14.01.2010, 02:17 | #152 (ссылка) |
Новичок
Регистрация: 13.01.2010
Сообщений: 17
Репутация: 0
|
Я очень медленный газ... прошу прощения, случились некоторые дела.
http://webfile.ru/4228641 |
Ads | |
14.01.2010, 11:42 | #153 (ссылка) | |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Цитата:
Вы файлик успешно заменили? |
|
17.01.2010, 15:18 | #155 (ссылка) |
Новичок
Регистрация: 08.01.2010
Сообщений: 11
Репутация: 0
|
И снова всем привет, очередной нетривиальный случай, все вылечил, тел вроде как нет, не могу в хайджеке последние записи убить, на пк две учетные записи, и при входе в каждую появляется системная ошибка о невозможности запуска объекта - тела вируса, причем под каждой учеткой ссылается на разное тело. Всяко прошу о помощи.
Логи по обеим учеткам в одном архиве тут http://exfile.ru/78322 |
17.01.2010, 18:33 | #156 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Southpaw,
есть что удалять скрипты пишем по первой машине (сисчек №1) выполнить следующее Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('mptfftqe'); DeleteService('xco4ouqfd5'); DeleteService('winsecguard'); DeleteFile('C:\WINDOWS\Fonts\zpx2.exe'); DeleteFile('C:\Documents and Settings\Компьютер\Application Data\Microsoft\zoodiwud.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\mptfftqe.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Компьютер\axntsec.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); ExecuteSysClean; RebootWindows(true); end. Последний раз редактировалось 01pump; 17.01.2010 в 18:41. |
17.01.2010, 18:48 | #157 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
Southpaw,
для второй машины Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('mptfftqe'); DeleteService('xco4ouqfd5'); DeleteService('winsecguard'); DeleteFile('C:\WINDOWS\Fonts\zpx2.exe'); DeleteFile('C:\Documents and Settings\Компьютер\Application Data\Microsoft\zoodiwud.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\mptfftqe.sys'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Компьютер\axntsec.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\fresdg.exe,explorer.exe C:\Documents and Settings\Марина\vnx.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe'); DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}'); ExecuteSysClean; RebootWindows(true); end. |
26.01.2010, 16:23 | #159 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
lira,
Опишите проблему подробнее. У вас avz и hijackthis запускаются? Попробую для флешки вам подготовить Отсюда http://pchelpforum.ru/f26/t6442/#post69244 со второй ссылке скачайте LiveCD . Как скачаете её - распакуйте в любую папку. Там должен быть файл Boot.img Этот файл в отдельную папку скопируйте. В эту же папочку извлеките файлы из этого архива http://exfile.ru/80826 После чего отформатируйте флешку этой утилиткой http://exfile.ru/80827 (не забудьте её распаковать!! ) Отформатируйте сначала флеху в FAT32 затем в NTFS . После чего на флеху скопируйте файл Boot.img и те 4 файлика из архива. Теперь вам остаётся только в БИОС выставить приоритет загрузки с флеш . И далее грузитесь с неё и выполняйте процедуру лечения. Последний раз редактировалось 01pump; 26.01.2010 в 16:46. |
27.01.2010, 13:23 | #160 (ссылка) |
Новичок
Регистрация: 26.01.2010
Сообщений: 18
Репутация: 0
|
Спасибо за флешку. Вечером буду лечить. Больной комп дома, писать могу только с работы, поэтому извините за большие перерывы. Ситуация такова:
