Перейти к содержанию

VR

Супермодераторы
 Профиль  Обзор контента

  • Постов

    2 480

  • Зарегистрирован

  • Посещение

 Тип контента 

Весь контент VR

  1. VR
    да нету вирусов, влогах нечего плохого нету
  2. VR
    Eleonor * В логах чисто
  3. VR
    Eleonor * Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\AJV149.tmp',''); DeleteService('GarenaPEngine'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\AJV149.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ) Кстати у тебя в логах видны два антивируса. Как я понял у тебя сейчас Касперский, а от доктора остались только остатки, если так то удали остатики Dr.Web этой утилитой drw_remover
  4. VR
    Да конечно вылаживать Да делай 2-й скрипт новой АВЗ
  5. VR
    Eleonor * Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SetServiceStart('RDSessMgr', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\Drivers\a4t688if.SYS',''); BC_QrFile('C:\WINDOWS\System32\Drivers\a4t688if.SYS'); QuarantineFile('C:\DEEP\FREEZ\xob.exe',''); DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G7769085}'); DeleteFile('C:\DEEP\FREEZ\xob.exe'); BC_DeleteFile('C:\DEEP\FREEZ\xob.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Какая ошибка? Попробуй скачать вот по этой ссылки
  6. VR
    Eleonor * Скачай explorer.ехе и подложи его в папку WINDOWS делай тогда чем есть Кстати у тебя в карантине были следующие вируссы Worm.Win32.VBKrypt.v Trojan.Win32.Pincav.ndh Trojan.Win32.AutoRun.op
  7. VR
    Eleonor * А где новые логи? Заново сделать лог AVZ (2й стандартный скрипт AVZ) Попробуй выполнить Пуск - Выполнить и в поле вода введи explorer и нажми ОК Пока что выполни такой скрипт. begin ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(7); ExecuteRepair(16); RebootWindows(true); end.
  8. VR
    Eleonor * Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\Zolander\Polanda\box.exe',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\DEEP\FREEZ\xob.exe',''); QuarantineFile('C:\Zolander\Polanda\box.exe',''); QuarantineFile('explorer.exe,C:\RECYCLER\S-1-5-21-3218405464-0282933368-730363918-2561\sysdate.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\YGD1EB.tmp',''); DeleteService('GarenaPEngine'); QuarantineFile('C:\WINDOWS\System32\Drivers\dump_m5288.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\ap0k4xwp.SYS',''); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\YGD1EB.tmp'); DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-3218405464-0282933368-730363918-2561\sysdate.exe'); BC_DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-3218405464-0282933368-730363918-2561\sysdate.exe'); DelCLSID('{23MAD6M8-1MAD-77AD-JIM1-73OP5G3369085}'); DeleteFile('C:\Zolander\Polanda\box.exe'); DeleteFile('C:\DEEP\FREEZ\xob.exe'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\Zolander\Polanda\box.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(16); ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Профиксь в HijackThis O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing) quarantine.zip из папки AVZ залей на сибнет Внимание !!! База поcледний раз обновлялась 10.06.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Скачай новую версию AVZ 4.32 Заново сделать лог AVZ (2й стандартный скрипт AVZ)
  9. VR
    Tuman Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt',''); QuarantineFile('D:\WINDOWS\system32\drivers\dmboot.sys',''); QuarantineFile('D:\DOCUME~1\3BB6~1\LOCALS~1\Temp\MUR1169.tmp',''); DeleteService('GarenaPEngine'); QuarantineFile('D:\WINDOWS\system32\ntshrui.dll',''); DeleteFile('D:\DOCUME~1\3BB6~1\LOCALS~1\Temp\MUR1169.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Профиксь в HijackThis R3 - URLSearchHook: (no name) - - (no file) quarantine.zip из папки AVZ залей на сибнет Внимание !!! База поcледний раз обновлялась 11.09.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Заново сделать лог AVZ (2й стандартный скрипт AVZ) И как тебе должны помочь, телепатов тут нету. Делай логи.
