Цитата:
Личку читаем?
прочитала.
очень содержательное сообщение....
» Не устанавливаются антивирусы
Цитата:
прочитала.
очень содержательное сообщение....
ошибка возникает тогда, когда не открыта(!) папка с widows, а, например, просто выбрана
Цитата:
ошибка возникает тогда, когда не открыта(!) папка с widows, а, например, просто выбрана
нет, всё открыто, в окне справа отображаются серым цветом куча файлов
тогда спасибо за информацию. А что наш злодей? (nosntn.sys). Если после переменования на него останется ссылка, можно заполучить синий экран. Тогда переименовываем обратно, загрузившись с CD и думаем дальше. Вообще, должно получиться. Это он не дает антивирусы ставить.
Загрузила PE, файла nosntn.sys не обнаружилось. Поиск тоже не дал результатов.
Относительно abp470n5, aplmp50. Сделала, как Вы сказали. Перед загрузкой РЕ поменяла значения этих параметров на Start с 3 на 4. После нормального запуска, значение Start первого вернулось на 3, а второго осталось на 4.
Ещё. Во время работы в РЕ мне удалось запустить из-под нее AVZ. Проверила два диска, на которых стоит система. Вот отчет:
Сканирование запущено в 18.12.2008 13:36:33
Загружена база: сигнатуры - 176102, нейропрофили - 2, микропрограммы лечения - 56, база от 13.07.2008 22:02
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71502
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Количество загруженных модулей: 102
Проверка памяти завершена
3. Сканирование дисков
D:\Program Files\Creative\SBLive\Diagnostics\RestEng.dll >>> подозрение на Trojan-Downloader.Win32.VB.ewe ( 0060B77F 00000000 00189134 0019DB0F 32768)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\mcpe\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\mcpe\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> X:\mcpe\system32\explorer.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (%Messenger_Display%)
>> Службы: разрешена потенциально опасная служба Alerter (%Alerter_Display%)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Модифицированы префиксы протоколов
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 23790, извлечено из архивов: 19101, найдено вредоносных программ 0, подозрений - 1
Ещё инфа, может пригодится. При запуске FF он сразу без спроса ломится на http://www.files.com/Firefox/firefox.exe и выдает "страница недоступна". При этом, в настройках по прежнему открывать с пустой страницы..
Добавлено:
Ещё одна новость. Диспетчер задачи штатный редактор реестра стали нормально открываться.
А в процессах появились новые строки:
winhfwp
yoggo
winnnhcr
Относительно abp470n5, aplmp50. Сделала, как Вы сказали. Перед загрузкой РЕ поменяла значения этих параметров на Start с 3 на 4. После нормального запуска, значение Start первого вернулось на 3, а второго осталось на 4.
Ещё. Во время работы в РЕ мне удалось запустить из-под нее AVZ. Проверила два диска, на которых стоит система. Вот отчет:
Сканирование запущено в 18.12.2008 13:36:33
Загружена база: сигнатуры - 176102, нейропрофили - 2, микропрограммы лечения - 56, база от 13.07.2008 22:02
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 71502
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C0000034]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
Ошибка загрузки драйвера - проверка прервана [C0000034]
2. Проверка памяти
Количество найденных процессов: 11
Количество загруженных модулей: 102
Проверка памяти завершена
3. Сканирование дисков
D:\Program Files\Creative\SBLive\Diagnostics\RestEng.dll >>> подозрение на Trojan-Downloader.Win32.VB.ewe ( 0060B77F 00000000 00189134 0019DB0F 32768)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл X:\mcpe\system32\rsvpsp.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл X:\mcpe\system32\rsvpsp.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> X:\mcpe\system32\explorer.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба Messenger (%Messenger_Display%)
>> Службы: разрешена потенциально опасная служба Alerter (%Alerter_Display%)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Нарушение ассоциации REG файлов
>> Модифицированы префиксы протоколов
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 23790, извлечено из архивов: 19101, найдено вредоносных программ 0, подозрений - 1
Ещё инфа, может пригодится. При запуске FF он сразу без спроса ломится на http://www.files.com/Firefox/firefox.exe и выдает "страница недоступна". При этом, в настройках по прежнему открывать с пустой страницы..
Добавлено:
Ещё одна новость. Диспетчер задачи штатный редактор реестра стали нормально открываться.
А в процессах появились новые строки:
winhfwp
yoggo
winnnhcr
Мноооого написано...
Если комп грузится или в нормальном режиме или безопасном то в avz(предварительно обновив его!! ) сделайте стандартный скрипт №3
Если комп грузится или в нормальном режиме или безопасном то в avz(предварительно обновив его!! ) сделайте стандартный скрипт №3
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abp470n5 - в параметре ImagePath должен быть путь к файлу. Там nosntn.sys? Удалять нужно то, что там прописано. Если AVZ так и не запускается в обычном режиме, то плохо. Под PE от него толк не велик.
