» Помощь при лечении компьютера от вирусов

beshbalik
Снять HDD и отнести его туда, где обновляются базы и там уже просканить, пролечить и убить заразу. Скорее всего вирусня

beshbalik
Скиньте мне в ПМ Ваш e-mail - я вышлю пакет для сканирования.
Или действительно
Цитата:

можно порекоменовать скачать нужные файлы у друга/на работе и т.п.

gjf

Какие именно файлы?
Маюсь той же проблемой

A_LoneWolf
С какой "той же" проблемой?

Цитата:

A_LoneWolf
С какой "той же" проблемой?

ESET не обновляется. Пишет-невозможно загрузить файлы.
На второй машине он же - без проблем


Добавлено:
к стати, AVZ тоже не могу обновить, и азу из ссылки в шапке не могу скачать

A_LoneWolf
Выше посты для beshbalik Вас тоже касаются.

У кого не работают обновления и антивирусные сайты, скорее всего изменен файл hosts

Хайджек его восстанавливает, не помню ток какой пункт.

Если никакие exe запустить не дают, а сейф моде приводит к синему экрану, снимайте винт, несите к другу...

Jene

У меня hosts в полном порядке. В нем есть изменения, которые я сам вносил руками, и с которыми
все работало, и работает на соседней машитне. Новых строк там нет.

Тем не менее обновления ESET не проходят.

Выполняю сканирование по инструции из шапки.

Добавлено:
gjf

выполнено

http://www.mediafire.com/file/ml134kzmzym/virusinfo_syscure.zip


http://www.mediafire.com/file/j0nzhmyw1ym/virusinfo_syscheck.zip


http://www.mediafire.com/file/whtntjdm2i2/hijackthis.log

A_LoneWolf
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\8BBBx9I.exe','');
QuarantineFile('C:\WINDOWS\system32\2980e270.exe','');
QuarantineFile('C:\WINDOWS\system32\TFNF5.exe','');
DeleteFile('C:\WINDOWS\system32\2980e270.exe');
DeleteFile('C:\WINDOWS\system32\8BBBx9I.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

gjf

по ссылкам пройти не могу, не грузятся.

Как выполнить скрипты кот. приложены текстом?

Какие именно папки очистить?


Спасибо.


Добавлено:
gjf


как выполнить - разобрался.

сейчас сделаю

A_LoneWolf
Как успехи? Ссылки открываются? Что по карантину?

gjf


новые логи

http://www.mediafire.com/file/2mnmztjqocy/virusinfo_syscure.zip

http://www.mediafire.com/file/jyml5jzgyvm/virusinfo_syscheck.zi

phttp://www.mediafire.com/file/dmkmmzywkmo/hijackthis.log



ссылки не открываются

карантин отправил

Добавлено:

gjf


поправил

http://www.mediafire.com/file/2mnmztjqocy/virusinfo_syscure.zip

http://www.mediafire.com/file/jyml5jzgyvm/virusinfo_syscheck.zip

http://www.mediafire.com/file/dmkmmzywkmo/hijackthis.log

A_LoneWolf
Выполните скрипт в AVZ

Код: begin
ExecuteRepair(20);
RebootWindows(true);
end.

gjf
Не обновлялся антивир и не открывались антивирусные файлы, после востановления файла host
и выполнения команды route -f получилось обновить НОД32 и AVZ логи прилогаются
http://slil.ru/28906364 помогите очистить комп от оставшихся зловредов,зарание блогадарю....

bvas
SP2 - тяжёлый случай. Всё, что буду говорить дальше - делать на компьютере, отключенном от сети. И вообще - желательно до того момента, пока я не скажу, его в сеть не включать!.
Возможно, что все флешки, побывавшие в Вашем компьютере, тоже заражены. Вставьте их в USB-разъёмы и не извлекайте, пока я Вам это не разрешу.
Выполните скрипт AVZ:

Код: begin
SetAVZPMStatus(true);
RebootWindows(false);
end.

gjf

Цитата:

соберите полный комплект логов по Правилам в шапке (должно быть три лога).

