Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Помощь при лечении компьютера от вирусов

Автор: thyrannosaurus
Дата сообщения: 07.10.2011 19:07
Lars55
Странно, что его не увидел МВАМ...
Автор: gjf
Дата сообщения: 08.10.2011 23:26
Lars55
thyrannosaurus
Смотря где он был.
Автор: thyrannosaurus
Дата сообщения: 09.10.2011 10:37
gjf
Написал ведь Lars55, что он нашел его в Автозагрузке

Обычно МВАМ его видит (AVZ наоборот часто пропускает) и это был первый случай в моей практике, когда этого не произошло
Автор: gjf
Дата сообщения: 09.10.2011 14:11
thyrannosaurus
Меня интересует не где он его нашёл, а где был искомый файл на диске.
Автор: thyrannosaurus
Дата сообщения: 09.10.2011 16:46
gjf
В папке Автозагрузка в профиле пользователя
Автор: Lars55
Дата сообщения: 10.10.2011 03:02
gjf
thyrannosaurus
Сам файл (именно *.exe, не ярлык на него) лежал в автозагрузке пользователя, папки других пользователей и AllUsers читые. C:\Users\%UserName%\~.....\programs\startup\igfxtray.exe
Еще такой же файл лежит в C:\Windows\System32\, думаю он настоящий, на всякий проверил его на virustotal.
Автор: gjf
Дата сообщения: 10.10.2011 10:48
Lars55
У Вас сохранился файл из папки автозагрузки? Можете запаролить его и прислать на ящик в шапке темы?
Автор: sergei1963
Дата сообщения: 11.10.2011 05:34
Добрый день!
Уважаемые форумчане ситуация такая, нахватался был вирусов, вроде всех вывел, но вот бывает вылазит окошко в котором сообщение "Не найден профиль" и иногда вообще получилось пока всего два раза просит ввести ключ при включении компа. Любую цифру ввел и все. Посылаю логи посмотрите плиз все ли в порядке.
RSID
http://rghost.ru/25100641
http://rghost.ru/25100661
avz
http://rghost.ru/25100681
Автор: gjf
Дата сообщения: 11.10.2011 10:49
sergei1963
Что-то интересное есть
Выполните скрипт:

Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
BC_ServiceKill('unlbyd');
QuarantineFile('C:\WINDOWS\system32\pr2apl8b.exe','');
DeleteFile('C:\WINDOWS\System32\drivers\eybuqrw.sys');
DeleteFile('C:\WINDOWS\system32\pr2apl8b.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Автор: sergei1963
Дата сообщения: 11.10.2011 13:19
gjf
Что то у меня получился один лог
http://rghost.ru/25126721
Что не так?
Автор: gjf
Дата сообщения: 11.10.2011 13:40
sergei1963
Что значит "получился"? АВЗ не запускается что ли?
Автор: sergei1963
Дата сообщения: 11.10.2011 13:50
gjf
АВЗ
http://rghost.ru/25132591
Автор: gjf
Дата сообщения: 11.10.2011 14:26
sergei1963
Так. Авиру и Касперского убрали, оставили Эсет. ОК, Ваш выбор.
Больше вредоносного ничего не вижу.
Уберём хвосты от AVZ. Выполните скрипт:

Код: begin
ExecuteStdScr(6); {удаление всех драйверов и ключей AVZ}
SetAVZPMStatus(false);
RebootWindows(false);
end.
Автор: Lars55
Дата сообщения: 12.10.2011 02:06
gjf
К сожалению файлика больше нету, когда увидел - машинально его прибил (корзины и образов системы нету). Программы для восстановления удаленных файлов его не находят.
Автор: gjf
Дата сообщения: 12.10.2011 12:32
Lars55
Ну и пёс с ним!
Автор: thyrannosaurus
Дата сообщения: 14.10.2011 12:50
Сделайте лог полного сканирования МВАМ
Автор: AdapterLp
Дата сообщения: 15.10.2011 15:47
Вопросов ток два: Процесс висит в памяти или грузится с диска на прямую ???
Логов нет
Чем просмотреть( если процесс полностью загружен в память) и найти запускаемый файл на диске???




Понимание такое: стартует служба или подгружается .DLL или стартует .EXE файл и
погружает процесс, который живет в Ram системе и грузит svchost


Благодарю
Автор: sergei1963
Дата сообщения: 16.10.2011 03:01
gjf
День добрый!
После лечения вылезло такое изображение
http://rghost.ru/25758791/image.png
Перевод приложил(Не удалось запуститься, и система возвращается к настройке по умолчанию.
Нажмите любую клавишу для продолжения)
Что то еще есть? Проверял МВАМ, ESSET? вирусы не найдены.
Автор: gjf
Дата сообщения: 16.10.2011 03:48
sergei1963
Нет, просто Вы что-то намудрили с настройками в BIOS.
Автор: sergei1963
Дата сообщения: 16.10.2011 09:06
Вообще не лазил.
Но эта как то раз вылезло и пока все, но будет вылазить пришлю логи. ОК?
Автор: Arhimed2010
Дата сообщения: 16.10.2011 11:04
sergei1963

Цитата:
Что то еще есть? Проверял МВАМ, ESSET? вирусы не найдены.

Используйте антивирь КИС 2012(ключик дам) и проблем не будет..а на сообщение ,которое вылезло одноразово не обращайте внимание.

Цитата:
Что то еще есть?

я думаю - ничего нет!
Автор: elvin04
Дата сообщения: 17.10.2011 21:20
Проверьте пожалуйста, заранее благодарю.
http://rghost.ru/26018601
Автор: gjf
Дата сообщения: 18.10.2011 01:35
elvin04
AVZ старой версии, базы не обновлены - что проверять? Исправьте ошибки и переделайте логи.
Автор: elvin04
Дата сообщения: 18.10.2011 20:48
gjf, Обновил.
http://rghost.ru/26155821
Автор: gjf
Дата сообщения: 18.10.2011 21:06
elvin04
Чисто.
Автор: verissimo
Дата сообщения: 20.10.2011 16:39
А как RSIT скачать? По ссылке в шапке сайт мне выдает "Forbidden".
Автор: folta
Дата сообщения: 20.10.2011 17:04
а у меня из шапки тянется..хм
вот тут еще варианты где скачать:
http://forum.ru-board.com/topic.cgi?forum=5&topic=35764
Автор: elvin04
Дата сообщения: 21.10.2011 21:40
http://rghost.ru/26525301
http://rghost.ru/26525551
Периодически не открывает сайты, обычно после первого просмотра.
спасибо
Автор: gjf
Дата сообщения: 21.10.2011 23:45
elvin04
Выполните скрипт:

Код: Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ServiceKill('Windows Service');
DeleteFile('C:\Windows\system32\dllcache\Ratewon.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Автор: elvin04
Дата сообщения: 22.10.2011 00:03
gjf
Помогаю бесплатно, и говорю что от ru-board. А как мне научится работать со скриптами AVZ? Обучение где проводится?

Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970

Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.