Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Автор: Mpa3b
Дата сообщения: 14.06.2014 09:50
opt_step, спасибо, отпишусь чего вышло.

ps

iso файл как на флешку закинуть? если копировать файлы то в какой каталог?
Автор: Neon2
Дата сообщения: 14.06.2014 12:50
Mpa3b
Цитата:
iso файл как на флешку закинуть?
Всё расписано здесь.

Автор: Mpa3b
Дата сообщения: 14.06.2014 17:49
все расписано здесь это прям хорошо, знать бы где лежит.

удалил окно AntiWinBlock-ом, в пакете все имеется и для создания флешки с развернутым образом.

ps
bundespolizei "берет" только деньги с карт, нужно код купленого (оплаченного) чека вводить, а не смс отправлять.

Автор: KishMan
Дата сообщения: 21.06.2014 00:24



Помогите, у супруги в мозиле такая фигня - всюду левые ссылки (вызываемые href="javascript:void(0)"). Каспером просканил, все расширения в браузере отключил...
Автор: Neon2
Дата сообщения: 21.06.2014 09:38
KishMan, закрыть все окна мозиллы, дале Пуск - Выполнить набрать "firefox --safe-mode" (без кавычек) и нажмите на "Сбросить Firefox". Все ваши закладки сохранятся.
Автор: obtim
Дата сообщения: 02.07.2014 17:04
Принесли машину, которую полечили актуальным LiveCd Kaspersky на июнь 2014 года. На машине стоял KIS 2013-который удалили. что за вирус попался - не помнят. После лечения машина выдавала wsastartup () failed or you have the incorrect version of winsock installed и сыпались Skype и т.п.
Для закрепления успеха Kaspersky прогнал машину CureIt и HiJack- удалил в основном adware.
Для того, чтобы убрать сообщение об ошибке прогнал скрипт в avz
begin
ExecuteREpair(14);
RebootWindows(true);
end.

Сообщение пропало, проги заработали.
Поставил KIS 2014
Нарисовалась другая проблема: адреса в инете пингуются по имени. Проги не работаю инетовские(браузеры, skype и т.п.)
В журнале ошибки:
1. Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
2. Не удалось загрузить драйвер \Driver\WUDFRd для устройства WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_SILICON-POWER&REV_PMAP#070832650B90FF03&0#.
3. Сбой при запуске службы "TicnoIndexator" из-за ошибки
Не удается найти указанный файл.
4. Загрузка \??\C:\Windows\SysWow64\Drivers\utmyndqy.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера.
[more=AVZ log]Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 02.07.2014 17:45:58
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 23.02.2014 17:04
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 649447
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 431
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 453, извлечено из архивов: 3, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 02.07.2014 17:46:40
Сканирование длилось 00:00:44
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
[/more]

Куда копать?
Автор: opt_step
Дата сообщения: 02.07.2014 18:00
obtim
Обновите базы и повторители лог
Автор: regist123
Дата сообщения: 02.07.2014 18:19
KishMan установленные расширения в браузере проверьте.
Автор: obtim
Дата сообщения: 03.07.2014 09:42
opt_step
Вот адекватный лог http://gfile.ru/aa9Q6
Автор: opt_step
Дата сообщения: 03.07.2014 09:59
del
http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=20225&start=2040#lt
Автор: regist123
Дата сообщения: 03.07.2014 12:47
obtim не выполняйте скрипт написанный выше!

Он удаляет легальные системные файлы. А вирусов по вашему логу не видно.
PS. вот из-за таких советчиков и перестали помогать в этой соседней теме .
Автор: opt_step
Дата сообщения: 03.07.2014 12:49
regist123

Цитата:
PS. вот из-за таких советчиков и перестали помогать в этой теме

не прав ты
Автор: regist123
Дата сообщения: 03.07.2014 13:22
Del
случайно два раза один пост отправил.
Автор: opt_step
Дата сообщения: 03.07.2014 13:24
regist123
http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=2200#13
Автор: Uraanfgh56
Дата сообщения: 03.07.2014 20:52
Никому новый шифровальщик вирус не попадался - во вложении письма якобы от налоговой.

Говорят очень зловредная штука.
Автор: regist123
Дата сообщения: 03.07.2014 21:29
Uraanfgh56 21:52 03-07-2014
Цитата:
Никому новый шифровальщик вирус не попадался - во вложении письма якобы от налоговой.

