adashko
Вас-то это как касается?
Вас-то это как касается?
» Помощь при лечении компьютера от вирусов
Я описал проблему- мне дали ссылку на ваш форум, проверить комп, хотя я проверял утилитой web и malwarebyt , а стоит касперский интернет секьюрити 2010 и вроде все чисто, так что если вы мне подскажете буду благодарен.
А в чем может быть проблема, когда пингуется на любой адрес, а через браузер не открывается.
система - Windows XP pro XP2.
поставил антивирус KIS, он активировался, но не может качать обновление, хотя нашел заразы - (мне кажется кидо).
сканил CureIT (правда 10 дней назад скачал) , но ничего не нашел. запустил AVZ - при быстрой проверке тоже ничего не нашел.
Hosts чист. сбросил TCP/IP, удалил статические маршруты (через AVZ).
Но не снял логи HiJackThis
забыл.
Есть решение какой не будь ?
система - Windows XP pro XP2.
поставил антивирус KIS, он активировался, но не может качать обновление, хотя нашел заразы - (мне кажется кидо).
сканил CureIT (правда 10 дней назад скачал) , но ничего не нашел. запустил AVZ - при быстрой проверке тоже ничего не нашел.
Hosts чист. сбросил TCP/IP, удалил статические маршруты (через AVZ).
Но не снял логи HiJackThis
забыл. Есть решение какой не будь ?
contrafack, проверьте - не прописан ли прокси-сервер.
gerbar
Выложите логи, созданные по правилам, указанным в шапке темы на файлообменник и сообщите ссылки
contrafack
Чтобы не гадать на кофейной гуще, выполните правила, указанные в шапке темы
Выложите логи, созданные по правилам, указанным в шапке темы на файлообменник и сообщите ссылки
contrafack
Чтобы не гадать на кофейной гуще, выполните правила, указанные в шапке темы
Neon2
нету никакого прокси.
thyrannosaurus
да он не рядом.. просто хотел узнать варинаты какие могут быть.
нету никакого прокси.
thyrannosaurus
да он не рядом.. просто хотел узнать варинаты какие могут быть.
значит докладываю:
имеется 2 компа, подключены к роутеру.
признаки интернета:
[more]H:\>ping www.mail.ru
Обмен пакетами с www.mail.ru [94.100.191.201] по 32 байт:
Ответ от 94.100.191.201: число байт=32 время=40мс TTL=55
Ответ от 94.100.191.201: число байт=32 время=40мс TTL=55
Ответ от 94.100.191.201: число байт=32 время=39мс TTL=55
Ответ от 94.100.191.201: число байт=32 время=40мс TTL=55
Статистика Ping для 94.100.191.201:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 39мсек, Максимальное = 40 мсек, Среднее = 39 мсек
H:\>
H:\>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : user-0a2d13a181
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek PCIe FE Family Controller
Физический адрес. . . . . . . . . : 48-5B-39-D7-61-FE
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.237
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1
H:\>[/more]
через AVZ сбросил все что можно было, сканировал систему с помощью CureIT! (и под windows и под LiveCD), не нашлось вирусов. Потом сделал верификация системных файлов системы - тоже без результата
Браузер не может отображать страницы и KIS2010 не может обновиться.
вот файлы логов:
AVZ
hijackthis
Точно такая же ситуация на 2_м компе:
логи оттуда:
AVZ
hijackthis2
имеется 2 компа, подключены к роутеру.
признаки интернета:
[more]H:\>ping www.mail.ru
Обмен пакетами с www.mail.ru [94.100.191.201] по 32 байт:
Ответ от 94.100.191.201: число байт=32 время=40мс TTL=55
Ответ от 94.100.191.201: число байт=32 время=40мс TTL=55
Ответ от 94.100.191.201: число байт=32 время=39мс TTL=55
Ответ от 94.100.191.201: число байт=32 время=40мс TTL=55
Статистика Ping для 94.100.191.201:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 39мсек, Максимальное = 40 мсек, Среднее = 39 мсек
H:\>
H:\>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : user-0a2d13a181
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek PCIe FE Family Controller
Физический адрес. . . . . . . . . : 48-5B-39-D7-61-FE
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.237
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1
H:\>[/more]
через AVZ сбросил все что можно было, сканировал систему с помощью CureIT! (и под windows и под LiveCD), не нашлось вирусов. Потом сделал верификация системных файлов системы - тоже без результата
Браузер не может отображать страницы и KIS2010 не может обновиться.
