Просто так закачка не открывается, но если через правую кнопку мыши и "Дополнительно", то получилось...
» Помощь при лечении компьютера от вирусов
Eviuss
Утилиты, указанные в шапке темы, запускаются? Правила выполнить можете?
Утилиты, указанные в шапке темы, запускаются? Правила выполнить можете?
Ну в общем это то, что мне предложили сделать в Лаборатории Касперского. Сейчас докачаю (очень маленькая скорость) их Kaspersky Virus Removal Tool и буду действовать дальше. Только проблема в одном, я не могу отключить защитное ПО, отключить восстановление системы и , что они там еще просят. Могу только скачать и продиагностировать, сформировать отчет (надеюсь) и отправить. Как вы в этом всем разбираетесь???
Eviuss
Цитата:
Значит, оно у Вас включено? Может быть, там остались контрольные точки?
Попробуйте посмотреть их и откатиться на ближайшую, тогда и реестр восстановится...
(оно находится - ПКМ "мой комп - свойства")
Цитата:
я не могу отключить ... восстановление системы
Значит, оно у Вас включено? Может быть, там остались контрольные точки?
Попробуйте посмотреть их и откатиться на ближайшую, тогда и реестр восстановится...
(оно находится - ПКМ "мой комп - свойства")
Eviuss
Качайте и делайте логи. Без логов Вам не помогут.
Цитата:
Делайте то, что можете.
Качайте и делайте логи. Без логов Вам не помогут.
Цитата:
Только проблема в одном, я не могу отключить защитное ПО, отключить восстановление системы и , что они там еще просят.
Делайте то, что можете.
Захожу в "Мой комп", нажимаю пкм "свойства" - ответ все тот же: нет прав доступа...Извините, я , наверное, уже всем надоела...
Eviuss
Прочитайте шапку. То, что не получается выполнить - не делайте. Что получится - сделайте.
Почитайте тему - все выкладывают файлы логов. Сделайте то же.
Прочитайте шапку. То, что не получается выполнить - не делайте. Что получится - сделайте.
Почитайте тему - все выкладывают файлы логов. Сделайте то же.
Добро.Дождусь окончания проверки и выложу.
Eviuss, Личный Ящик проверьте.
gjf
Извиняюсь за задержку с отчетом о проделанных еще 18-03-2011 действиях.
Указанные действия (максимально как мог) выполнил. Вот новые логи. http://rghost.net/4871981
Карантин не создался. Возможно Drweb умудрился (еще до начала процесса лечения 18-03-2011) сам удалить вирусы. Ну по крайней мере я в логах Drweb видел блокировку доступа к файлу С:\WINDOWS\system32\tvyblpj.dll
После лечения стало выходить сообщение о том, что найдено новое (непонятно какое) устройство и для него надо установить драйвера.
Но вроде все работает и без него.
Извиняюсь за задержку с отчетом о проделанных еще 18-03-2011 действиях.
Указанные действия (максимально как мог) выполнил. Вот новые логи. http://rghost.net/4871981
Карантин не создался. Возможно Drweb умудрился (еще до начала процесса лечения 18-03-2011) сам удалить вирусы. Ну по крайней мере я в логах Drweb видел блокировку доступа к файлу С:\WINDOWS\system32\tvyblpj.dll
После лечения стало выходить сообщение о том, что найдено новое (непонятно какое) устройство и для него надо установить драйвера.
Но вроде все работает и без него.
Mushroomer
Чисто. Устройство - то я сделал, оно было нужно для увеличения "глубины сканирования". Сейчас уберём. Выполните скрипт:
Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.
Чисто. Устройство - то я сделал, оно было нужно для увеличения "глубины сканирования". Сейчас уберём. Выполните скрипт:
Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.
Я не знаю, вирус это или нет. Техподдержка Касп. сказала прислать им архив под паролем virus, такие файлы:
C:\WINDOWS\Finish.exe и C:\WINDOWS\system32\PKey.exe. Касперский такие вирусы не находит.
C:\WINDOWS\Finish.exe и C:\WINDOWS\system32\PKey.exe. Касперский такие вирусы не находит.
Kaile
Это круто. Логи где? Или просто крик души?
Это круто. Логи где? Или просто крик души?
gjf
Да нет, это не крик души. Да давно все это тянется с техподдержкой и т.п. Просто здесь в шапке написано, что -известной или неизвестной инфекцией; - я не знаю, шут ее - инфекция это или нет. Логи и все остальное нужное я сделаю.
В поиске здесь забил PKey.exe - попал на тему Касперского 2009 - там тоже об этом файле спрашивали и вроде как это вирус.
Проблема на компьютере в том, что скорость открытия страниц при включенной и выключенной защитах касп. отличается в порядка 4 раза, а скорость инета измеренная на известных сатах, в Опере, также отличается, но уже в 10-15 раз. А так вроде все работает. Разве, что мышь часто виснет и почтовик Аутлок тоже. Да часто появляется окно от акробат (или адоб) флеш, чтобы обновиться или напомнить позже. Я ранее и не обращал внимание на разницу в скоростях, т.к. не измерял ее при выключенной защите каспер., и не сравнивал с, когда включенной.
Да нет, это не крик души. Да давно все это тянется с техподдержкой и т.п. Просто здесь в шапке написано, что -известной или неизвестной инфекцией; - я не знаю, шут ее - инфекция это или нет. Логи и все остальное нужное я сделаю.
В поиске здесь забил PKey.exe - попал на тему Касперского 2009 - там тоже об этом файле спрашивали и вроде как это вирус.
Проблема на компьютере в том, что скорость открытия страниц при включенной и выключенной защитах касп. отличается в порядка 4 раза, а скорость инета измеренная на известных сатах, в Опере, также отличается, но уже в 10-15 раз. А так вроде все работает. Разве, что мышь часто виснет и почтовик Аутлок тоже. Да часто появляется окно от акробат (или адоб) флеш, чтобы обновиться или напомнить позже. Я ранее и не обращал внимание на разницу в скоростях, т.к. не измерял ее при выключенной защите каспер., и не сравнивал с, когда включенной.
Kaile
Цитата:
Цитата:
ВНИМАНИЕ!!! В данной ветке вольное общение по теме и без не приветствуется, всё только согласно приведенным правилам и только в тему! Если Вы хотите обсудить альтернативные пути лечения, поделиться опытом и т.д. - добро пожаловать сюда.
gjf
Как логи прикреплять? - я не вижу в опциях создания сообщений такого.
Как логи прикреплять? - я не вижу в опциях создания сообщений такого.
Kaile
Заливаешь файл с логом, например на zalil.ru. И выкладываешь ссылку в своем посте.
Добавлено:
Посмотри 2-3 стр. назад, как это делают другие.
Заливаешь файл с логом, например на zalil.ru. И выкладываешь ссылку в своем посте.
Добавлено:
Посмотри 2-3 стр. назад, как это делают другие.
Сделал как написано. Отключил сетевой инет шнур, вышел из касперского. Выполняю скрипт при открытой Опере - после начала, немного погодя, вылетает синий экран смерти - там ошибка 0000000019 и бигинин дамп физической памяти. Итак 2 раза, на третий раз скрипт выполнен. Правда, когда выполнял ранее этот скрипт, но при не отключенном инет шнуре, то синего экрана не было.
http://zalil.ru/30718837 - лог AVZ
http://zalil.ru/30718854 - инфо.тхт rsit
http://zalil.ru/30718857 - лог.тхт rsit
http://zalil.ru/30718837 - лог AVZ
http://zalil.ru/30718854 - инфо.тхт rsit
http://zalil.ru/30718857 - лог.тхт rsit
Kaile
Ничего вредоносного не обнаружено.
Ничего вредоносного не обнаружено.
С данным вирусом (который залетел ко мне 3 месяца назад) RSIT.exe (в любом режиме, до переустановки Windows вываливался) и avz.exe при попытке включить AVZGuard даже в защищенном режиме давал ошибку до переустановки Windows. Этот вирус переворачивает изображение в Windows Media Plater и заточен под Денвер (в файл host добавляет слово subdomain) и под Мозиллу – искажает изображение). Антивирус – avast (ни чего не находит).
AVPTool запускаемый перед Dr. Web CureIt не когда ни чего вредного не находил, а Dr. Web CureIt один раз (до переустановки Windows) нашёл и удалил вирус, но после этого не желательные проявления остались. Я полагал из-за оставшихся настроек в реестре.
AVZ – ни когда ни чего вредного не находила и не удаляла (я её всегда запускаю с максимальными настройками (и из скрипта в шапке), поиск на диске С: и в дистрибутивах – если переустанавливаю Windows то вирус появляется, хотя я к сети не подключался) (до переустановки Windows в ней не запускался AVZGuard, даже в защищённом режиме). Сейчас запускается и он и RSIT, но вирус есть .
После установки Windows я первым делом устанавливаю новую версию антивируса (сохранённую ранее) и сделал все запреты из книги Николая Головко “Безопасный Интернет”. Потом подключился к Интернет с ограниченными правами. Я давно работаю под пользователем с ограниченными правами. Сейчас подозрения на файл C:\Program Files\VisualTaskTips\VisualTaskTips.exe размером 65 536 датой 23.06.2008 запускаемым из проводника C:\WINDOWS\Explorer.EXE – о чём говорит антивирус. У меня XP SP3.
Чё делать?
http://vakuzmenok.narod.ru/viris/info.txt
http://vakuzmenok.narod.ru/viris/log.txt
http://vakuzmenok.narod.ru/viris/virusinfo_syscheck.htm
http://vakuzmenok.narod.ru/viris/virusinfo_syscheck.xml
Вопрос к знатокам:
Можно ли изменить файл устанавливаемый Windows и имеющий (вероятно цифровую) подпись от Микросовт (эта подпись видна в проводнике, реально ли её подделать)?
AVPTool запускаемый перед Dr. Web CureIt не когда ни чего вредного не находил, а Dr. Web CureIt один раз (до переустановки Windows) нашёл и удалил вирус, но после этого не желательные проявления остались. Я полагал из-за оставшихся настроек в реестре.
AVZ – ни когда ни чего вредного не находила и не удаляла (я её всегда запускаю с максимальными настройками (и из скрипта в шапке), поиск на диске С: и в дистрибутивах – если переустанавливаю Windows то вирус появляется, хотя я к сети не подключался) (до переустановки Windows в ней не запускался AVZGuard, даже в защищённом режиме). Сейчас запускается и он и RSIT, но вирус есть .
После установки Windows я первым делом устанавливаю новую версию антивируса (сохранённую ранее) и сделал все запреты из книги Николая Головко “Безопасный Интернет”. Потом подключился к Интернет с ограниченными правами. Я давно работаю под пользователем с ограниченными правами. Сейчас подозрения на файл C:\Program Files\VisualTaskTips\VisualTaskTips.exe размером 65 536 датой 23.06.2008 запускаемым из проводника C:\WINDOWS\Explorer.EXE – о чём говорит антивирус. У меня XP SP3.
Чё делать?
http://vakuzmenok.narod.ru/viris/info.txt
http://vakuzmenok.narod.ru/viris/log.txt
http://vakuzmenok.narod.ru/viris/virusinfo_syscheck.htm
http://vakuzmenok.narod.ru/viris/virusinfo_syscheck.xml
Вопрос к знатокам:
Можно ли изменить файл устанавливаемый Windows и имеющий (вероятно цифровую) подпись от Микросовт (эта подпись видна в проводнике, реально ли её подделать)?
pingvin7
Подделать нереально. Вирусов у Вас не видно. Темы из интернета, которые просили патчить системные файлы, устанавливали? Сборка Windows - официальная, или что-то типа ZverCD?
