62&topic=21113#1
 
Проблема было в том, что Windows XP не загружалась до конца после заражения вирусом. Мне помог Kaspersky Rescue Disk, который, в отличие от подобного диска др.Веб, нашел целых 7 вирусов в папках system32 и Temp.
Самое главное, что после этого компьютер загрузился! А многие сомневались
 
Спасибо всем за помощь, особенно Twinl!  
 
Теперь надо искать альтернативу своему антивирусу. Наверное, касперского рассмотрю как первый вариант.

Всего записей: 4 | Зарегистр. 06-08-2010 | Отправлено: 18:51 07-08-2010
bomzzz



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
удивительная редкая ситуация доктор всегда касперского побеждает. а тут еще, что доктор вообще такого вируса не знал - не бывалый случай

Всего записей: 13343 | Зарегистр. 13-01-2008 | Отправлено: 19:08 07-08-2010
vmnetwork

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Столкнулся с тем же самым, с этого и юзаю касперского

Всего записей: 2 | Зарегистр. 07-08-2010 | Отправлено: 22:56 07-08-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ptichka80
bomzzz
vmnetwork
 
Тема не для флуда

Всего записей: 250 | Зарегистр. 16-07-2007 | Отправлено: 00:05 09-08-2010
bAPMATYXA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Извиняюсь что не в тему но:  
РУССКАЯ ВЕРСИЯ RSIT
Random's System Information Tool (RSIT).
Итогом сотрудничества коллектива VirusNet и разработчика стала работа над русификацией компонентов и интерфейса утилиты RSIT. Русскоязычный интерфейс позволит любому пользователю уверенно выполнять, требуемые Консультантами, действия.  
Для 32 разрядных версий Windows:
http://www.virusnet.info/random/ru/RSIT.exe
http://www.randomsdomain.co.uk/downloads/ru/RSIT.exe
http://images.malwareremoval.com/random/ru/RSIT.exe
Для 64 разрядных версий Windows:

http://www.virusnet.info/random/ru/RSITx64.exe
http://www.randomsdomain.co.uk/downloads/ru/RSITx64.exe
http://images.malwareremoval.com/random/ru/RSITx64.exe
 
 

Всего записей: 733 | Зарегистр. 20-05-2009 | Отправлено: 14:07 13-08-2010
Nivi777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://rghost.ru/2334619
http://rghost.ru/2334646
 
Проблема вот в чем... ужасно тормозит компьютер - после выбора пользователя, может загружаться минуту-две. Показываются обои рабочего стола и все.Порой и зависает на этой картине... Далее, в IE пропали все панели . Даже адресной строки нет.Ничего. Просто начальная страница и рамочка программы.Всё.
Предположительно , началось всё с того,что во время открытия какого-то сайта, вылетело всплывающее окно.Далее сразу открылось такое - Справка и поддержка Windows и тд...вообщем, сначало,подумал,что это интернет-страница, но присмотревшись, понял, что уж очень не похоже на какую-либо страницу.Как будто и вправду открылась справка Windows... Это окошко было открыто 3-4 секунды ,а потом само закрылось.Как ни в чем не бывало. Комп грузанулся сразу,загрузка ЦП поднялась до 60% вроде...  
Еще смущают процессы wmiapsrv.exe , alg.exe , wmpnetwk.exe ( раньше не было вмп-процесса этого) , jqs.exe , lsass.exe , csrss.exe , smss.exe  
 
Еще забыл добавить. Логи от HJ не могу выложить - при попытке запуска сразу вылетает. Буквально десятую секунды окно весит,потом закрывается. И появляется процесс в папке с HJ - вот такой ~dummy.exe . Через переименнованный - тоже самое...  
Прошу помощи,Господа

Всего записей: 3 | Зарегистр. 13-08-2010 | Отправлено: 14:35 13-08-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nivi777
 
Выполните скрипт в AVZ

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\qxnfiz.exe','');
 QuarantineFile('C:\WINDOWS\system32\e439d588.exe','');
 QuarantineFile('C:\WINDOWS\system32\51f849cd.exe','');
 DeleteFile('C:\WINDOWS\system32\51f849cd.exe');
 DeleteFile('C:\WINDOWS\system32\e439d588.exe');
 DeleteFile('C:\WINDOWS\system32\qxnfiz.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.  
Компьютер перезагрузится.
 
