Fom64
Не показывайте свою некомпетентность. Этот процесс никоим образом не является отладчиком winlogon
Не показывайте свою некомпетентность. Этот процесс никоим образом не является отладчиком winlogon
» Помощь при лечении компьютера от вирусов
thyrannosaurus Причем тут winlogon? У него запущен одновременно отладчик и модуль криптозащиты, надо выбирать что то одно.
Всех форумчан поздравляю с наступающим Новым Годом! Побольше успехов, удач, исполнения задуманного, крепкого здоровья Вам и Вашим компьютерам!!! 
Посмотрите пожалуйста
http://rghost.ru/35746171
Есть подозрение на вирус из-за вот этого:
http://www.virustotal.com/file-scan/reanalysis.html?id=121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2-1325727714
http://rghost.ru/35746171
Есть подозрение на вирус из-за вот этого:
http://www.virustotal.com/file-scan/reanalysis.html?id=121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2-1325727714
Ничего необычного в логах не увидел
thyrannosaurus
А почему такой результат на вирустотал?
Обычно ведь md5 хеш у svchost.exe не такой как по ссылке?
Плюс у меня в Process Explorer у файла svchost.exe (да и не только у него) периодически написано то (Verified) Microsoft Windows, то (Unable to verify) Microsoft Windows. Как такое может быть?
А почему такой результат на вирустотал?
Обычно ведь md5 хеш у svchost.exe не такой как по ссылке?
Плюс у меня в Process Explorer у файла svchost.exe (да и не только у него) периодически написано то (Verified) Microsoft Windows, то (Unable to verify) Microsoft Windows. Как такое может быть?
miksanfree
проверь последнее значение netsvcs в реестре. и запусти gmer он хорошо видит этот процесс
проверь последнее значение netsvcs в реестре. и запусти gmer он хорошо видит этот процесс
Знаю правила данного топика, но ситуация не позволяет сделать логи
А именно: Комп не загружается в обычном режиме. Постоянно происходит перезагрузка до показа окна выбора пользователя, и так до бесконечности.
Загрузиться можно в безопасном режиме, но при попытке вставить флешку c Антивирусными утилитами или Антируткитами (или загрузить DrWeb LiveUSB, KasperskyUSB) заканчивается неудачей.
Снова перезагружается. Случай с DrWeb LiveUSB, KasperskyUSB вообще выдает Disc Failure.
Снял хард, подключил к другому компу, пробежался Kaspersky DrWeb лечилками - чисто!!!!!
Подключаю к родному компу - снова вечная перезагрузка
Единственно что есть на компе AVZ 4.37, его я могу запустить, пройтись по компу, он ничего не обнаруживает кроме руткитов которые блокирует, но видно его блокировки не хватает, и при попытке когда АВЗ заблокировал руткиты, вставляю флешку с Антируткитами, комп перезагружается. А что интересно, когда вставлял флешку с Kaspersky DrWeb лечилками, комп не перезагружался, но и лечилки ничего не находили
Оптического привода не имею. Переустановить ОС - это совсем последнее дело, поскольку там имеются нужные файлы.
Может имеются иные выходы из моего положения?
И имеется ли опасность, что при подключении харда к другому компу, я мог нанести вред здоровому компу?
Еще раз прошу прощения за нарушение правил данного топика
А именно: Комп не загружается в обычном режиме. Постоянно происходит перезагрузка до показа окна выбора пользователя, и так до бесконечности.
Загрузиться можно в безопасном режиме, но при попытке вставить флешку c Антивирусными утилитами или Антируткитами (или загрузить DrWeb LiveUSB, KasperskyUSB) заканчивается неудачей.
Снова перезагружается. Случай с DrWeb LiveUSB, KasperskyUSB вообще выдает Disc Failure.
Снял хард, подключил к другому компу, пробежался Kaspersky DrWeb лечилками - чисто!!!!!
Подключаю к родному компу - снова вечная перезагрузка
Единственно что есть на компе AVZ 4.37, его я могу запустить, пройтись по компу, он ничего не обнаруживает кроме руткитов которые блокирует, но видно его блокировки не хватает, и при попытке когда АВЗ заблокировал руткиты, вставляю флешку с Антируткитами, комп перезагружается. А что интересно, когда вставлял флешку с Kaspersky DrWeb лечилками, комп не перезагружался, но и лечилки ничего не находили
Оптического привода не имею. Переустановить ОС - это совсем последнее дело, поскольку там имеются нужные файлы.
