Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Помощь при лечении компьютера от вирусов

Автор: gjf
Дата сообщения: 06.10.2010 22:35
POHAN
Дорогой Вы мой, кто Вас просил что-то удалять? Восстановите TASKMAN обратно в то же место из этого архива.

Мы ещё не закончили.

- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\drivers\vdqyodcy.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(17); {разблокировка редактора реестра}
BC_Activate;
RebootWindows(true);
end.
Автор: Bandrr
Дата сообщения: 06.10.2010 22:44
Спасибо, понял все исправлю. Машина не моя. На днях все сделаю по инструкции.
Автор: Bandrr
Дата сообщения: 07.10.2010 15:51
Обновил логи.
virusinfo_syscheck.zip http://rghost.ru/2843529
virusinfo_syscure.zip http://rghost.ru/2843536
hijackthis.log http://rghost.ru/2843539
Автор: gjf
Дата сообщения: 07.10.2010 16:13
Bandrr
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\drivers\RtkHDAud.sys','');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9233562777-8305300127-136166952-5258\syscr.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
BC_Activate;
RebootWindows(true);
end.
Автор: Bandrr
Дата сообщения: 07.10.2010 17:02
повторные логи
virusinfo_syscheck.zip http://rghost.ru/2844264

через несколько минут процесс msvmiode.exe снова появился
Автор: gjf
Дата сообщения: 07.10.2010 17:26
Bandrr
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
DeleteFile('C:\Documents and Settings\ADMIN\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9233562777-8305300127-136166952-5258\syscr.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11); {разблокировка диспетчера задач}
ExecuteRepair(17); {разблокировка редактора реестра}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Автор: Bandrr
Дата сообщения: 07.10.2010 18:27
virusinfo_syscheck.zip http://rghost.ru/2845262
лог GMER сделать не могу вываливается синий экран
карантин получается 7.8mb
папки все чищу

Добавлено:
Спасибо за помощь.Без подключения к интернету лишних процессов нет, при подключении через несколько минут появляются msvmiode.exe, в system 32 набор цифр.exe.
После применения скрипта подмена диспетчера задач выделена черным.
Автор: gjf
Дата сообщения: 07.10.2010 20:24
Bandrr
Помощи пока нет, потому как мы не закончили.
К Вам убедительная просьба скопировать в zip-архив с паролем infected следующие файлы:

Код: C:\WINDOWS\cfdrive32.exe
c:\windows\system32\msvmiode.exe
C:\WINDOWS\system32\какие-то_цифры.exe
Автор: Bandrr
Дата сообщения: 07.10.2010 20:30
К сожалению я сейчас не у того компа, как я писал ранее машина не моя, могу лишь отправить quarantine.zip

p.s. quarantine.zip на анализ службу Техподдержки отправил.
Хожу к ним уже 2 дня, из под LiveCD вычичаю всю эту заразу.
Правлю userinit,run не помогает, taskman возникает снова, по поведению похож на palevo.
Автор: gjf
Дата сообщения: 07.10.2010 20:53
Шлите пока quarantine.zip Но желательно, если завтра Вы сбросите и остальное добро - это позволит внести изменения в AVZ, чтобы эффективно бороться с такими зловредами.
Когда будете у той машины - сделайте то, что я порекомендовал с MBAM. Совещался с коллегой - это единственный способ, зараза раскидывает много файлов, которые потом восстанавливают то, что мы зачищаем. MBAM должен будет помочь, погляжу логи и выпишу рецепт
Автор: Bandrr
Дата сообщения: 07.10.2010 21:23
Письмо с quarantine.zip отправил.
Лог с MBAM постараюсь сделать завтра.
Автор: Mushroomer
Дата сообщения: 07.10.2010 21:30
И снова я прошу помощи.

Симптомы болезни. Компьютер с Windows XP SP3 отвалился от домена. Не видит, не пингует. Сетевую карту менял, не помогло. Сетевая розетка рабочая. Проверился NOD (хоть это и не антивирус) - вылечил 11 вирусов. Не помогло. Затем CureIt - вылечил еще 1 вирус. AVZ ничего не нашел.

Сделал логи. На время создания логов NOD работал. Ну не нашел я его как отключить. А удалять не хотелось. Логи http://rghost.net/2847682

Заранее спасибо.
Автор: gjf
Дата сообщения: 07.10.2010 23:20
Bandrr
Письмо получил, там ничего интересного. Продолжим завтра.

Mushroomer
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
StopService('netmonzMP');
StopService('netmonz');
DeleteService('netmonzMP', true);
DeleteService('netmonz', true);
DeleteFile('C:\Temp\oaC60bWw.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('netmonzMP');
BC_DeleteSvc('netmonz');
ExecuteRepair(6); {удаление всех политик ограничений текущего пользователя}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Автор: Mushroomer
Дата сообщения: 08.10.2010 12:13
gjf
Цитата:
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
Антивирус именно отключил, но не выгрузил.

Цитата:
- Закройте все программы, включая Антивирус и Файрвол,
Сделал так, чтобы антивирус не загружался при загрузке компьютера. А Файервол и не запущен был.

