Перейти к содержанию

VR

Супермодераторы
 Профиль  Обзор контента

  • Постов

    2 480

  • Зарегистрирован

  • Посещение

 Тип контента 

Весь контент VR

  1. VR
    baikal Нажми Scan потом отметь R3 - URLSearchHook: (no name) - - (no file) и Fix Checked begin SetAVZGuardStatus(True); SearchRootkit(true, true); ClearQuarantine; SetServiceStart('SSDPSRV', 4); SetServiceStart('RDSessMgr', 4); SetServiceStart('Schedule', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); QuarantineFile('C:\backup\backup.bat',''); QuarantineFile('C:\Program Files\vampina\vampina.exe',''); QuarantineFile('c:\program files\Зоркий Глаз\antivirЬ.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Карантин выложи на фтп P. S. Извиняюсь D_Master за вмешательство
  2. VR
    giper86 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: Driver:: vgscqhfk Folder:: Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1364:TCP"=- FileLook:: DirLook:: Collect:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, ComboFix.txt выложи на фтп. Повтори лог Gmer, так же выложи. Заплатки установленны? Что сказал KidoKiller?
  3. VR
    giper86 Надеюсь эти заплатки установленны если нет то установи. Установи следующие заплатки MS08-067 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958644-x86-RUS.exe MS08-068 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB957097-x86-RUS.exe MS09-001 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958687-x86-RUS.exe После установки заплаток просканируй компьютер утилитой KidoKiller_v3.4.1. ftp://ftp.burnet.ru/incoming/users/VR/KKiller_v3.4.1.zip Сделай №2 стандартный скрипт AVZ с включенным AVZMP, Файл-AVZMP-Включить драйвер расширенного мониторинга процессов, после выполнения скрипта перезагрузитесь, лог и карантин выложи на фтп.
  4. VR
    У тебя кидо. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner ftp://ftp.burnet.ru/incoming/users/VR/ATF-Cleaner.exe, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте ComboFix здесь ftp://ftp.burnet.ru/incoming/users/VR/ComboFix.exe и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File:: C:\WINDOWS\system32\aenxf.dll Driver:: rqsymqpk Folder:: Registry:: FileLook:: DirLook:: Collect:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и выложи на фтп.
  5. VR
    giper86 Это лог экспресс-проверки. Нужен полный лог. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
  6. VR
    giper86 Скачай Gmer ftp://ftp.burnet.ru/incoming/users/VR/gmer.zip. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Залей на фтп сылку кинь здесь nefi Всетаки выполни скрипт, по логом этот файл есть.
  7. VR
    nefi *142 А D:\dhhncg.exe тоже удалила? Перед проверкой обнови антивирус, эти файлы определяюся антивирусом. Но все таки желательно сделать логи, так как антивирус не дает 100% гарантии, если базы в актуальном состоянии то не понятно почему на них не сработал антивирус
  8. VR
    Что бы выполнит скрипт AVZ, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\dhhncg.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\dhhncg.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Извени маленько не так выразился. После того как компьютер перезагрузится после выполнения скрипта необходимо повторить логи, стандартные скрипты AVZ №2 и №3, как описано в шапке данной темы, как делала в начале.
  9. VR
    nefi Ты выполняла скрип №2 Скрипт сбора информации для раздела "Помогите!" virusinfo.info"? Выполни запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip. Полученный архив выложи Добавлено спустя 15 минут 59 секунд: Выполни скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\dhhncg.exe'); DeleteFile('C:\Documents and Settings\All Users\Документы\dhhncg.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Добавлено спустя 1 минуту 6 секунд: Карантин полностью потвердился - Trojan.Win32.Agent2.efp Повтори логиАВЗ нужны логи после скрипта 3 и 2.
  10. VR