Красное окно: Internet Seciurity обнаружил вредоносное ПО… Далее длинный список, идет обратный отсчет времени и просьба послать СМС за 10 рублей… Попыталась подобрать код разблокировки (+1, +2… к сообщению), как советовали где-то на форуме – безуспешно – в окошке с кодом появляется: Анализ 7, затем Анализ 6 и т.д., и по кругу. AVZ не запускается. Результат работы adsspy: C:\Documents and Settings\1\Избранное\книги\Поиск книги по фамилии автора - Буква А - Страница 1.url : favicon (1406 bytes) C:\Documents and Settings\1\Рабочий стол\планета\Planeta\Weburg!!!- Медиапортал.url : favicon (2478 bytes) C:\Documents and Settings\1\Рабочий стол\планета\Planeta\Планета.url : favicon (2862 bytes) …. C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB (130048 bytes) На флешке, принесенной из дома, на рабочем компе Касперский убил вот это: удалено: троянская программа Packed.Win32.Krap.w Файл: G:\RECYCLER\rvqmrkhmd.dll |
Ads | |
27.01.2010, 13:28 | #161 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
lira,
Вам через adsss нужно удалить этот файл C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB Если удасться его удалить то попробуйте загрузиться в обычном режиме , запустить avz и выполнить стандартный скрипт №3 прислать virusinfo_syscure.zip PS Если удасться загрузиться с флешки то снова выполните лог adss и через флешку LiveCD удалите тот файл C:\WINDOWS\svcpack.log : ng8NywONh9KvDpqjHuzB |
28.01.2010, 12:23 | #163 (ссылка) |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
lira,
Вижу что вам удалось И сразу что бросилось в глаза это наличие двух антивирусов в системе Один нужно правильно Деинсталлировать Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\svcpack.log:ng8NywONh9KvDpqjHuzB'); DeleteFile('C:\Program Files\plugin.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin'); DeleteFile('C:\WINDOWS\System32\netprotocol.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(11); ExecuteRepair(12); ExecuteRepair(17); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. После перезагрузки обновите avz:Файл-Обновление баз, затем выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip + лог утилитки hijackthis |
29.01.2010, 10:21 | #164 (ссылка) |
Новичок
Регистрация: 26.01.2010
Сообщений: 18
Репутация: 0
|
01pump
Логи здесь:
http://slil.ru/28564436 По ситуации: после лечения заработал CD-привод, но кратковременно. При выключении компа некое "очень важное обновление windows" просило себя установить (получило отказ). Последний раз редактировалось 01pump; 29.01.2010 в 11:21. |
29.01.2010, 11:29 | #165 (ссылка) | |
Специалист
Регистрация: 01.01.2009
Сообщений: 13,209
Репутация: 415
|
lira,
запустить hijackthis кнопкой "Do a system scan only" Откроется таблица, в которой отметьте следующую строчку: Цитата:
Перезагрузитесь. После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip и новый лог hijackthis Скачайте этот файл http://exfile.ru/74372 и распакуйте его. Затем запустите. После выполнения перезагрузитесь (Если в папке с распакованной утилиткой появится файл drv.sys Этот файл поместите в архив и пришлите). А по поводу обновления Windows .... информации мало У вас режим "Автоматического обновления Windows" в каком режиме стоит? (Авто,Загружать, Уведомлять,Отключить) В принципе любое обновление установить можно (даже Уведомление о проверке подлинности ) |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
что это? вирус!!! | Ravlik | Безопасность | 10 | 27.12.2010 19:16 |
вирус | Jose | Безопасность | 4 | 21.12.2010 13:03 |
Вирус | PhenomenoN | Безопасность | 5 | 01.09.2010 14:38 |
Вирус | The Lucifier | Безопасность | 10 | 05.08.2010 12:15 |
Вирус (реклама) который утверждает что он не вирус и подавляет все действия | Vado | Безопасность | 3 | 13.06.2010 16:40 |
Вирус. | ale553312 | Безопасность | 2 | 25.01.2010 17:23 |
Вирус ли это? | lebka11 | Безопасность | 1 | 17.10.2009 16:26 |
вирус | Sipuga | Безопасность | 9 | 21.07.2009 18:31 |
Вирус или нет? | SeLLer | Безопасность | 3 | 22.06.2009 14:57 |
Вирус | TheFcn | Безопасность | 1 | 21.06.2009 18:00 |
Вирус | Zim_Zum | Безопасность | 10 | 18.06.2009 23:22 |
Вирус? | Cembalo | Безопасность | 1 | 06.03.2009 19:29 |