вот файлы логов:
AVZ
hijackthis
Точно такая же ситуация на 2_м компе:
логи оттуда:
AVZ
hijackthis2
contrafack
Просьба сделать логи с помощью AVZ 4.35, а не с помощью KIS (похоже). И выложите на другой обменник, пожалуйста
Просьба сделать логи с помощью AVZ 4.35, а не с помощью KIS (похоже). И выложите на другой обменник, пожалуйста
Помогите пожалуйста! У меня компьютер не заходит в мои рисунки пишет что ошибка приложения explorer.exe и ещё вот что пишет: Исключение unknown software exceprion (0xc0000094) в приложении по адресу 0x05de49eb
ПОДСКАЖИТЕ ПОЖАЛУЙСТА ЧТО МНЕ ДЕЛАТЬ! КОМПЬЮТЕР Я НА ВИРУСЫ ПРОВЕРИЛ 1 ВИРУС НАШЁЛ УДАЛИЛ ЕГО, ПОТОМ ЗАПУСТИЛ ПРОГРАММУ SUPERAntiSpyware Free Edition ТОЖЕ ВСЁ ОЧИСТИЛ АНТИВИРУС У МЕНЯ НОД32! ПОДСКАЖИТЕ ПОЖАЛУЙСТА!
ПОДСКАЖИТЕ ПОЖАЛУЙСТА ЧТО МНЕ ДЕЛАТЬ! КОМПЬЮТЕР Я НА ВИРУСЫ ПРОВЕРИЛ 1 ВИРУС НАШЁЛ УДАЛИЛ ЕГО, ПОТОМ ЗАПУСТИЛ ПРОГРАММУ SUPERAntiSpyware Free Edition ТОЖЕ ВСЁ ОЧИСТИЛ АНТИВИРУС У МЕНЯ НОД32! ПОДСКАЖИТЕ ПОЖАЛУЙСТА!
rpiufh
Выполните правила, указанные в шапке темы
Выполните правила, указанные в шапке темы
thyrannosaurus
кто сказал, что я сделал лог с KIS??? и какой файлообменник выложить? скажите - туда и выложу.
Читайте еще раз !! логи снят ПРАВИЛЬНЫМИ программами.
кто сказал, что я сделал лог с KIS??? и какой файлообменник выложить? скажите - туда и выложу.
Читайте еще раз !! логи снят ПРАВИЛЬНЫМИ программами.
а где шапка?
rpiufh
Вверху страницы смотрите
Вверху страницы смотрите
Удалено. Прошу прощения, ошибся темой.
Ещё вопрос: у меня в программе Windows Movie Maker не создаются титры, что мне делать?
rpiufh
С Movie Maker не в этом разделе. Правила выполнять будете?
С Movie Maker не в этом разделе. Правила выполнять будете?
gjf, thyrannosaurus, VlBond, Nikkollo, Oleg_Zaitsev, попробуйте помочь путаннику FoxGAME - см. с этого поста.
FoxGAME
По Вашим логам всё у Вас чисто.
По Вашим логам всё у Вас чисто.
спс. мужики!!
описываю этап заражения:
зашел на сайт imageban.ru с IE6 (к сайту ранее притензей не было, видимо рекламный модуль заражен), запустилась Java 6 update 16, по всей видимости она скачала *.exe с желто-зеленой иконкой (а возможно и не только его). Касперский 2009 начал эвристический анализ этой проги (сразу двух ее экземпляров), но даже максимальные настройки безопасности не предотвратили то что случилось далее. по очередно начали вылетать все проги, что были запущены в данный момент (возможно от переполнения буфера), в том числе и все службы от чего комп вскоре сообщил о неминуемом перезапуске.