    nefi В папке LOG какталога AVZ должен быть еще один лог virusinfo_syscure.zip, выложи его тоже на фтп >> Нарушение ассоциации SCR файлов AVZ, Файл - Мастер поиска и устронения проблем Пуск выделите проблеммы которые хотите исправить и нажми Исправить отмеченные проблеммы. Так же не мешало исправить >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей
  11. VR
    Tex E:\Download\Daemon_Tools_Pro_4.30.0303_Advanced-DARK0D3R\ext.dll >>>>> Trojan.Win32.Small.yhs успешно удален ты откуда такой daemon tools-то скачал...
  12. VR
    Opium Установи следующие заплатки MS08-067 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958644-x86-RUS.exe MS08-068 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB957097-x86-RUS.exe MS09-001 ftp://ftp.burnet.ru/incoming/users/VR/WindowsXP-KB958687-x86-RUS.exe Просканируй компьютер утилитой KidoKiller_v3.3.2 ftp://ftp.burnet.ru/incoming/users/VR/KidoKiller_v3.3.2.zip Как заметил на практике kido один не ходит в месте с ним всегда ходит какой ни бут Agent например Trojan-Downloader.Win32.Agent.bcpf, вот он и вызывает эту ошибку. Уже на трех машинах встречал такое скан удаления агента перезагрузка и опять агент на месте пока kido не убьешь он будет заново появляется. Если не поможет выполни правила из шапки этой темы http://ulanovka.ru/forum/viewtopic.php?t=54237
  13. VR
    maclagen Всетаки залей свой msconfig на фтп и сылку тут кинь. Какой конкретно тебе помог совет? Твик реестра?
  14. VR
    maclagen Рекомендую деинсталлировать CursorXP. Проверь раздел в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE - значение параметра по умолчанию д.б. C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe Типа запуска службы Windows Installer - вручную? Служба запускается? Ошибки в журнале событий есть? Если проблема связана с Windows Installer, попробуй по порядку, проверяя псоле каждого шага не исчезла ли проблема: Пуск --> Выполнить: msiexec /unregister , затем msiexec /regserver Переустановить Windows Installer 4.5 Примените твик реестра Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer] "Description"="Позволяет добавлять, изменять и удалять приложения, предоставленные пакетом Windows Installer (*.msi). Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены." "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,0 0,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,73,00,69,00,65,00,78,00,65,00,6 3,00,2e,00,65,00,78,00,65,00,20,00,2f,00,56,00,00,00,00,00 "DisplayName"="Windows Installer" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,0 0,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,0 4,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,0 0,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,0 2,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,0 0,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,0 0,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Enum] "0"="Root\\LEGACY_MSISERVER\00" "Count"=dword:00000001 "NextInstance"=dword:00000001 Сделой новые логи AVZ и необходимо обновить базы - при помощи автоматического обновления (Файл/Обновление баз) Еще залей свой msconfig на фтп сылку напиши сдесь, может твой msconfig заражон вирусом иначе непонятно что ему делать в автозагрузке
  15. VR
    D_Master Спасибо не знал, учту на бедующее. Dashuxa Выполни скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\cv22.cmd',''); QuarantineFile('D:\cv22.cmd',''); QuarantineFile('C:\cv22.cmd',''); QuarantineFile('G:\w2.com',''); QuarantineFile('G:\autorun.inf',''); DeleteFile('G:\autorun.inf'); DeleteFile('G:\w2.com'); DeleteFile('C:\cv22.cmd'); DeleteFile('D:\cv22.cmd'); DeleteFile('E:\cv22.cmd'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Карантин выложи на фтп, выполни стандартный скрипт AVZ №2, и сделай лог HiJackThis, логи также выложи на фтп
  16. VR
    В карантине из известный только Packed.Win32.Krap.g, по всей видимости есть еще один неизвестный вирус для Касперского REBUILDI.EXE по данным http://www.virustotal.com опасность 17,95% жду ответа вирлаба. Какие остались проблемы?