Цитата:
- Прикрепите новые логи к новому сообщению в этой ветке.
http://rghost.ru/2851622
Автор: Bandrr
Дата сообщения: 08.10.2010 13:52
gjf
Отправляю лог mbam http://rghost.ru/2852386
На почту сейчас скину архив infected.
Могу скинуть файлы реестра
Автор: gjf
Дата сообщения: 08.10.2010 14:11
Bandrr
Мне бы было желательно получить вот эти файлы:

Код: C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\Documents and Settings\ADMIN\Local Settings\Temp\134.exe
C:\RECYCLER\S-1-5-21-1386133702-8300606912-594990075-8750\syscr.exe
C:\Documents and Settings\ADMIN\Application Data\ltzqai.exe
C:\WINDOWS\system32\41.exe
C:\WINDOWS\system32\msvmiode.exe
C:\WINDOWS\cfdrive32.exe
Автор: Bandrr
Дата сообщения: 08.10.2010 14:17
Уже ушёл от них,скинул всё что нашёл.У них не было времени так что ловил на скорую руку.
Автор: gjf
Дата сообщения: 08.10.2010 14:29
Bandrr
Это то, что надо, спасибо.
Жду выполнения инструкций с MBAM и повторных логов. нужно добить заразу.
Автор: Bandrr
Дата сообщения: 08.10.2010 14:31
Вам спасибо.
Договорился на понедельник, надеюсь в понедельник добьем.
Автор: Mushroomer
Дата сообщения: 08.10.2010 14:55
gjf
Цитата:
Система после этого перезагрузится. Проверьте, остались ли какие-либо проблемы.
Все сделал. Проблема осталась Перестал показываться значек сетевого подключения в системном трее.
Автор: gjf
Дата сообщения: 08.10.2010 14:59
Mushroomer
Перенастроить подключение пробовали?
Автор: Mushroomer
Дата сообщения: 08.10.2010 15:12
Удалить протокол TCP/IP, а потом его добавить? Настройки там какие были такие и остались.
Автор: gjf
Дата сообщения: 08.10.2010 15:35
Mushroomer
Ну да. И подключение тоже удалить и добавить, все настройки прописать заново.

Добавлено:
Bandrr
Ваш "выводок":

Цитата:
10.exe_, 22.exe_, 28.exe_, m[1].exe_, m[2].exe_ - P2P-Worm.Win32.Palevo.awru,
134.exe_, prr[1].exe_ - Trojan-Downloader.Win32.Small.awad,
3517.exe_, 6180384.exe_, mimi[1].exe_, msvmiode.exe_ - Email-Worm.Win32.Joleee.fgs,
r[1].exe_ - P2P-Worm.Win32.Palevo.awrv
Автор: Digital Ray
Дата сообщения: 08.10.2010 15:49
Ко всем
Помогите пожалуйста распознать источник
который самовольно кликает, когда комп в сети (Фаирфокс без звука)
примерно 1 раз в час слышно 4-5 таких кликов подряд
в динамиках слышна "очередь" звуков -- Windows Navigation Start.wav
потом пауза, сопровождающаяся резким понижением скорости серфинга
.
Комп настольный, система ВинХр,
антивирус Макафи Сюита (молчит),
... ИЕ заблокирован фаиром...
.
подскажите пожалуйста с чего и где начинать поиски..?
Автор: gjf
Дата сообщения: 08.10.2010 15:58
Digital Ray

Цитата:
с чего и где начинать поиски..?

Сомневаюсь, что дело в вирусе, скорее барахлит железо.
Но если хотите - сделайте логи, погляжу.
Автор: Bandrr
Дата сообщения: 08.10.2010 16:00

Цитата:
10.exe_, 22.exe_, 28.exe_, m[1].exe_, m[2].exe_ - P2P-Worm.Win32.Palevo.awru,
134.exe_, prr[1].exe_ - Trojan-Downloader.Win32.Small.awad,
3517.exe_, 6180384.exe_, mimi[1].exe_, msvmiode.exe_ - Email-Worm.Win32.Joleee.fgs,
r[1].exe_ - P2P-Worm.Win32.Palevo.awrv

признаю мой.
Автор: Digital Ray
Дата сообщения: 08.10.2010 16:18
gjf

Цитата:
Но если хотите - сделайте логи, погляжу.

Забросил в ПМ
Автор: gjf
Дата сообщения: 08.10.2010 16:34
Digital Ray

Цитата:
Файл номер 1967088 удален !!!

В шапке - рекомендованные файлообменники для логов. И ссылки не в ПМ, а прям в ветку.
Автор: Digital Ray
Дата сообщения: 08.10.2010 17:21

Цитата:
В шапке - рекомендованные файлообменники для логов. И ссылки не в ПМ, а прям в ветку.

Рекомендованные, но не обязательные?
А с чем связано требование только в ветку а не в ПМ..?
Автор: gjf
Дата сообщения: 08.10.2010 17:30
Digital Ray
Потому что на ифолдере, как видите, удалили. И кроме того в ветке ответить могу не только я - её обслуживает ещё как минимум один человек

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970

Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.