  10. VR
    INFINITY нечего плохого не увидел. Что с проблемами?
  11. VR
    INFINITY Извиняюсь, потерял точку после end. И некто не скажет *11 Так правильно begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
  12. VR
    Для получения кода заходим на специальную страницу на сайте или страницу и в специальную форму, вводим текст предполагаемого sms-сообщения и получить код разблокировки. Абоненты Мегафона, которые в результате действий Trojan.Winlock лишены возможности выйти в Интернет со своего компьютера, смогут оперативно разблокировать Windows с помощью мобильного телефона. Для получения кода разблокировки достаточно отправить на номер 5665 бесплатное SMS-сообщение в следующем формате: «ХХХХ_YYYYYYYY», где ХХХХ — номер, на который злоумышленники просят отправить SMS, YYYYYY — текст SMS. В ответ абоненты совершенно бесплатно получат код активации, снимающий блокировку Windows. При наличии телефона с доступом в Интернет можно также воспользоваться мобильным сайтом «Доктор Веб» с бесплатным разблокировщиком от Trojan.Winlock — http://www.drweb.com/unlocker/mobile Разблокировка системы через загрузку в Безопасном режиме В случае, если ваш компьютер оказался заражен, то доступ к системе можно разблокировать, загрузив систему в Безопасном режиме и удалив некоторые ключи реестра. Безопасный режим (safe mode) - это диагностический режим работы операционной системы Windows, позволяющий выявить ошибки, вызванные сбоями в программном или аппаратном обеспечении компьютера. В безопасном режиме загружаются: - минимальный (базовый) набор драйверов; - стандартные системные службы. Как разблокировать систему? Чтобы разблокировать систему, выполните следующие действия: Шаг 1. перезагрузите компьютер в Безопасном режиме: - В левой нижней части экрана нажмите на кнопку Пуск -> Завершение работы -> Перезагрузка. - Нажмите кнопку F8 до того, как появится логотип Windows. - Выберите пункт Безопасный режим с поддержкой командной строки (Safe Mode with Command Prompt). - Нажмите клавишу Enter на клавиатуре. - В списке операционных систем выберите систему, в которую требуется выполнить вход. - Нажмите клавишу Enter на клавиатуре. - Дождитесь появления окна cmd.exe (окно командной строки) на экране. Если компьютер загружается только в обычном режиме, а при выборе безопасного режима происходит "падение" системы в синий экран, то, возможно, ветка реестра, отвечающая за загрузку ОС в безопасном режиме повреждена. Восстановить ветку реестра Safeboot можно с помощью заранее экспортированного reg-файла. Для этого выполните следующие действия: скачайте архив safeboot.zip. распакуйте содержимое архива на клиентский компьютер при помощи программы-архиватора (например, WinZip) в зависимости от операционной системы запустите reg-файл: -для ОС Windows 2000 файл реестра SafeBootWin200.reg; -для ОС Windows 2003 файл реестра SafeBootWinServer2003.reg; -для ОС Windows XP файл реестра SafeBootWinXP.reg; -для ОС Windows Vista файл реестра SafebootVista.reg; -для ОС Windows 7 файл реестра Safeboot7.reg; нажмите кнопку ДА в окне Редактор реестра. Шаг 2. В окне cmd.exe введите команду explorer и нажмите клавишу Enter на клавиатуре. Шаг 3. В окне Рабочий стол (Desktop) нажмите на кнопку Да (Yes), чтобы продолжить работу в безопасном режиме. В случае, если появилось окно с предложением перезагрузить систему, нажмите на кнопку Нет (No). Шаг 4. В левой нижней части экрана нажмите на кнопку Пуск (Start) -> Выполнить (Run) Шаг 5. В окне Запуск программы (Run) в поле Открыть (Open) введите regedit. Шаг 6. Нажмите на кнопку ОК . Шаг 7. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Шаг 8. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить . Шаг 9. В окне Изменение строкового параметра запомните путь из поля Значение (указанный путь в поле Значение - это путь к файлу вируса). Шаг 10. Закройте окно Изменение строкового параметра. Шаг 11. Нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Удалить . Шаг 12. В окне Подтверждение удаления параметра нажмите на кнопку Да . Шаг 13. Выберите раздел реестра SYSTEM по следующему пути: HKEY_CURRENT_USER\SYSTEM. Шаг 14. Нажмите правой кнопкой мыши на раздел реестра SYSTEM и в контекстном меню выберите пункт Удалить . Шаг 15. В окне Подтверждение удаления раздела нажмите на кнопку Да. Шаг 16. В окне Редактор реестра найдите ключ реестра Shell по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Шаг 17. У данного ключа реестра значение должно быть explorer.exe. Если это не так то нажмите правой кнопкой мыши на ключ реестра Shell и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем explorer.exe и нажимаем кнопку ОК Шаг 18. В окне Редактор реестра найдите ключ реестра Userinit по следующему пути: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Шаг 19. У данного ключа реестра значение должно быть C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows). Если это не так то нажмите правой кнопкой мыши на ключ реестра Userinit и в контекстном меню выберите пункт Изменить ., в окне Изменение строкового параметра удаляем все что там есть и пишем C:\Windows\system32\userinit.exe, (где C:\Windows\- папка в которую установлена ваша Windows) и нажимаем кнопку ОК Шаг 20. В окне командной строки cmd.exe введите команду del и введите путь из поля Значение, который вы запомнили ранее. Шаг 21. Нажмите клавишу Enter на клавиатуре. Шаг 22. Перезагрузите компьютер в обычном режиме. Разблокировка системы с помощью Kaspersky WindowsUnlocker Утилита Kaspersky WindowsUnlocker позволяет проводить лечение реестра всех операционных систем, установленных на компьютере (в том числе установленных на разных разделах, в разных папках одного раздела), а также лечение пользовательских веток реестра. Kaspersky WindowsUnlocker не производит никаких операций с файлами (для лечения зараженных файлов вы можете использовать Kaspersky Rescue Disk 10). Скачайте образ диска с утилитой Kaspersky Rescue Disk 10 (~250 Мб) Вы можете записать iso-образ на пустой CD/DVD с помощью любой программы для записи оптических дисков (например, Nero Burning ROM, ISO Recorder, DeepBurner, Roxio Creator или другой программы). Запись образа утилиты USB-носитель. 1. Подключите USB-носитель к компьютеру. *110 Для успешной записи объем памяти используемого USB-носителя должен быть не менее 512 MB. На USB-носителе должна быть установлена файловая система FAT16 или FAT32. Если на USB-носителе установлена файловая система NTFS, отформатируйте его в FAT16 или FAT32. Не используйте для записи USB-носитель, на котором уже размещена другая загрузочная операционная система. В противном случае загрузка компьютера может пройти некорректно. 2. Скачайте утилиту для записи образа на USB с сервера Лаборатории Касперского 3. Запустите файл rescue2usb.exe 4. В окне Kaspersky USB Rescue Disk Maker задайте местоположение загруженного образа Kaspersky Rescue Disk с включенной утилитой c помощью кнопки Обзор... 5.Выберите из списка нужный USB-носитель. 6. Нажмите кнопку СТАРТ и дождитесь завершения записи. 7. В окне с информацией об успешном завершении записи нажмите ОК. 8. В параметрах BIOS на закладке Boot задайте загрузочный диск 9. Если вы записали образ на CD-DVD, выберите вариант CD-ROM Drive. 10. Если вы записали образ на USB-носитель, выберите Removable Devices. 11. Вставьте CD/DVD-диск с образом в дисковод или подключите USB-носитель с записанным образом к компьютеру. 12. Перезагрузите компьютер. После перезагрузки на экране появится сообщение Press any key to enter the menu. 13. Нажмите на любую клавишу. 