Выполните скрипт в AVZ

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь.
 
Скачайте AVZ 4.34, обновите его базы
 
Сделайте новые логи
 
Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Всего записей: 250 | Зарегистр. 16-07-2007 | Отправлено: 01:01 14-08-2010
Nivi777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://rghost.ru/2340705
http://rghost.ru/2340709
http://rghost.ru/2340704
 
сделать проверку через форму не удается - при загрузке архива по вашей ссылке, страница обновляется и так постоянно. Ничего не происходит.
 
Быстродействие системы вернулось,кстати. Вроде всё хорошо.

Всего записей: 3 | Зарегистр. 13-08-2010 | Отправлено: 04:23 14-08-2010
BVV63



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nivi777
 
Сорри за

Цитата:
Вроде всё хорошо.

Инкубационный период .

Всего записей: 3542 | Зарегистр. 17-08-2009 | Отправлено: 06:05 14-08-2010 | Исправлено: BVV63, 06:08 14-08-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nivi777
 
Файл C:\WINDOWS\system32\mexcrs.exe убейте вручную
 
Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

Всего записей: 250 | Зарегистр. 16-07-2007 | Отправлено: 10:26 14-08-2010
Nivi777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
http://rghost.ru/2346217

Всего записей: 3 | Зарегистр. 13-08-2010 | Отправлено: 23:54 14-08-2010
thyrannosaurus

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Nivi777
 
Удалите в МВАМ http://virusinfo.info/showpost.php?p=493584&postcount=2

Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\googletoolbar.google.1 (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
 
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
 
Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
 
Зараженные файлы:
C:\Documents and Settings\Root\DoctorWeb\Quarantine\PermEdit.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Root\Рабочий стол\Новая папка\avz4\Infected\2010-05-12\avz00001.dta (Trojan.VB) -> No action taken.
C:\Documents and Settings\Root\Рабочий стол\Новая папка\avz4\Quarantine\2010-02-24\avz00001.dta (Trojan.VB) -> No action taken.
C:\Documents and Settings\Root\Рабочий стол\Новая папка\avz4\Quarantine\2010-03-17\avz00001.dta (Trojan.VB) -> No action taken.
D:\System Volume Information\_restore{06BEEEA3-72C8-4EFC-BA3B-E3F9700A5F2B}\RP1\A0001074.exe (HackTool.Keygen) -> No action taken.
D:\System Volume Information\_restore{448D721A-BF4D-410B-B027-5F3CAF4C9722}\RP254\A0365649.dll (Malware.Packer.Gen) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Не забудьте предоставить лог после удаления

Всего записей: 250 | Зарегистр. 16-07-2007 | Отправлено: 12:58 15-08-2010
vanek finskij

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
доброго времени суток. хапнул вирусняк с контакта. теперь майл и контакт требуют отправки смс. ссылка на hijackthis     http://www.mediafire.com/?7smy9zphbcvbn80    
на  virusinfo_syscheck       http://www.mediafire.com/?2kzu90k2uy2la4l
на      virusinfo_syscure          http://www.mediafire.com/?vfgc1e95dd7hkqb

Всего записей: 7 | Зарегистр. 28-11-2007 | Отправлено: 21:08 15-08-2010
358



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vanek finskij
Windows заблокирован! ???

Всего записей: 4463 | Зарегистр. 05-12-2007 | Отправлено: 21:22 15-08-2010 | Исправлено: 358, 21:29 15-08-2010
vanek finskij

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
358
 
 
нет

Всего записей: 7 | Зарегистр. 28-11-2007 | Отправлено: 21:49 15-08-2010
vanek finskij

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
найти код для разблокировки не удалось, есть еще какие нибудь способы удалить вирус, кроме переустановки оси?

Всего записей: 7 | Зарегистр. 28-11-2007 | Отправлено: 19:59 16-08-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Помощь при лечении компьютера от вирусов


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru