» Помощь при лечении компьютера от вирусов

gjf

Цитата:

Рекомендую закрыть рот - то, что сошло в других ветках, на мне не сработает!

А мессяга про нарушения модераторам полетела.

Рекомендую не хамить и не слать мне оскорбления в ПМ!

Цитата:

Да, и благодарю за те минимальные изменения, которые оказались полезными

Прошу убрать их.
evle

Цитата:

Прекрати хамить.

Извиняюсь, тяжело переношу несправедливость и потому не сдержал эмоций!

Цитата:

Полномочия gjf относительно данной темы подтверждаю, извините за небольшую заминку.

Просьба внести это в шапку, дабы из-за досадных заминок более не возникало недоразумений!

neemestniii
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Пофиксите в HiJackThis:

Код: F3 - REG:win.ini: run=

gjf
- io02.sys это драйвер прог SnM и CnQC2, для хардварного тестирования и мониторинга, я автору доверяю. Правда обычно этот драйвер удаляется после выхода из проги, но у меня отладочная версия была и драйвер остался. Он удаляется без проблем. Правда драйвер действительно очень хитрый.
- se32.sys подписан действительной цифровой подписью, сам про себя пишет EnTech softEngine x86 kernel-mode driver, у меня мышь был EnTech, пять кнопок, два скролла, может от него?
- OMCdrv.sys ничего про себя не пишет.
Сейчас мы их... Если не запутаюсь.

Цитата:

Карантин отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Доктор вэб стал ругатся на архив при отправке, пришлось его отключить на время.

Добавлено:

Цитата:

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о
том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними
обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
io02.sys,
OMCdrv.sys

Файлы в процессе обработки.

se32.sys

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru


Hello,

This message has been generated by the automated submission tracking system. If we already detect
these files, the message below tells you how we identify this threat. Your submission will be passed
to a virus analyst.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
io02.sys,
OMCdrv.sys

These files are being processed.

se32.sys

No malicious code was found in this file.

Best regards, Kaspersky Lab

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700

Добавлено:
Оказалось, что ругается не только доктор вэб

Цитата:

---------------------------
Редактирование письма -> newvirus@kaspersky.com
---------------------------
Письмо не отправлено. Сервер сообщает: Проверьте Ваш компьютер на вирусы! Сообщение инфицировано! Сообщение для <newvirus@kaspersky.com> (spm20.tmp) - не проверено - перемещено в карантин
---------------------------
ОК
---------------------------

Так и не понял нормально ушло письмо или нет.

Цитата:

а HDD сделать в той шапке обратную ссылку.

Ссылка давно есть. Единственное что добавлю надпись о жёстких правилах и прочтении шапки.

neemestniii
Вы внимательно всё прочитали?

Цитата:

Отключите
- Антивирус и Файрвол.

Тогда бы никто не кричал.

А карантин - это запароленный архив, так что на него кричать уже не должен.

Если получили ответ о добавлении файлов в обработку - значит они тоже их получили. Ждём, кого признают зловредным.

gjf

Цитата:

Тогда мы никто не кричал.

А карантин - это запароленный архив, так что на него кричать уже не должен.

Если получили ответ о добавлении файлов в обработку - значит они тоже их получили. Ждём, кого признают зловредным.

Кричал уже когда я ...

Цитата:

По окончанию Вам откроет папку с архивом. Это - карантин.
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Карантин отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Именно при отправке антивирус и завопил, а потом и еще не понял кто..

neemestniii
Ладно, подождём ответа аналитиков.

Для быстроты ответа можете загрузить архив карантина куда-нибудь в сети и скинуть ссылку мне в ЛС. Только здесь ссылку не выкладывайте.

!

maxs113

Цитата:

Рекомендации, скрипты и какие-либо действия по устранению Ваших проблем имеют право давать только следующие пользователи (хелперы):
gjf, thyrannosaurus, VlBond, Nikkollo, Oleg_Zaitsev

И уберите ссылку на зверье, даже запароленное

Регулярно сваливается в синий экран компьютер в локальной сети. Сначала был один компьютер, сейчас их уже 4. Симптомы у всех одинаковы. Ошибка:
Цитата:

stop: 0x1000007e SYSTEM_THREAD_EXCEPTION_NOT_HANDLED.