14. С помощью клавиш перемещения курсора выберите язык графического интерфейса. Нажмите на клавишу ENTER. 15. Выберите варинат Kaspersky Rescue Disk. Графический режим и после чего нажмите ENTER в случае збоев загрузки графическом режиме выбирайте Kaspersky Rescue Disk. Текстовый режим 16. Согласитесь с текстом лецензионого соглашения нажмите клавишу С на клавиатуре. 17. Для лечения реестра с помощью Kaspersky WindowsUnlocker выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Терминал. В командной строке введите команду windowsunlocker и нажмите Enter на клавиатуре. Утилита автоматически запустится и проведет лечение реестра. Результат работы утилиты отобразится в окне root. 18. Нажмите на кнопку Пуск в левом нижнем углу экрана и в меню выберите пункт Kaspersky Rescue Disk, 19. При наличии доступа в интернет с перейдите на вкладку Обновление и нажмите кнопку Выполнить обновление после окончания процедуры обновления вернитесь обратно на вкладку Проверка объектов. 20. Запусти проверку нажав Выполнить проверку объектов. 21. В случае необходимости ручного лечения (чиски реестра) выполнитете следующие действия: 22. Для лечения реестра с помощью Kaspersky Registry Editor выполните следующие действия, нажмите на кнопку в виде буквы К в левом нижнем углу экрана и в меню выберите пункт Kaspersky Registry Editor. 23. После завершения проверки перезагрузите компьютер, выбрав в меню Пуск - Перезагрузить компьютер Если не открываются некоторые сайты, или вместо стандартных страниц, открывается сайт с просьбой активации аккаунта (vkontakte.ru и т. д.) У вас появляется странное окно с просьбой активировать свой аккаунт или открывается совершенно другой сайт, знайте - ваша система была заражена вредоносными объектами. Решений, в этом случае, два - первый (рекомендуемый) - сделать логи, как описано в теме Для тех, чьи системы заражены вирусами!. Второй - очистить файл hosts, который расположен по следующему пути: C:\WINDOWS\system32\drivers\etc\hosts. Это простой текстовый файл, без расширения, который может быть открыт любым текстовым редактором. Его стандартное содержимое должно быть таким: # # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. # # Этот файл содержит сопоставления IP-адресов именам узлов. # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен # находиться в первом столбце, за ним должно следовать соответствующее имя. # IP-адрес и имя узла должны разделяться хотя бы одним пробелом. # # Кроме того, в некоторых строках могут быть вставлены комментарии # (такие, как эта строка), они должны следовать за именем узла и отделяться # от него символом '#'. # # Например: # # 102.54.94.97 rhino.acme.com # исходный сервер # 38.25.63.10 x.acme.com # узел клиента x 127.0.0.1 localhost# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 При отличии файла от оригинального, очищайте его и вставляйте стандартный текст (дан в спойлере выше). Возможны случаи, когда файл hosts кажется не измененным. Чтобы проверить файл hosts, прокрутите текст файла вниз. Часто злоумышленники вставляют в файл много пустых строк, чтобы нельзя было сразу определить, были ли внесены изменения в файл или нет. Часто вирусаписатели указывают операционной системе другой путь, по которому находится файл hosts. В результате стандартный файл hosts остается без изменений. Это возможно, если изменить ключ реестра DataBasePath. - в правой нижней части экрана нажмите кнопку Пуск - выберите пункт Выполнить - в окне Запуск программы в поле Открыть введите regedit - нажмите на кнопку ОК - в окне Редактор реестра найдите ключ реестра DataBasePath по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -должен быть указан: %SystemRoot%\System32\drivers\etс если вы видите что то иное то необходимо востановить изначальное