как лечил и что находил:
командой shutdown -a мне удалось избежать перезапуска и возможных серьезных последствий. удалось запустить Process Explorer (почти все проги не могли запуститься из-за ошибки "память не может быть read", что косвенно подтверждает идею о переполнении буфера), Проводник (после того как я вырубил все что можно) и к великой радости самого Касперского (который, как вы догадались, тоже вылетел, однако его службы осталась в памяти). Каспер обнаружил абсолютно скрытую папку C:\systemhost.exe\ (зайти в нее можно было только непосредственно введя путь) и пару файлов вируса в этой папке (systemhost.exe Ydy zjDp иконка от MS Access и еще какой-то *.bin, обозвав их Hidden.Object), но не нашел файла копирующего этот вирус (в папке Documents and Settings netprotocol.exe Ydy zjDp иконка от MS Access) и два файла что проверялись эвристическим методом (в папке system32). после их обнаружения он просил перезагрузки. однако я, пользуясь рабочим Проводником стал искать новые файлы (удалил каких-то два скрытых файла в папке drivers, почистил куки и кэш IE6), однако пока не нашел саму папку C:\systemhost.exe\ . далее я наконец перезагрузился, вирус было захотел запуститься, но пострадал от ошибки "память не может быть read". потом с помощью WinRAR я наконец-то нашел скрытую папку и удалил ее. так же поудалял другие подозрительные новые файлы. и после следующей перезагрузки остался лишь один след заражения.
проблема:
теперь каждый раз explorer.exe запускает дочерний процесс svchost.exe (который не является службой). этот процесс каждые 5 минут посылает исходящий TCP пакет на адрес 209.159.153.138 и порт 8888, который блокируется моим фаерволом. при подключении сети svchost.exe начинает посылать еще и dns запросы, пытаясь выйти в сеть. если вырубить этот дочерний процесс, то пакеты более не посылаются.
вопрос:
нет 100% уверенности, но я считаю что explorer.exe и svchost.exe остались оригинальными. оттого мне не понятно как explorer.exe запускает дочерний процесс (скорее всего как расширение оболочки и если воспользоваться прогой Autorun от Марка Руссовича, то вероятно я найду это расширение и смогу отключить его, однако ж настройки на посыл пакетов сохраняться, а мне хотелось бы полностью избавиться от вируса) и как мне это устранить. возможно есть еще какие-то последствия которых я просто не заметил - желаю устранить и их тоже.
зашел на сайт imageban.ru с IE6 (к сайту ранее притензей не было, видимо рекламный модуль заражен), запустилась Java 6 update 16, по всей видимости она скачала *.exe с желто-зеленой иконкой (а возможно и не только его). Касперский 2009 начал эвристический анализ этой проги (сразу двух ее экземпляров), но даже максимальные настройки безопасности не предотвратили то что случилось далее. по очередно начали вылетать все проги, что были запущены в данный момент (возможно от переполнения буфера), в том числе и все службы от чего комп вскоре сообщил о неминуемом перезапуске.
как лечил и что находил:
командой shutdown -a мне удалось избежать перезапуска и возможных серьезных последствий. удалось запустить Process Explorer (почти все проги не могли запуститься из-за ошибки "память не может быть read", что косвенно подтверждает идею о переполнении буфера), Проводник (после того как я вырубил все что можно) и к великой радости самого Касперского (который, как вы догадались, тоже вылетел, однако его службы осталась в памяти). Каспер обнаружил абсолютно скрытую папку C:\systemhost.exe\ (зайти в нее можно было только непосредственно введя путь) и пару файлов вируса в этой папке (systemhost.exe Ydy zjDp иконка от MS Access и еще какой-то *.bin, обозвав их Hidden.Object), но не нашел файла копирующего этот вирус (в папке Documents and Settings netprotocol.exe Ydy zjDp иконка от MS Access) и два файла что проверялись эвристическим методом (в папке system32). после их обнаружения он просил перезагрузки. однако я, пользуясь рабочим Проводником стал искать новые файлы (удалил каких-то два скрытых файла в папке drivers, почистил куки и кэш IE6), однако пока не нашел саму папку C:\systemhost.exe\ . далее я наконец перезагрузился, вирус было захотел запуститься, но пострадал от ошибки "память не может быть read". потом с помощью WinRAR я наконец-то нашел скрытую папку и удалил ее. так же поудалял другие подозрительные новые файлы. и после следующей перезагрузки остался лишь один след заражения.
