» Помощь при лечении компьютера от вирусов

Цитата:

как указать AVZ, что нужно сделать "восстановление системы", но не той ос, что загружена(антивинлокер), а той что на диске C?

Никак, к сожалению.
Я бы на будущее обратил внимание уважаемых хелперов на uVS: http://dsrt.dyndns.org/ - как раз для таких случаев, и достаточно дружественный для пользователя интерфейс.

Ну и как вернуть эту винду в нормальное состояние? Восстановление с установочного диска("R" что жать) - не помогло. В юзверя по прежнему невозможно зайти - пишет "завершение сеанса" и пипец.

George_S, есть под рукой загрузочный LiveCD с Windows?

если не считать антивинлокер. То нет.

George_S, не держал в руках эту штуку... Там на базе Windows сделано или Linux?

Может просто может кто написать скрипт для авз, чтобы он провел восстановление ОС на диске C? А авз я запущу с антивинлокера лайвсиди


Добавлено:
На базе винды.

Нет, не выйдет с AVZ.
Скачайте утилиту uVS http://dsrt.dyndns.org/files/uvs_v370.zip
Загрузитесь со своего антивинлокера.
Распакуйте архив на флэшку и запустите файл Start.exe
Появится окно программы - нажать "Выбрать каталог Windows", выбираете тот, что на жёстком диске и "Запустить под текущим пользователем".
Далее меню Файл / Сохранить Полный образ автозапуска.
Сохраните файл. Далее добавьте его в архив rar или 7z и дайте ссылочку. Посмотреть смогу часа через 3.

http://narod.ru/disk/23433689001/MICROSOF-9B61D0_2011-08-30_17-04-41.TXT.html

Добавлено:
Я полазил своими руками по Вашей утилите, кучу чего "типа восстановил". Винда заработала. Буду знать о ней теперь. А посоветуйте нормальный лайвсиди виндоуз. И как в утилите увидеть именно реестр "вылечиваемой" винды, а не лайвсиди?

Добавлено:
ОЙ. и это - ОГРОМНОЕ СПАСИБО

Цитата:

Я полазил своими руками по Вашей утилите

Не моя она Автор - Дмитрий Кузнецов. На сайте, с которого скачивали uVS, можете поддержать его любым доступным методом.
Там у Вас ещё один зловред. Закройте броузеры, меню Скрипты -> выполнить скрипт из буфера обмена:

Код: ;uVS v3.70 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\AUTORUNSDISABLED\IGFXTRAY.EXE
addsgn 925277FA146AC1CC0B64504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win32.Jorik.Carberp.ds

chklst
delvir

deltmp
delnfr

regt 1
regt 2
regt 5
regt 18
czoo
restart

Переустановил винду, но забыл про Антивирус. Вчере получил сигнла о возможном заражении - самозакрытие проводника после открытия некоторых папок.
Срочно прогнал CureIt и полную проверку КИС 2010. Часть заразы (например Trojan.Hosts) была удалена.

Просьба проверить на наличие остатков заразы.
virusinfo_syscure.zip - http://rghost.net/19890261
log.txt - http://rghost.net/19890431
info.txt - http://rghost.net/19890481

Цитата:

И как в утилите увидеть именно реестр "вылечиваемой" винды, а не лайвсиди?

В нормальном LiveCD загружаемая система обычно будет на диске X: - Z:, а установленная на HDD - так и останется C: - ну, или какой он там был. В конце концов, по папкам на томе понятно будет.

Цитата:

А посоветуйте нормальный лайвсиди виндоуз.

Вопрос личных пристрастий... Я пользуюсь Hiren's Boot CD, модифицированным для загрузки флэшки с добавлением привычных мне утилит.

Dmitriy05
Установите все обновления операционной системы.

gjf
А просто SP3 хватит? Ибо этих обновлений на тучу Мб выйдет

Dmitriy05
SP3 - минимум. А лучше - все. И обновление не отключать никогда.