  17. VR
    Dashuxa Да сделай новые логи и залей на фтп. Добавлено спустя 16 минут 48 секунд: карантин потвердился, обноруженно троянская программа Packed.Win32.Krap.g
  18. VR
    выполните скрипт begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\w2.com',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\REBUILDI.EXE',''); DeleteFile('C:\autorun.inf'); DeleteFile('C:\w2.com'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\w2.com'); DeleteFile('E:\autorun.inf'); DeleteFile('E:\w2.com'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\w2.com'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. quarantine.zip - выложи на ftp повторите логи
  19. VR
    Логи сделай, установи себе после лечения нормальный антивирус и переодически обновляй баззы.
  20. VR
    xxx Сделай два недостоющих лога, как сделать на писано в шапке данной теммы http://ulanovka.ru/forum/viewtopic.php?t=54237&postdays=0&postorder=asc&start=0
  21. VR
    Mac Вот код собщения [b]Vol89[/b] [quote] Тема из Розовой пантеры. http://depositfiles.com/ru/files/5721623 Имя файла: The_pink_panter_(23_versiones... .rar Размер файла: 79.63 MB [/quote] Скачал заберай [url]ftp://ftp.burnet.ru/incoming/users/VR/The_pink_panter_(23_versiones_MP3).rar[/url] Незнаю почему ЛС приходят пустые [color=green][size=9]Добавлено спустя 42 секунды:[/size][/color] ftp://ftp.burnet.ru/incoming/users/VR/The_pink_panter_(23_versiones_MP3).rar
  22. VR
    Пишу собщения на форуме или ЛС, а показывается пустое собщения как на скриншоте Почему так у меня происходит?
  23. VR
    D_Master Думал ты занят вот и посмотрел логи
  24. VR
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\ogcikeq.com',''); QuarantineFile('C:\WINDOWS.0\sdshd.exe',''); QuarantineFile('C:\WINDOWS.0\s2dsxdshd.exe',''); QuarantineFile('C:\ogcikeq.com',''); QuarantineFile('C:\Documents and Settings\Qred\sdshd.exe',''); QuarantineFile('C:\Documents and Settings\Qred\s2dsxdshd.exe',''); QuarantineFile('C:\Documents and Settings\Qred\Local Settings\Temporary Internet Files\Content.IE5\OIRY1XBZ\EXP2[1].exe',''); QuarantineFile('C:\RECYCLE\D-0-060-0000000000-1111111-2222222\fix.exe',''); QuarantineFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe',''); QuarantineFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe',''); QuarantineFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe',''); QuarantineFile('C:\WINDOWS.0\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS.0\system32\kav320.dll',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); DelCLSID('23KLN5J0-4OPM-11WE-AAX5-24EF1F187332'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C987192'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C987224'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-24CX1C987132'); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-34CX1C987132'); DeleteFile('C:\WINDOWS.0\system32\kav320.dll'); DeleteFile('C:\WINDOWS.0\system32\amvo.exe'); DeleteFile('C:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe'); DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe'); DeleteFile('C:\Recycle\P-1-3-64-8794238531-8742492-9897532\Redem.exe'); DeleteFile('c:\RECYCLE\D-0-060-0000000000-1111111-2222222\FiX.exe'); DeleteFile('C:\Documents and Settings\Qred\Local Settings\Temporary Internet Files\Content.IE5\OIRY1XBZ\EXP2[1].exe'); DeleteFile('C:\Documents and Settings\Qred\s2dsxdshd.exe'); DeleteFile('C:\Documents and Settings\Qred\sdshd.exe'); DeleteFile('C:\ogcikeq.com'); DeleteFile('C:\WINDOWS.0\s2dsxdshd.exe'); DeleteFile('C:\WINDOWS.0\sdshd.exe'); DeleteFile('G:\ogcikeq.com'); DeleteFile('C:\autorun.inf'); DeleteFile('G:\autorun.inf'); DeleteFile('G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\r00t.exe'); ExecuteRepair(6); ExecuteRepair(8); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. quarantine.zip из папки AVZ залей на фтп Логи повтори
  25. VR
    У меня такой глюк
×
×
  • Создать...