Может имеются иные выходы из моего положения?
И имеется ли опасность, что при подключении харда к другому компу, я мог нанести вред здоровому компу?
Еще раз прошу прощения за нарушение правил данного топика
TestHelp
винт на ошибки проверяли? бывает что и не вирусы виноваты, а бэды
сделай лог uVS с другого компьютера или LiveCD как написано здесь
винт на ошибки проверяли? бывает что и не вирусы виноваты, а бэды
сделай лог uVS с другого компьютера или LiveCD как написано здесь
miksanfree
1 /43 - это по Вашему мнению показатель, которому стоит доверять?
TestHelp
Что мешает после подключения проблемного винчестера к здоровой машине скопировать папку с AVZ на проблемный винчестер, вернуть его на место, загрузиться и сделать логи из безопасного режима?
arvidos
Вы себя видите в списке тех, кто уполномочен давать советы? Лично я не вижу. Зато с интересом наблюдаю за Вашим (Angel-iz-Ada) в том числе хэлперством на pchelpforum'e
1 /43 - это по Вашему мнению показатель, которому стоит доверять?
TestHelp
Что мешает после подключения проблемного винчестера к здоровой машине скопировать папку с AVZ на проблемный винчестер, вернуть его на место, загрузиться и сделать логи из безопасного режима?
arvidos
Вы себя видите в списке тех, кто уполномочен давать советы? Лично я не вижу. Зато с интересом наблюдаю за Вашим (Angel-iz-Ada) в том числе хэлперством на pchelpforum'e
ну вроде ничего смертельного тут не советую и тем более не даю скрипты)
Добавлено:
тем в этой теме странная тенденция появления хелперов - то сразу несколько человек пишут, то пару дней ни одного
Добавлено:
*тем более
Добавлено:
тем в этой теме странная тенденция появления хелперов - то сразу несколько человек пишут, то пару дней ни одного
Добавлено:
*тем более
arvidos
Я Вам уже кажется делал замечание? Если что-то непонятно - читаем здесь.
Если Вы прошли где-то обучение и имеете соответствующую квалификацию, чтобы давать советы - пожалуйста, сообщите мне в личку где это было, какой ник у Вас на том ресурсе, где проходили обучение.
В противном случае - в следующий раз не буду предупреждать, а буду просить Вам запрет на посты в этой теме. Давайте не будем доходить до крайностей?
Я Вам уже кажется делал замечание? Если что-то непонятно - читаем здесь.
Если Вы прошли где-то обучение и имеете соответствующую квалификацию, чтобы давать советы - пожалуйста, сообщите мне в личку где это было, какой ник у Вас на том ресурсе, где проходили обучение.
В противном случае - в следующий раз не буду предупреждать, а буду просить Вам запрет на посты в этой теме. Давайте не будем доходить до крайностей?
Предыстория:
как-то в одно прекрасно утро, нашел на своей флэшке папочку systemhost. А в нем один файл, без расширения (антивирус exe файл уже оказывается завалил). В итоге, отправил я в virustotal второй файлик (cureit, касперские не нашли в нем ничего подозрительного) -
https://www.virustotal.com/file/8183c975d0464a9b93ee067dff3dfd72892a06999fb964ffcbcef2f673067de8/analysis/1326782848/
Решил я после этого, поставить Malware... Но не тут - то было. После загрузки системы, минуты через 5 система зависала, работала только мышь (чисто по экрану двигать мог), и Alt-Tab... Удалил Malware, все стало прекрасно работать.
Логи:
http://rghost.ru/35948955
p.s. Так же при загрузки, появляется окошко (надпись иероглифами), где надо нажать ок. В недалеком прошлом её убирал. Но после экспериментов с новым вирусом (название уже не помню (блокер экрана), месяц назад было), вирус был успешно удален. А вот окошко появилось) (окошко на предыдущей странице чем-то схожа).
как-то в одно прекрасно утро, нашел на своей флэшке папочку systemhost. А в нем один файл, без расширения (антивирус exe файл уже оказывается завалил). В итоге, отправил я в virustotal второй файлик (cureit, касперские не нашли в нем ничего подозрительного) -
https://www.virustotal.com/file/8183c975d0464a9b93ee067dff3dfd72892a06999fb964ffcbcef2f673067de8/analysis/1326782848/
Решил я после этого, поставить Malware... Но не тут - то было. После загрузки системы, минуты через 5 система зависала, работала только мышь (чисто по экрану двигать мог), и Alt-Tab... Удалил Malware, все стало прекрасно работать.
Логи:
http://rghost.ru/35948955
p.s. Так же при загрузки, появляется окошко (надпись иероглифами), где надо нажать ок. В недалеком прошлом её убирал. Но после экспериментов с новым вирусом (название уже не помню (блокер экрана), месяц назад было), вирус был успешно удален. А вот окошко появилось) (окошко на предыдущей странице чем-то схожа).
PrishelUshel
Удалите Kaspersky Virus Removal Tool и повторите логи. Хвосты утилиты мешают нормально проанализировать ситуацию.
Это Вам знакомо?
Код: c:\program files\block\block.exe
C:\Documents and Settings\OEM User\Главное меню\Программы\Автозагрузка\server.bat
Удалите Kaspersky Virus Removal Tool и повторите логи. Хвосты утилиты мешают нормально проанализировать ситуацию.
Это Вам знакомо?
Код: c:\program files\block\block.exe
C:\Documents and Settings\OEM User\Главное меню\Программы\Автозагрузка\server.bat
gjf
Цитата:
http://rghost.ru/35951991
Цитата:
угу, це моё ) (для упрощения некоторых функций).
Цитата:
Удалите Kaspersky Virus Removal Tool и повторите логи. Хвосты утилиты мешают нормально проанализировать ситуацию.
http://rghost.ru/35951991
Цитата:
Это Вам знакомо?
угу, це моё ) (для упрощения некоторых функций).
Просканировал Malwarebytes Anti-Malware и вот что он нашел: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu)
это надо удалить или это не опасно?
это надо удалить или это не опасно?
timo_2007
Я не могу знать все сигнатуры всех антивирусов. Поэтому если есть вопрос - давайте логи.
Добавлено:
PrishelUshel
Куча хвостов от утилиты Касперского, вредоносного ничего не видно.
Я не могу знать все сигнатуры всех антивирусов. Поэтому если есть вопрос - давайте логи.
Добавлено:
PrishelUshel
Куча хвостов от утилиты Касперского, вредоносного ничего не видно.
gjf
Может подскажите, как удалить "хвосты" Касперского? )
p.s. спасибо.
Может подскажите, как удалить "хвосты" Касперского? )
p.s. спасибо.
PrishelUshel
В самой утилите должна быть такая опция.
В самой утилите должна быть такая опция.
gjf
Лог чего?
Лог чего?
timo_2007
Шапку читаем.
Шапку читаем.
timo_2007
Не вижу ничего вредоносного.
Не вижу ничего вредоносного.
gjf
Понял,благодарю!
Понял,благодарю!
Здравствуйте!!!
Мой антивирус выдал сообщение:
"Оперативная память » explorer.exe(1960) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна"
Сделала лог: http://www.mediafire.com/?ci48qr8opzvjn2u
Прошу оказать помощь.
Мой антивирус выдал сообщение:
"Оперативная память » explorer.exe(1960) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна"
Сделала лог: http://www.mediafire.com/?ci48qr8opzvjn2u
Прошу оказать помощь.
Ryabtanya
Один самый главный лог забыли. Прочитайте внимательно правила в шапке.
Один самый главный лог забыли. Прочитайте внимательно правила в шапке.
Пожалуйста, помогите справиться со следующими проявлениями:
- При переустановке Windows XP без форматирования, даже если заражённые файлы не запускались, вирус каким-то образом сохраняется, например, не разрешая запуск службы eknl для установки и работы NOD32.
- Не даёт копировать некоторые антивирусы из внутренней сети и через DC+.
- Не даёт устанавливать или удаляет антивирусы при установке.
- Антивирусы с загрузочных дисков не помогают.