Подделать нереально. Вирусов у Вас не видно. Темы из интернета, которые просили патчить системные файлы, устанавливали? Сборка Windows - официальная, или что-то типа ZverCD?
VisualTaskTips - программа, которая показывает миникартинку окна запущенных программ, свернутых на Панель задач
pingvin7
Цитата:
Лечится от паранойи или установить Linux какой нибудь. Самый страшный вирус сидит перед монитором.
Цитата:
Чё делать?
Лечится от паранойи или установить Linux какой нибудь. Самый страшный вирус сидит перед монитором.
Цитата:
Темы из интернета, которые просили патчить системные файлы, устанавливали?
нет
Цитата:
Вирусов у Вас не видно.
Значит сейчас вируса нет.
Но что-то при загрузки правит host - файл (каждый раз) (и это устанавливается с дистрибутива.), об этом говорит и Dr. Web CureIt.
Если переустраивать Windows, то опять будет то же самое.
thyrannosaurus - спасибо.
pingvin7
Цитата:
Значит autorun.inf в корне какого то диска (не системного) остался
Цитата:
Если переустраивать Windows, то опять будет то же самое.
Значит autorun.inf в корне какого то диска (не системного) остался
gjf
Цитата:
Симптом: перестал запускатьcя Internet Explorer
Вот новые логи. http://rghost.net/4898591
в самом конце файла avz_sysinfo.htm имхо есть кое-то подозрительное.
Цитата:
Устройство - то я сделал, оно было нужно для увеличения "глубины сканирования". Сейчас уберём. Выполните скрипт:Срипт выполнил. Устройство исчезло. Но (думаю, что связи нет, но как-то совпало) практически сразу Drweb стал ловить вирусы и произошло новое заражение.
Симптом: перестал запускатьcя Internet Explorer
Вот новые логи. http://rghost.net/4898591
в самом конце файла avz_sysinfo.htm имхо есть кое-то подозрительное.
Mushroomer
Да, есть. Выполните скрипт:
Код: begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Да, есть. Выполните скрипт:
Код: begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
При установки Windows я форматировал системный диск. В загрузочных секторах дисков D,I – Dr.Web CureIt и AVZ включенный на максимум ничего не нашли, а файл host меняется при каждом запуске. В папку "System Volume Information" на несистемных дисках, где как я подозреваю находится файл autorun.inf (в корне этого файла нет), но я не могу зайти в этот подкаталог хотя в Свойствах папки галочка “показывать системные файлы и папки”-точка стоит, а “скрывать защищенные системные файлы”-нет галочки –эта папка полупрозрачная как и корзина, хотя в корзину я вхожу запросто. А в защищенном режиме эта папка в Проводнике совсем не видна, а из Нортона не входит, хотя галочки стоят как надо.
pingvin7
Описанное - нормальное поведение здоровой системы с файловой системой NTFS.
Описанное - нормальное поведение здоровой системы с файловой системой NTFS.
Здравствуйте (не по лечению и не с рекомендациями по проблемам).
pingvin7, для System Volume Information надо ещё присвоить себе права на папку в её свойствах (вкладка "безопасность").
На несистемных дисках восстановление системы абсолютно не нужно. Для этих дисков отключите восстановление в Свойствах Системы.
gjf, у меня hosts не меняется. Это после SP2?
pingvin7, для System Volume Information надо ещё присвоить себе права на папку в её свойствах (вкладка "безопасность").
На несистемных дисках восстановление системы абсолютно не нужно. Для этих дисков отключите восстановление в Свойствах Системы.
gjf, у меня hosts не меняется. Это после SP2?
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.