состояние - нажмите правой кнопкой мыши по ключу реестра DataBasePath и в контекстном меню выберите пункт Изменить - в окне Изменение строкового параметра в поле Значение введите: %SystemRoot%\System32\drivers\etс - нажмите на кнопку ОК Способ №2. Очистка Hosts с помощью HiJackThis Скачайте и запускаем HiJackThis. В главном меню выбираем пункт "Do a system scan only". После сканирования отобразится такое окно: Находим и отмечаем галочками все строчки, начинающиеся с O1 - Hosts и нажимаем "Fix Checked": Появится такой запрос: Нажимаем "Да". И перезагружаем компьютер Так же некоторые вредоносные программы используют таблицу статических маршрутов для перенаправления на подложные сайты Восстановить вручную таблицу статических маршрутов. 1. В левой нижней части экрана нажмите на кнопку Пуск. 2. Выберите пункт меню Все программы (ОС Windows XP/7)/Программы (ОС Windows Vista) -> Стандартные -> Командная строка 3. В окне командной строки введите команду route -f 4. На клавиатуре нажмите на клавишу Enter. Дешифровка файлов после шифровальщика Утилита RectorDecryptor Последнее обновление: 10 апреля 2014 г. //VR
  13. VR
    INFINITY Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Schedule', 4); QuarantineFile('C:\WINDOWS\system32\azoggla.exe',''); DeleteFile('C:\WINDOWS\system32\azoggla.exe'); DeleteFile('C:\WINDOWS\Tasks\SysteCheck.job'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ)
  14. VR
    IgA Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\hidserv.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ) Версия Windows: 5.1.2600, Service Pack 2 Уже давно нужно было поставить SP3. Что с проблемами?
  15. VR
    Bags В логах чисто.
  16. VR
    Bags Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PROWiSe\PROWiSe.exe',''); QuarantineFile('D:\System Volume Information\_restore{FABA878F-4F02-4B12-9688-600044575CE3}\RP4\A0153011.exe',''); QuarantineFile('C:\WINDOWS\System32\tssdis.exe',''); QuarantineFile('C:\WINDOWS\Installer\{E56D39F8-2A9F-44B4-B068-A72E45A073E6}\SafariIco.exe',''); QuarantineFile('C:\WINDOWS\Temp\XAFD90.tmp',''); DeleteService('GarenaPEngine'); DeleteFile('C:\WINDOWS\Temp\XAFD90.tmp'); DeleteFile('D:\System Volume Information\_restore{FABA878F-4F02-4B12-9688-600044575CE3}\RP4\A0153011.exe'); DeleteFile('C:\Install\Harddisk\HDDlife 1.3.25\HDDlife 1.3.25 russian.msi'); QuarantineFile('c:\windows\system32\termsrv.dll',''); DeleteFile('c:\windows\system32\termsrv.dll'); BC_DeleteFile('c:\windows\system32\termsrv.dll'); DeleteFile('C:\WINDOWS\System32\termsrv.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(13); ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ)
  17. VR
    vit007 Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\CDBurnerXP\cdbxpp.exe',''); QuarantineFile('C:\Documents and Settings\Ner\av_md.exe',''); QuarantineFile('C:\Documents and Settings\Ner\Главное меню\Программы\Автозагрузка\siszyd32.exe',''); QuarantineFile('\SystemRoot\System32\Drivers\czigalbq.SYS',''); QuarantineFile('70.103.101.103\aekgoprn.dll',''); DeleteFile('70.103.101.103\aekgoprn.dll'); BC_DeleteFile('70.103.101.103\aekgoprn.dll'); DeleteFile('\SystemRoot\System32\Drivers\czigalbq.SYS'); BC_DeleteFile('\SystemRoot\System32\Drivers\czigalbq.SYS'); DeleteFile('C:\Documents and Settings\Ner\Главное меню\Программы\Автозагрузка\siszyd32.exe'); BC_DeleteFile('C:\Documents and Settings\Ner\Главное меню\Программы\Автозагрузка\siszyd32.exe'); DeleteFile('C:\Documents and Settings\Ner\av_md.exe'); BC_DeleteFile('C:\Documents and Settings\Ner\av_md.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ) Что имено не выходит? И когда это началось? В АВЗ меню AVZMP - выбираешь Удалить и выгрузить драйвер расширенного мониторинга после чего перезагружаемся. Что с проблемами?