этот ? https://www.virustotal.com/ru/file/ea81e898c99031d911da2d044401bca0bfd8113282b4564b103ef0982377e67b/analysis/1404213866/
Автор: xakis
Дата сообщения: 05.07.2014 10:34
Попадалось 2 разновидности, одну в DrWeb помогли расшифровать, вторую нет.
Автор: Kuksa01
Дата сообщения: 07.07.2014 06:48
dell
Автор: FUTURiTY
Дата сообщения: 07.07.2014 16:46
Подскажите можно удалить Pricemeter без использование специальных программных средств? т.е. средствами ОС например?
_http://www.securitystronghold.com/ru/gates/remove-pricemeter.html#Technical
Автор: Andreyxpv7
Дата сообщения: 09.07.2014 12:14
FUTURiTY
Судя по описанию на сайте, можно, только это займёт некоторое время: используя возможности, например, Process Explorer, вы можете сначала временно приостановить работу соответствующих процессов (чтобы они не сопротивлялись), затем, используя Autoruns, отключите все найденные способы автозапуска компонентов Pricemeter (скорее всего, такие записи будут выделены красным/розовым цветом). И, наконец, перезагрузите систему: если вы всё сделаете правильно, то ни один из компонентов Pricemeter после перезагрузки не заработает: теперь читаете то, что написано на сайте, и выполняете.
Если вы не знаете, как пользоваться программами Process Explorer и Autoruns, то зайдите сюда .
Если Pricemeter будет сильно сопротивляться, то воспользуйтесь либо загрузкой в безопасном режиме (нажмите F8 на начальном этапе загрузки системы), либо удалите всё лишнее, используя, например, возможности загрузочного диска на базе AntiSMS .
Автор: regist123
Дата сообщения: 09.07.2014 14:33
Andreyxpv7 вопрос был FUTURiTY 17:46 07-07-2014
Цитата:
без использование специальных программных средств? т.е. средствами ОС

так что в такой подстановке вопроса надо было 13:14 09-07-2014
Цитата:
Process Explorer, вы можете сначала временно приостановить работу соответствующих процессов
заменить на диспетчер задач
Цитата:
используя Autoruns, отключите все найденные способы автозапуска
используя msconfig или лучше regedit и т.д. А если вопрос стоял бы как ещё можно его вычистить, то способов много, например MBAM, AdwCleaner (by Xplode) насколько помню тоже его видит и т.д. Это обычная адвара которая в каждой третьей теме на форумах по лечению.
Автор: Andreyxpv7
Дата сообщения: 11.07.2014 08:17
regist123

Цитата:
без использование специальных программных средств? т.е. средствами ОС например?

Вообще-то, если мыслить логически, Process Explorer и Autoruns - это программы от Майкрософт, которые не понятно почему всё ещё никак не хотят включить в состав системы

Цитата:
Сайт Sysinternals был создан в 1996 г. Марком Руссиновичем (Mark Russinovich) и Брайсом Когсвеллом (Bryce Cogswell) для размещения созданных ими усовершенствованных сервисных программ и технической информации. В июле 2006 г. корпорация Microsoft приобрела компанию Sysinternals.


Цитата:
используя msconfig или лучше regedit и т.д.

Autoruns знает об автозапуске больше, чем msconfig, работая в связке с Редактором реестра regedit + вся информация в одном окне: её не нужно искать, как при использовании Редактора реестра.
Автор: bar22890
Дата сообщения: 17.07.2014 10:07
Господа у меня такая бяка, на одном сайте появилась такая херь. Кста, она раньше тоже была, но методом тыка нашёл то расширение из за которого она появлялась. Так сейчас его нет, но эта херь снова тут. По одному отключал расширения, всё равно сидит, а если запускать браузер в безопасном режиме, то нету. Похоже на зловреда. Как быть? Антивирус не видет. Только на этом сайте это появляется. И вот ещё это расширение появилось FinneDealSoft
Всё удалил, то что прицепилось.
Автор: Pavel90000
Дата сообщения: 17.07.2014 16:36
никто не подскажет где можно купить windows98
Автор: BRINROLD
Дата сообщения: 17.07.2014 16:44
Pavel90000

А при чем здесь эта тема - про вирусы ?

Автор: Kies
Дата сообщения: 19.07.2014 12:59
Pavel90000

Цитата:
где можно купить windows98

У бабушки
Автор: mark74
Дата сообщения: 08.08.2014 19:34
столкнулся с вирусом трояном-шифровальщиком paycrypt
тема на форуме drweb

стоит ли обращаться с этой проблемой в VirusInfo, как это уже сделали десятки граждан, судя по количеству соответствующих тем в разделе "Помогите", или наоборот воспользоваться услугами техподдержки drweb ?

хотя и так всё ясно. надо покупать лицензию drweb ))
Автор: Talay
Дата сообщения: 19.08.2014 08:56
mark74
я тоже заразился этим вирусом. все файлы стали расширением paycrypt@gmail_com

Помогите расшифровать эти файлы.
Автор: mark74
Дата сообщения: 19.08.2014 10:00
Talay
за неделю пришлось купить пару лицензий DrWeb
обратился к ним с двумя случаями шифрования

*.*.paycrypt@gmail_com
*.*.id-0804402289_decrypt@india.com

оба без толку.

Единственная польза - лучше познакомился с антивирусом и фаирволом DrWeb.
Автор: copsmith
Дата сообщения: 19.08.2014 11:56
Pavel90000
http://bit.ly/Xx1Dso

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687

Предыдущая тема: Незапускаются программы


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.