Просьба помочь еще раз. Не успел обновиться, как ЦОБ выдал сообщение что программа KIS 2010 отключена, а сам КИС при быстрой проверке удалил из 2 файлов Net-Worm.Win32.Kido.ih после чего были установлены 3 Anti-Kido обновления:
KB957097/KB958644/KB958687

Логи:
info.txt - http://rghost.net/20050261
log.txt - http://rghost.net/20050281
virusinfo_syscure.zip - http://rghost.net/20050331

Dmitriy05
Пока SP3 не поставите мы будем воевать с ветряными мельницами - сетевой системе с SP2 достаточно где-то полчаса, чтобы схватить Кидо.

vvvyg

1. Обратите внимание - Вашего никнейма нет в списке тех, кто имеет право оказывать помощь
2. Хватит уже заниматься рекламой uVS на всех подряд форумах. Мы о ней знаем

George_S
Мне больше по душе Kaspersky Registry Editor ftp://devbuilds.kaspersky-labs.com/devbuilds/Kaspersky%20Registry%20Editor/
И реестр можете посмотреть в нем, и в файловой системе поискать зверье вручную
В Вашем случае висел отладчик на userinit.exe

thyrannosaurus
1. Ок, это последнее моё сообщение в этой теме.
2. Насчёт рекламы, да ещё на "всех подряд форумах" - уж этого не замечал за собой...
Всё, ушёл.

vvvyg
Брат, не обращай внимания.

thyrannosaurus
Спасибо, в след. раз попробую.

Поймал умный вирус суть его такова что блокирует клавиатуру и мышь, через безопасный режим та же история,пробывал dr web LiveCD безуспешно загружался через LiveCd и попытался загрузить DR.web CureIT сразу после запуска так же блокируются,загружался с помощью программы AntiWinLocker находит в реестре файл "userinit.exe," после нахождения так же блокировка, avz результатов не дал но в обычном режиме разблокировал и мышь и клаву при попытке редактирования реестра так блокирует клаву и мышь, попытался переустановить систему загрузка идёт нормально до того момента когда надо выбрать разделы для дальнейшей установки клава блокирована и ни выбрать ни удалить что либо не удаётся, подскажите как обойти его,может ктото сталкивался с таким вирусом, попытки войти в биос так же блокируются...
З.Ы. клава и мышь работоспособные,проверены на другом ПК
Если переставить жёсткий диск с заражённого Пк на чистый и отформатировать и может ли чистый ПК тоже заразится?

Obama_Medvedev, вам уже сказали проверить пункт Legacy USB Support (или его варианты), читайте, что про него написано:
Цитата:

Название опции:
Legacy USB Support
Возможные значения:

Auto, Enabled, Disabled
или
Enabled, Disabled
Описание:

Опция отвечает за определение и поддержку устройств, подключенных к порту USB, на уровне BIOS. Это необходимо, например, для того, чтобы вы могли использовать USB-клавиатуру для входа в BIOS Setup и редактирования параметров опций BIOS. «Побочным» эффектом этого будет работа большинства USB-периферии в таких устаревших операционных системах, как DOS.

Значение Enabled включает поддержку USB-устройств на уровне BIOS, а Disabled — отключает. С точки зрения совместимости лучше установить автоматическое определение подобных устройств (значение Auto), если оно доступно.

Одолжите pc/2-клавиатуру, зайдите в настройки BIOS и выставьте правильное значение у этого пункта, тогда и с USB-шной клавиатуры сможете заходить в настройки BIOS.

вот хоть какой то вариант есть)спасибо Neon2 ещё варианты есть на случай если не найду USB клавиатуру?

Запустил вирус, Defender C 027 Drayver_2010482093-.zip.exe - Hoax.Win32.ArchSMS.jjvp в настоящий момент этот файл определяется антивирусом со свежими антивирусными базами. Касперский говорит что уже знает вирус хотя при проверке не говорил что обнаружил что-то. P.S. Определение всех угроз включено. Также чуть недавно Trojan.Win32.Menti.hdtd был.
Вот логи, карантина не было: http://rghost.ru/21368501
Как я предлагаю что будет все чисто, сам исследовал логи.

Доброй ночи
Проблема в миобайтах принятых и отправленных пакетах в сетевых подключениях. Возникла после удаления трояна резидентным Др Веб при штатной проверке (базировался в ATI драйверах). Логи прилагаю
http://rghost.ru/21378301 - info.rar
http://rghost.ru/21378451 - log.rar
http://rghost.ru/21378581 - virusinfo_syscure.zip
Заранее спасибо!

VETER82
- Выполните скрипт:

Код: begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\1XK0ZS08\xxx_video_27086.avi[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

gjf
Всё выполнил. Но бешеный трафик остался Скрин с NetLimiter 3 http://savepic.org/2283093.png

VETER82
Сделайте лог с помощью GMER.
gmer.log

gjf
Выполнил
http://rghost.ru/21476461

VETER82
Ничего вредоносного не обнаружено. Проверяйте настройки системы и установленного софта.

gjf
Спасибо! Думаю уже насчёт систему переустановить. Но есть ещё один физический диск, прозванный Помойкой.. Оттуда не может угроза исходить?