  18. VR
    vit007 Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\target.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\dmboot.sys',''); QuarantineFile('C:\WINDOWS\system32\themeui.dll',''); QuarantineFile('C:\Program Files\PROWiSe\PROWiSe.exe',''); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); SetAVZPMStatus(True); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Скачай новую версию AVZ 4.32 Заново сделать лог AVZ (2й стандартный скрипт AVZ) Проблема с Get Accelerator решилась?
  19. VR
    vit007 заливай на сибнет
  20. VR
    Trishy Что с проблемами?
  21. VR
    vodolei8 Да я твои логи посмотрел и написал в этом сообщении http://ulanovka.ru/forum/viewtopic.php?p=1171897#1171897 в самом низу, но только зыбыл написать кому это. vodolei8 Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DEUTZE~1.SCR',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\umdf\wpdmtpdr.dll',''); QuarantineFile('C:\Documents and Settings\Rold\Cookies\userlib.dll',''); QuarantineFile('C:\WINDOWS\Tasks\SystemCheck.job',''); DeleteFile('C:\WINDOWS\Tasks\SystemCheck.job'); QuarantineFile('C:\WINDOWS\system32\syschk32.exe',''); QuarantineFile('C:\WINDOWS\system32\psxss.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\ZTEusbmdm6k.sys',''); QuarantineFile('C:\WINDOWS\system32\Drivers\usbaapl.sys',''); DeleteService('USBAAPL'); QuarantineFile('C:\DOCUME~1\Rold\LOCALS~1\Temp\RarSFX1\mpr_freader.sys',''); DeleteFile('C:\DOCUME~1\Rold\LOCALS~1\Temp\RarSFX1\mpr_freader.sys'); DeleteFile('C:\WINDOWS\system32\Drivers\usbaapl.sys'); DeleteFile('C:\WINDOWS\system32\syschk32.exe'); DeleteFile('C:\WINDOWS\system32\DRIVERS\umdf\wpdmtpdr.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 3, 3, true); ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Внимание !!! База поcледний раз обновлялась 22.10.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Заново сделать лог AVZ (2й стандартный скрипт AVZ)
  22. VR
    Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\psxss.exe',''); QuarantineFile('C:\WINDOWS\System32\polagent.dll',''); QuarantineFile('C:\Program Files\InterWrite Software\IWStarterRUS.dll',''); QuarantineFile('C:\Documents and Settings\Машка\Application Data\Mozilla\Firefox\Profiles\2wbzzxyo.default\extensions\{D249FD00-4DF9-11D9-9FDC-0080481ADA61}\components\mpint.dll',''); DeleteFile('C:\WINDOWS\system32\psxss.exe'); DeleteFile('D:\С инета (проги)\CD soft new\Desktop\Talisman\keygen.exe'); DeleteFile('D:\С инета (проги)\CD soft new\Utilit\XYPlorer\keygen\keygen.exe'); DeleteFile('D:\С инета (проги)\wrar380ru.exe'); DeleteFile('E:\Программы\Кряки для Adobe\Adobe_All_Products_v1.0.1_Keymaker_Only-CORE\Adobe_All_Products_v1.0.1_Keymaker_Only-CORE.rar'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ)
  23. VR
    Johnny B Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\psxss.exe',''); QuarantineFile('C:\WINDOWS\System32\tssdis.exe',''); DeleteFile('C:\WINDOWS\system32\psxss.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Заново сделать лог AVZ (2й стандартный скрипт AVZ) Trishy Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\PS Tray Factory\HKDll.dll',''); QuarantineFile('E:\autorun.wsh',''); QuarantineFile('D:\autorun.wsh',''); QuarantineFile('D:\С инета (проги)\CD soft new\Utilit\XYPlorer\keygen\keygen.exe',''); QuarantineFile('D:\С инета (проги)\CD soft new\Desktop\Talisman\keygen.exe',''); QuarantineFile('C:\WINDOWS\system32\vp6vfw.dll',''); QuarantineFile('C:\WINDOWS\system32\psxss.exe',''); QuarantineFile('C:\WINDOWS\system32\B16.exe',''); QuarantineFile('C:\WINDOWS\System32\uxtuneup.dll',''); QuarantineFile('C:\WINDOWS\System32\tssdis.exe',''); QuarantineFile('c:\windows\system32\uxtuneup.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\xul.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\xpcom.