Был не у себя,поэтому уже как Вы пишете Логов собрать не смогу...С лечением помогли на другом форуме..Могу для удостоверения полного излечения попросить посмотреть оставшиеся у меня на флэшке логи стандартного скрипта №2 и hijackthis.log
http://slil.ru/28906920 Ваш Вердикт - излечился или нет??? Спасибо...

bvas
Да, теперь чисто. В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

gjf

Все заработало.

Спасибо большое.

A_LoneWolf
Там один файл был подозрительный. Что ответили по карантину?

Объясните кто нибудь доходчиво или дайте ссылку на то
Почтему трояны блокеры спокойно заходят на компьютер и блокируют его при установленных KIS 7, KIS 2010 с последними базами?
Как устроен механизм проникновения на компьютер?
Можно ли предотвратить это установив например все критические обновления для Windows или настроить KIS так чтобы не пропускал?

ErikMAL

Цитата:

Можно ли предотвратить это установив например все критические обновления для Windows

Это первое и необходимое условие. Если оно не выполнено, никакой антивирь тебе не поможет, по большому счёту.

Sish
Правда, как правило, сначала выходят вирусы, использующие уязвимости, а только потом - критические обновления, закрывающие эти уязвимости.

Добавлено:
ErikMAL
Возьмите на заметку

ErikMAL
Кросспостинг и оффтоп в этой ветке. Вы соцопрос устраиваете?

В этой ветке - только конкретные вопросы о лечении, оформленные по Правилам в шапке. Обсуждение - в других ветках. Тем более, что в кросспостинговой ветке Вам ответили совершенно правильно.

beshbalik
Простой и самый верный способ в этой ситуации - это снести систему.
И NOD не самый лучший антивирус, попробуйте KIS2010

jeims000
Не стоит заниматься рекламой, насчет АВ можно спорить очень долго, но этой в другой ветке.

люди, у меня к вам конструктивное предложение.
может если находится "неизвестный" вирус, его публиковать в архиве с паролем (допустим virus) на файло помойке где-нить, чтоб в дальнейшем вендорам раскидывать для пополнения базы.

bahtey
Предложения здесь. Тут только запросы на лечение.

По неисповедимым путям ссылок/сайтов, вспомнил про одну дебильную рекомендацию одного широко известного в узких кругах пейсателя - не верьте ему, он сам ни хрена этого не делал! А я сделал, узрел результаты, поэтому и утверждаю, что полная лажа:
-------------------
Службы терминалов [Terminal Services]

Данная служба является основой всего функционала, предназначенного для интерактивного удаленного доступа к вашему компьютеру - удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника, - и потому настоятельно рекомендуется к отключению. Побочным эффектом ее отключения является недоступность быстрого переключения пользователей и прекращение отображения имени пользователя в Диспетчере задач.

От этой службы зависят Совместимость быстрого переключения пользователей, Перенаправитель портов пользовательского режима служб терминалов и Служба медиаприставки Windows Media Center.

Совместимость быстрого переключения пользователей [Fast User Switching Compatibility]

В Windows XP данная служба обеспечивает возможность переключения на другую учетную запись без прекращения работы в предыдущей. После отключения Служб терминалов этот сервис не может запускаться и потому также должен быть отключен.
-------------------
Если отключите эти службы, то в диспетчере задач перестанет отображаться имя пользователя, и хрен вы узнаете о вирусах, которые маскируются под системные процессы. И ведь указывал же этому пейсателю, что он не прав.

Astra55
Это уже многие знают, как и то, что будет при отключении Планировщика задач
Но просьба - не в эту тему, есть соседняя.
За инфу спасибо.

при загрузке появляется сообщение:"Windows не удалось найти'C:\Documents'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку"Пуск", а затем выберите команду"Найти".
вот логи:
http://rghost.ru/1420179 - virusinfo_syscure
http://rghost.ru/1420224 - virusinfo_syscheck
http://rghost.ru/1420243 - hijackthis