Вот ссылочка http://www.antispyware.com/glossary_details.php?ID=3247 Если пустит, конечно. Надеюсь, поможет.
Жаль, что прога из PE Не работает. Это первый случай.
Вот ссылочка http://www.antispyware.com/glossary_details.php?ID=3247 Если пустит, конечно. Надеюсь, поможет.
Жаль, что прога из PE Не работает. Это первый случай.
Цитата:
в параметре ImagePath должен быть путь к файлу
\??\C:\WINDOWS\system32\drivers\jemhoq.sys
грузиться снова в РЕ? и переименовывать jemhoq.sys?
Цитата:
Жаль, что прога из PE Не работает. Это первый случай.
Вы про свою прогу? Я при загрузке с диска РЕ её не пробовала. Ибо так и не поняла как загрузить реестр в нее.
Цитата:
Вот ссылочка http://www.antispyware.com/glossary_details.php?ID=3247 Если пустит, конечно. Надеюсь, поможет.
Открылась , скачалось и даже запустилось, но через 2 мин потребовало регистрации
У меня есть Ad-Аware, я всегда ею пользовалась, но сейчас и она не помогает. ИЛи это не то?
Загрузиться с PE, запустить regedit, выделить ветку Local_Machine, меню файл-загрузить куст, спросят имя - даем произвольное. Открываем ДАННОЕ_НАМИ_ИМЯ\ControlSet001\Services\abp470n5, смотрим какой файл запускается, его и переименовать. star4 установить равным 4. Тоже для ControlSet002 и другие, если есть.
Добавлено:
и не забыть выделиь ДАННОЕ_НАМИ_ИМЯ и "файл" - "выгрузить куст"
Добавлено:
http://rapidshare.com/files/116949749/pingpong.pif.html это "хитрый" AVZ, вполне вероятно, что он запустится
Добавлено:
и не забыть выделиь ДАННОЕ_НАМИ_ИМЯ и "файл" - "выгрузить куст"
Добавлено:
http://rapidshare.com/files/116949749/pingpong.pif.html это "хитрый" AVZ, вполне вероятно, что он запустится
Цитата:
это "хитрый" AVZ, вполне вероятно, что он запустится
скачала, просканировала. - абсолютно та же история - найденых вирусов - 0
Коллеги , давайте действовать по отработанной методе http://virusinfo.info/showthread.php?t=1235
FAR перестал запускаться
открывается черное окно..
открывается черное окно..
Alisa Lisa
Цитата:
Вы можете сделать этим пинпонгом стандартный скрипт №3 ????
Цитата:
скачала, просканировала. - абсолютно та же история - найденых вирусов - 0
Вы можете сделать этим пинпонгом стандартный скрипт №3 ????
нет моду личку смотреть ))
щас сделаю
щас сделаю
Вот-вот, на вирусинфо... Примите пилюлю номер 3, вышлите анализы... Я и сам в начале топа туда ссылку давал. Да только AVZ ж не запускался. Кстати, вчера у клиентов на зоопарк нарвался. Тот же sality, плюс alman и три зверька попроще. Два часа касперского ставил, при нормативе 20 минут.
Кто-то из зверьков использовал Active Setup. (HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components) , например. Редко встречал, потому сразу и не полез туда. В том же AVZ, раз уж он заработал, есть "Менеджер Active Setup". Да и еще масса полезностей.
В моем же случае в abp470n5 грузился mgmmjn.sys, крооме того были заражены nkcmd.exe, igfxpers.exe и igfxtray.exe, загрузка которых как бы не должна вызывать подозрений. Но и жить без них можно. А посему, поотключал все, что можно отключить из атозапусков, подозрительные драйверы и службы, и было мне счастье. А дальше KIS 8 сделал свое дело. На самом деле, как представлю, как бы я это все объяснял кому-то далекому( в смысле времени на переписку)...
Alisa Lisa
Извиняюсь за напрасно потраченное время. Если это было напрасно, конечно
Да поможет нам AVZ !
Кто-то из зверьков использовал Active Setup. (HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components) , например. Редко встречал, потому сразу и не полез туда. В том же AVZ, раз уж он заработал, есть "Менеджер Active Setup". Да и еще масса полезностей.
В моем же случае в abp470n5 грузился mgmmjn.sys, крооме того были заражены nkcmd.exe, igfxpers.exe и igfxtray.exe, загрузка которых как бы не должна вызывать подозрений. Но и жить без них можно. А посему, поотключал все, что можно отключить из атозапусков, подозрительные драйверы и службы, и было мне счастье. А дальше KIS 8 сделал свое дело. На самом деле, как представлю, как бы я это все объяснял кому-то далекому( в смысле времени на переписку)...
Alisa Lisa
Извиняюсь за напрасно потраченное время. Если это было напрасно, конечно
Да поможет нам AVZ !
Предыдущая тема: звук в vista 64
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.