проблема:
теперь каждый раз explorer.exe запускает дочерний процесс svchost.exe (который не является службой). этот процесс каждые 5 минут посылает исходящий TCP пакет на адрес 209.159.153.138 и порт 8888, который блокируется моим фаерволом. при подключении сети svchost.exe начинает посылать еще и dns запросы, пытаясь выйти в сеть. если вырубить этот дочерний процесс, то пакеты более не посылаются.
вопрос:
нет 100% уверенности, но я считаю что explorer.exe и svchost.exe остались оригинальными. оттого мне не понятно как explorer.exe запускает дочерний процесс (скорее всего как расширение оболочки и если воспользоваться прогой Autorun от Марка Руссовича, то вероятно я найду это расширение и смогу отключить его, однако ж настройки на посыл пакетов сохраняться, а мне хотелось бы полностью избавиться от вируса) и как мне это устранить. возможно есть еще какие-то последствия которых я просто не заметил - желаю устранить и их тоже.
slavka850
И снова здравствуйте! Ответил Вам уже в параллельной теме, а Вы уже тут продублировались
На Ваш вопрос можно ответить только взглянув на логи. Прочитайте информацию в шапке и выполните всё необходимое.
И снова здравствуйте! Ответил Вам уже в параллельной теме, а Вы уже тут продублировались
На Ваш вопрос можно ответить только взглянув на логи. Прочитайте информацию в шапке и выполните всё необходимое.
gjf, забыл указать ОСь WinXP SP3 без доп. обновлений.
еще забыл про то, что попутно скачался pdfupdater для Adobe Acrobat Reader, но что бы он сделал я так и не узнал ибо довольно быстро отключил инет и стал по мере взможности противодействовать заразе (завершив вдруг ни с тогони с сего стартанувший Acrobat Reader).
а теперь почему slavka850 пишет с другого аккаунта. то ли я перестарался с Autoruns (что маловероятно), то ли вирь попался с хитрой системой самонеуничтожения, но в результате вышло так, что теперь я тупо не могу залогиниться. запускается ОСь, логин экран, появляется обоина рабочего стола и... сею же секунду происходит автоматический выход из системы (скорее так вирус отреагировал на завершение его процесса мною, но в этом деле я мало понимаю - мог и перемудрить). загрузка последней удачной конфиги и безопасный режим не работают.
почему не могу выполнить инструкции и сделать лог:
зараженную систему мне не очень уж и жалко (внда уже как полгода держится и успела набраться пусть и мелких, но раздражающих глюков - переустановка неминуема), а вот стоящую рядом игровую ОСь очень даже (она в рабочем состоянии и с кучей ПО с ограниченным количеством активаций, в том числе и бета версий).
если помощь без лога вы предоставлять отказываетесь, что ж, будем делать бэкап и переустановку...
еще забыл про то, что попутно скачался pdfupdater для Adobe Acrobat Reader, но что бы он сделал я так и не узнал ибо довольно быстро отключил инет и стал по мере взможности противодействовать заразе (завершив вдруг ни с тогони с сего стартанувший Acrobat Reader).
а теперь почему slavka850 пишет с другого аккаунта. то ли я перестарался с Autoruns (что маловероятно), то ли вирь попался с хитрой системой самонеуничтожения, но в результате вышло так, что теперь я тупо не могу залогиниться. запускается ОСь, логин экран, появляется обоина рабочего стола и... сею же секунду происходит автоматический выход из системы (скорее так вирус отреагировал на завершение его процесса мною, но в этом деле я мало понимаю - мог и перемудрить). загрузка последней удачной конфиги и безопасный режим не работают.
почему не могу выполнить инструкции и сделать лог:
зараженную систему мне не очень уж и жалко (внда уже как полгода держится и успела набраться пусть и мелких, но раздражающих глюков - переустановка неминуема), а вот стоящую рядом игровую ОСь очень даже (она в рабочем состоянии и с кучей ПО с ограниченным количеством активаций, в том числе и бета версий).