- Встраивает код < 100 Kb в исполняемый файл программ, когда-либо запускавшихся, защищает их от записи, чтобы избежать замены чистыми копиями. Никогда не запускавшиеся файлы, похоже, не подвергаются изменениям. Некоторые изменённые файлы работают как обычно, при запуске заражая чистую ОС. Так вирус распространяется. Запуск некоторых оканчивается ошибкой C++ Runtime Error, и запускаемая программа закрывается.
- Плодит EXE-файлы со случайными именами в папке %Temp%. На самом деле большинство из них содержат код HTML и запускают обычно 2 службы со своими именами.
- Попытка загрузки в безопасном режиме оканчивается отказом.
- AVZ не работает.
info.txt и log.txt созданы не по правилам, т.е. когда запускал RSIT для пробы и работало несколько программ. RSIT второй раз не запустился!
Прошу помочь. Спасибо.
- При переустановке Windows XP без форматирования, даже если заражённые файлы не запускались, вирус каким-то образом сохраняется, например, не разрешая запуск службы eknl для установки и работы NOD32.
- Не даёт копировать некоторые антивирусы из внутренней сети и через DC+.
- Не даёт устанавливать или удаляет антивирусы при установке.
- Антивирусы с загрузочных дисков не помогают.
- Встраивает код < 100 Kb в исполняемый файл программ, когда-либо запускавшихся, защищает их от записи, чтобы избежать замены чистыми копиями. Никогда не запускавшиеся файлы, похоже, не подвергаются изменениям. Некоторые изменённые файлы работают как обычно, при запуске заражая чистую ОС. Так вирус распространяется. Запуск некоторых оканчивается ошибкой C++ Runtime Error, и запускаемая программа закрывается.
- Плодит EXE-файлы со случайными именами в папке %Temp%. На самом деле большинство из них содержат код HTML и запускают обычно 2 службы со своими именами.
- Попытка загрузки в безопасном режиме оканчивается отказом.
- AVZ не работает.
info.txt и log.txt созданы не по правилам, т.е. когда запускал RSIT для пробы и работало несколько программ. RSIT второй раз не запустился!
Прошу помочь. Спасибо.
Masutin
Зараза у Вас есть и много. Действовать надо комплексно, иначе ничего не получится.
Попробуйте сделать логи с помощью полиморфного AVZ MD5 сумма: 8E6BDF708FD3260ABFE30AF56CCEEC9B Размер: 6 860 288 байт
Упакуйте один из заражённых файлов и файлы из папки temp в архив с паролем virus и пришлите на ящик, указанный в шапке.
Зараза у Вас есть и много. Действовать надо комплексно, иначе ничего не получится.
Попробуйте сделать логи с помощью полиморфного AVZ MD5 сумма: 8E6BDF708FD3260ABFE30AF56CCEEC9B Размер: 6 860 288 байт
Упакуйте один из заражённых файлов и файлы из папки temp в архив с паролем virus и пришлите на ящик, указанный в шапке.
Цитата:
Может подскажите, как удалить "хвосты" Касперского?
Total Uninstall v5.10.1 (корректное сканирование и удаление, правда не 100%)...
Добавлено:
Цитата:
При переустановке Windows XP без форматирования, даже если заражённые файлы не запускались, вирус каким-то образом сохраняется
- Это Вас удивляет??? 8(
Masutin, у Вас Sality
Лечитесь http://support.kaspersky.ru/viruses/rescuedisk или http://www.freedrweb.com/livecd/
Лечитесь http://support.kaspersky.ru/viruses/rescuedisk или http://www.freedrweb.com/livecd/
Уважаемые хелперы!
Прошу помочь в такой проблеме - после запуска сканирования NOD выдает сообщение:
Оперативная память » explorer.exe(1640) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
Прикрепил
http://www.mediafire.com/?w9tc706j7snmoer
http://www.mediafire.com/?ok83yd7wt2dpoc0
http://www.mediafire.com/?e4l9x6p3suj4twv
Заранее благодарен
Прошу помочь в такой проблеме - после запуска сканирования NOD выдает сообщение:
Оперативная память » explorer.exe(1640) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
Прикрепил
http://www.mediafire.com/?w9tc706j7snmoer
http://www.mediafire.com/?ok83yd7wt2dpoc0
http://www.mediafire.com/?e4l9x6p3suj4twv
Заранее благодарен
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.