» Помощь при лечении компьютера от вирусов

opt_step
У меня обнаружилась проблема с фаром, есть установщик и два рег.файла которые добавляются в реестр.
Ну там увиличеный шрифт и кое что еще, линуксовый админ мне делал давно очень и все работало пока не было вирусни и после установки combofix.
Скрин прилагается http://rghost.ru/4270478
Как избавиться от абра казебры?

Что то на вирусинфо никто не отвечает мне, надеюсь тут подскажу, после вируса в обычном режиме пропал интернет, а в безопасном есть, т.е. что то догружается и мешает пинговать.
Как узнать что это мешает, какой процесс, служба? Сканировал антивирусами, утилитами ничего не находит больше.

Antomox
Видимо нужно выполнить действия в шапке!

Добрый день.

выходит иногда(не всегда) после перезагрузки компьютера табличка "generic host process for win32 services" через 3 - 10 минут
отключается звук в фильмах и играх, системные сообщения слышны. а перед этим виндоус на пару секунд прыгает в класический вид.
программа АВЗ архив syscure залил на файлообменник ( http://rghost.ru/4416927 ) если требуется.
Доктор веб и Нод 32 ничего не видят.
пятый день мучает эта зараза, очень на вас надеюсь
что мне делать ?

Mr No Problem
- Выполните скрипт:

Код:
var
qfolder: string;
qname: string;
begin
qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
qfolder := ExtractFilePath(qname);
if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
CreateQurantineArchive(qname);
ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вчера на домашнем компе словила какой-то вирус.
Перестали загружаться страницы интернет.
Запускала Др.Веб, ничего не нашла...
После перезагрузки и др.веб перестал работать корректно.
Подскажите как пролечить?

Добавлено:
Утилита RSIT: для 32-разрядных систем или для 64-разрядных систем (менее 1 Мб).

Пытаюсь скачать эту утилиту, говорит файл не найден

Не удается найти веб-страницу

JulianaC
Скачайте вот этот файл, запустите и проведите действия, описанные в шапке для диагностики с помощью AVZ.

gjf
Я качаю этот файл на другом компе, переписываю на зараженный и там его запускаю?

JulianaC
Именно.

Доброго дня!

подскажите пожалуйста, что с этим делать ?
после заражения сервера вирусами что то не восстановилось. CureIt запустить не даёт, получаю ошибку


http://rghost.net/4426304
с компа уже удалил CCProxy, это только остатки в регистре

p.s. Win2003Server SP2 Standart, EN; захожу под админом

Stupido
Логи не по правилам, читайте шапку.

gjf

у меня есть подозрение, что я потеряю связ с сервером, если выполню
'net.exe', 'stop tcpip /y', 0, 90000, false
поэтому не запускал скрипт. А так как сервер не у меня под боком, то без связи с ним работать будет невозможно. Или я не прав, и удалённое соединение не пропадёт ?
Спасибо!

Цитата:

Выполните скрипт:

через avz ?

Stupido
Пропадёт, так и должно быть. Но там же ещё и перезагрузка. Остальные действия нужно выполнять после перезагрузки.

gjf
что указывать типе запроса ?
- запрос на исследование вредоносного файла
- запрос на описание вредоносного файла

gjf

обновил отчёты http://rghost.net/4427823 , теперь с перезагрузкой делал

Mr No Problem

Цитата:

- запрос на исследование вредоносного файла

Добавлено:
Stupido
У Вас:

Цитата:

AVZ запущен из терминальной сессии (RDP-Tcp#25)

а надо:

Цитата:

Если зараженная система является сервером или рабочей станцией в локальной сети, нужно для выполнения инструкций загружаться в локальной сессии с правами локального администратора.

Переделывайте.

Добавлено:
Если никак на систему не попасть - не смогу ничего сказать, по терминальным логам этих тонкостей не увидишь

Здравствуйте.
Прошу вашей помощи.
На компе каждый день появляются вирусы, у меня аваст 4 хоум, Windows ХР Proessional SP2. Они постоянно появляются в C:\Documents and Settings и там уже либо в All Users или в Shneider. Я сделал логи утилитами AVZ и RSIT, посмотрите пожалуйста их, очень вас прошу.

Лог AVZ на RGHost: http://rghost.ru/4430740

Лог RSIT info на RGHost: http://rghost.ru/4430786

Лог RSIT log на RGHost: http://rghost.ru/4430801

Rediensh
К сожалению, описанная Вами ситуация будет постоянной для Windows XP SP2 по причине её устарелости.

В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа антивирусов, TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.

gjf
Чтож, отсутствие результата, тоже результат. И на том спасибо...

Windows7,32-bit operation system.Добрый день! У меня такая проблема!Видимо из-за вируса не могу открывать программы с рабочего стола и со Start_All Programs. Могу только с папки самой программы.Все иконки на рабочем столе выглядят как иконка программы Скайп.К примеру хочу открыть iexplore-откроеться Скайп,закрываю.Опять навожу мышку на иконку iexplore,делаю правый клик,Open With... появляеться окно File Download_Security Warning и варианты Открыть,Сохранить или Отменить. Нажму Открыть- откроеться Скайп,нажму Сохранить-говорит,что такая иконка уже существует,заменить или нет.Прогнал Доктор вэб лайф сиди ,что-то нашел,вылечил,удалил.Сразу не загружая Windows прогнал Касперским лайф сиди,нашел какой-то троян,удалил.AVZ ничего не нашел. Заранее благодарен за любую помощь!

http://www.mediafire.com/?rvxgh8er6q61ihw
http://www.mediafire.com/?5qrpe0yjvcpawnc
http://www.mediafire.com/?935piiydbaf5jkd

filmlover
Логи сделаны не по правилам - нужен virusinfo_syscure.zip. Внимательно прочтите правила в шапке.

Извените.А так.
http://www.mediafire.com/?r7qw5winy5mi8sb
http://www.mediafire.com/?6kdkr1ca4amj61o
http://www.mediafire.com/?qn0avv35cnvcced

filmlover
В логах ничего вредоносного не обнаружено. Возможно, ошибки в конфигурации системы.

Подозреваю, что у вас просто вредонос подменил пути в ярлыках. Посмотрите в свойствах, на какой файл ссылается каждый ярлык? Если на Skype.exe - тогда придётся всех пересоздавать заново.

Большое спасибо за ответ!В ярлыках пути прописаны вроде верно и программы вроде хотят запуститься,вылезают на доли секунду,а потом сразу это окно появляеться File Download_Security Warning. Ну ладно,буду продолжать играться с ним,самое главное,что комп вроде чист и значит подводных камней быть не должно.Ещё раз спасибо за помощь!

filmlover
Ну если так - для пущей уверенности сделайте лог с помощью GMER.
gmer.log

http://www.mediafire.com/?ilipak17ctc5n5n-Это лог с GMER, и вот ещё что,может это важно!Я говорил,что у меня все иконки выглядят как Скайп,но при "желании" я могу сделать,что они будут выглядеть как Блакнот или как Nero и соответственно кликая по любой иконке(даже если под ней написано к примеру Alcohol 120%)будет открываться Nero.

filmlover

Логи RSIT вы так и не сделали

А также посмотрите http://www.faultwire.com/solutions-Windows_7/File-Download-Security-Warning-*1389.html

Спасибо за помощ,прийду с работы буду продолжать разбитаться! мои логи с RSIT в моём первом посте.

filmlover
В логах вредоносов не видно, но с конфигурацией системы явно что-то не так.