если помощь без лога вы предоставлять отказываетесь, что ж, будем делать бэкап и переустановку...
tpmOCHKA
тут http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=700#14 подкинул инфы
тут http://forum.ru-board.com/topic.cgi?forum=62&topic=18156&start=700#14 подкинул инфы
tpmOCHKA
Цитата:
К сожалению, да - без логов я ничего не смогу сделать. Только добить систему
Цитата:
если помощь без лога вы предоставлять отказываетесь, что ж, будем делать бэкап и переустановку...
К сожалению, да - без логов я ничего не смогу сделать. Только добить систему
VETER82
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.
В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.
Здравствуйте!
Вот уже несколько дней не могу избавиться от зловредов в компьютере, помогите, если кто может, пожалуйста!
После удаления "букета" из syscr.exe, cfdrive32.exe и ещё целой кучи вирусов стало происходить следующее: запускается обработчик командной строки, затем запускается FTP.EXE, который (как мне кажется, как проверить точно не заю) начинает скачивать вирусы, например:
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\H3V5RM86\j[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MDGRGR1I\j[2].exe
после некоторого времени антивирус (AVG) начинает обнаруживать процессы типа:
"06.10.2010, 23:45:18";"NT AUTHORITY\SYSTEM";"IDP";"Обнаружен процесс 28.EXE."
помогите, пожалуйста разобраться с этой заразой...
скриншот диспетчера задач:
<a href="http://rghost.ru/2836430.view"><img src="http://rghost.ru/2836430/thumb.png" /></a>
hijackthis.log http://rghost.ru/2836359
virusinfo_syscure.zip http://rghost.ru/2836358
virusinfo_syscheck.zip http://rghost.ru/2836357
Вот уже несколько дней не могу избавиться от зловредов в компьютере, помогите, если кто может, пожалуйста!
После удаления "букета" из syscr.exe, cfdrive32.exe и ещё целой кучи вирусов стало происходить следующее: запускается обработчик командной строки, затем запускается FTP.EXE, который (как мне кажется, как проверить точно не заю) начинает скачивать вирусы, например:
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\H3V5RM86\j[1].exe
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MDGRGR1I\j[2].exe
после некоторого времени антивирус (AVG) начинает обнаруживать процессы типа:
"06.10.2010, 23:45:18";"NT AUTHORITY\SYSTEM";"IDP";"Обнаружен процесс 28.EXE."
помогите, пожалуйста разобраться с этой заразой...
скриншот диспетчера задач:
<a href="http://rghost.ru/2836430.view"><img src="http://rghost.ru/2836430/thumb.png" /></a>
hijackthis.log http://rghost.ru/2836359
virusinfo_syscure.zip http://rghost.ru/2836358
virusinfo_syscheck.zip http://rghost.ru/2836357
POHAN
Похоже на Palevo.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
DeleteFile('C:\Documents and Settings\LocalService\Application Data\nuabu.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Похоже на Palevo.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
DeleteFile('C:\Documents and Settings\LocalService\Application Data\nuabu.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Здравствуйте!
Помогите пожалуйста с msvmiode.exe, к сожалению логов всего 2
virusinfo_syscheck.zip http://rghost.ru/2837839
virusinfo_syscure.zip http://rghost.ru/2837819
Помогите пожалуйста с msvmiode.exe, к сожалению логов всего 2
virusinfo_syscheck.zip http://rghost.ru/2837839
virusinfo_syscure.zip http://rghost.ru/2837819
Всё сделал, c:\windows\Taskman.exe удалил руками.
virusinfo_syscheck.zip http://rghost.ru/2837900
virusinfo_syscure.zip http://rghost.ru/2837902
hijackthis.log http://rghost.ru/2837904
пока что вроде бы всё нормально, завтра отпишусь
virusinfo_syscheck.zip http://rghost.ru/2837900
virusinfo_syscure.zip http://rghost.ru/2837902
hijackthis.log http://rghost.ru/2837904
пока что вроде бы всё нормально
, завтра отпишусьСтраницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.