Подозреваю, что где-то сидит вирус, но найти его пока так и не получилось. Следы видно (включение ранее отключенных служб, файлы нулевого размера с различными именами. Сканировал антивирусами, не помогло.
Файлы логов:
1. virusinfo_syscure.zip
2. virusinfo_syscheck.zip
3. hijackthis.log
В синий экран сваливает все компьютеры поочередно в районе 13 часов, плюс-минус несколько минут (до 3-5).

Добавлено:
Логи с компьютера, начавшего сваливаться в синий экран последним.

C:\WINDOWS\system32\winrar32.exe - проверте на http://www.virustotal.com/

Это кому?

hohkn, это Вам. Результат проверки в виде ссылке тут опубликуйте.

VlBond
HumanBean

Цитата:

C:\WINDOWS\system32\winrar32.exe - проверте на http://www.virustotal.com/

Нет на компьютере такого файла

Добавлено:
Прошел поиском в ТоталКоммандере по всем дискам, такого файла не обнаружил.

Добавлено:
На других компьютерах данный файл обнаружен, но он еще в феврале перемещен в карантин DrWeb-ом.

Добавлено:
Самое интересное, что отправить этот файл я не могу. Не дает ни на одном компе его вставить ни через браузер, ни через почтовый клиент. Просто его не видно с любым расширением.

hohkn
http://forum.ru-board.com/topic.cgi?forum=62&topic=20227
http://msdn.microsoft.com/en-us/library/ms795746.aspx

hohkn

Цитата:

Самое интересное, что отправить этот файл я не могу. Не дает ни на одном компе его вставить ни через браузер, ни через почтовый клиент. Просто его не видно с любым расширением.

А если отключить DrWeb тогда отправляется?

WildGoblin
DrWeb на момент отправки был отключен. Ситуация в том, что ни на одном компьютере в окне вставки файла данный файл не виден, даже если сменить его расширение. Сегодня вечером попробую отправить на сайт из дома. Результат сообщу.

Добавлено:
voodstock
Спасибо! Обязательно попробую. Просто сейчас я не в фирме. Я там приходящий.

Добавлено:
VlBond
hohkn
Из дома файл отправил. Наш Результат

hohkn
Ссылка на результат проверки старая (конец января). Нужно выбрать Проверить повторно или что-то в этом роде

thyrannosaurus
Результат повторной проверки

hohkn
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winrar32.exe','');
DeleteFile('C:\WINDOWS\system32\winrar32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Logitech SetPointX');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

В шапке есть - Утилита HiJackThis (около 400 кб). когда открыааешь ссылку есть beta версия и видимо обычная, внимание вопрос подскажите какая из этих двух более менее дольше живет, просто именно слово beta не много напрягает, поэтому решаил проконсультироваться

setwolk

Цитата:

подскажите какая из этих двух более менее дольше живет

Что значит - "дольше живёт"?
По поводу выбора - ТУТ совет gjf...

setwolk
Пробуйте какую хотите, не заработает одна - возьмите другую

gjf
Ну исходя из ваших же слов которые я прочитал перейдя по ссылке, что beta у вас вылетала пару раз, значит она кривая так?

setwolk
Исходя из моих слов понятно, что на моей машине в моей системе с моими настройками бета вылетала несколько раз

В чём вопрос? Вы хотите сделать логи и не знаете, чем воспользоваться?

gjf
Нет я хочу создать некий пакет для лечения заразы вот и тесрирую и чтоб потом не сидеть разбираться с ошибками сразу изначально делаю и беру рабочие версии

setwolk
Не получится создать пакет - базы AVZ обновляются ежедневно, полиморфов существует уже два плюс куча специализированного утиля. Так что вряд ли универсальность будет достигнута.

gjf
Дык можно обновлять базы скажем раз в неделю и нормально, дело просто в том что, пока не могу определится с АВ, да и видимо оно особо не надо, если только через браузер и это будет сетевой червь, тогда да...
Поэтому хотелось бы сделать некую сборочку вот.
Вобщем качать как я понял любую версию да?

Добрый день.

Словил на компьютер нечто, что блокирует страницы сайтов антивирусов и серверы для их обновления. Заметил это когда перестали обновляться базы NODа. Сам NOD с теущими базами ничего не находит. Выполнить действия из раздела шапки Подготовка не выходит, т.к. приведенные там ссылки так же не открываются

Как быть?

beshbalik
как вариант, можно порекоменовать скачать нужные файлы у друга/на работе и т.п.