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\ssl3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\sqlite3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\softokn3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\smime3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\plds4.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\plc4.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\nssutil3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\nssdbm3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\nssckbi.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\nss3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\nspr4.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\MOZCRT19.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\js3250.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\freebl3.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\components\brwsrcmp.dll',''); QuarantineFile('C:\Program Files\Mozilla Firefox\components\browserdirprovider.dll',''); DeleteFile('C:\WINDOWS\system32\B16.exe'); DeleteFile('C:\WINDOWS\system32\psxss.exe'); DeleteFile('D:\autorun.wsh'); DeleteFile('E:\autorun.wsh'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(13); ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Внимание !!! База поcледний раз обновлялась 18.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Заново сделать лог AVZ (2й стандартный скрипт AVZ) Добавлено спустя 8 минут: Скорей всего вирус блокирует. Скачай сибнета правила в формате pdf и делай логи nick333 Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ Внимание !!! База поcледний раз обновлялась 22.10.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Заново сделать лог AVZ (2й стандартный скрипт AVZ)
  24. VR
    Johnny B Выполни скрипт AVZ (как выполнить скрипт в шапке) begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\XP-DEC392BC.EXE',''); QuarantineFile('C:\WINDOWS\System32\sxs.dll',''); QuarantineFile('C:\Downloads\Программы\sms.exe',''); QuarantineFile('C:\WINDOWS\yoos.b',''); DeleteService('4LLI'); QuarantineFile('C:\WINDOWS\TEMP\E_4\shell.fne',''); QuarantineFile('C:\WINDOWS\TEMP\E_4\RegEx.fnr',''); QuarantineFile('C:\WINDOWS\TEMP\E_4\krnln.fnr',''); QuarantineFile('C:\WINDOWS\TEMP\E_4\internet.fne',''); QuarantineFile('C:\WINDOWS\TEMP\E_4\eAPI.fne',''); QuarantineFile('C:\WINDOWS\TEMP\E_4\dp1.fne',''); QuarantineFile('C:\WINDOWS\TEMP\E_4\com.run',''); QuarantineFile('c:\windows\system32\xp-dec392bc.exe',''); DeleteFile('c:\windows\system32\xp-dec392bc.exe'); DeleteFile('C:\WINDOWS\TEMP\E_4\com.run'); DeleteFile('C:\WINDOWS\TEMP\E_4\dp1.fne'); DeleteFile('C:\WINDOWS\TEMP\E_4\eAPI.fne'); DeleteFile('C:\WINDOWS\TEMP\E_4\internet.fne'); DeleteFile('C:\WINDOWS\TEMP\E_4\krnln.fnr'); DeleteFile('C:\WINDOWS\TEMP\E_4\RegEx.fnr'); DeleteFile('C:\WINDOWS\TEMP\E_4\shell.fne'); DeleteFile('C:\WINDOWS\yoos.b'); DeleteFile('C:\WINDOWS\system32\XP-DEC392BC.EXE'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW', 1, 1, true); RebootWindows(true); end. Выполни скрипт AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ залей на сибнет Профиксь HijackThis O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-DEC392BC.EXE O23 - Service: Microsoft Services (4LLI) - Unknown owner - C:\WINDOWS\yoos.b (file missing) c:\documents and settings\Администратор\Рабочий стол\game.pif Это полиморфный АВЗ? Внимание !!! База поcледний раз обновлялась 18.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Скачай AVZ 4.32 обнови базы Заново сделать лог AVZ (2й стандартный скрипт AVZ)
  25. VR
    Markus По логу HiJackThis ничего сказать не могу. 2-й стандартный скрипт АВЗ попробуй выполнить, или при выполнение этого скрипта вылетают ошибка Загрузите GMER Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
×
×
  • Создать...