» Помощь при лечении компьютера от вирусов

cdrom2
setwolk

Цитата:

ВНИМАНИЕ!!! В данной ветке вольное общение по теме и без не приветствуется, всё только согласно приведенным правилам и только в тему! Если Вы хотите обсудить альтернативные пути лечения, поделиться опытом и т.д. - добро пожаловать сюда.

Вот мои файлы после сканирования
http://rghost.ru/1684653
http://rghost.ru/1684670
http://rghost.ru/1684683

JulianaC

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:


Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\snetcfg.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7n3PEDT4.sys','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\7n3PEDT4.sys');
DeleteFile('C:\WINDOWS\system32\snetcfg.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделала
http://multi-up.com/276890
http://multi-up.com/276891
http://multi-up.com/276892

Карантин отправила

JulianaC
Больше ничего вредоносного в логах не обнаружено.

gjf
Что это было?
Спасибо большое.

Здравствуйте.У меня товарищ подцепил порнобанер заблокировал диспетчер программы не запускаются неподскажете как от него избавиться.Пробовал разблокировать по коду
с сервисов деактивации не получается.Код 3381 текст М202317265.Просьба помочь.

komrad7, нужно для начала скачать образ какого-либо LiveCD с возможностью исправления в реестре. Например, ERD Commander (ссылку можно найти на этом форуме)

Здравствуйте.У меня товарищ подцепил порнобанер заблокировал диспетчер программы не запускаются неподскажете как от него избавиться.Пробовал разблокировать по коду
с сервисов деактивации не получается.Код 3381 текст М202317265.Просьба помочь.

На днях сражался, просканировал комп по сети с другого компа с каспером, он мне показал где файлы трояна лежат (это именно троян, не обычный порно-баннер в виде .dll модуля для эксплорера) , потом загрузился с hiren boot cd удалил все его копии, потом уже на самой машине поставил каспера.

Добавлено:
P.S. кстати ни cureIt ни avz у меня не работали, только hijackthis.

komrad7
Программы запускать получается? Если да - где логи?
Aroun

Цитата:

P.S. кстати ни cureIt ни avz у меня не работали, только hijackthis.

Где лог HJT?

gjf Ничего не запускается все блокируется.

komrad7 Попробуйте вот эту версию AVZ http://gjf.hotbox.ru/monk.pif

Спасибо всем !!! Помогло введение кода из любых 12 цифр от 1 до 9.Банер исчез всё работает.Просканировал тремя антивирусами вебом,авирой,нодом но вируса не нашёл
может он самоудаляется?Если нет,то где икак его найти подскажите?

komrad7

Цитата:

где икак его найти

И чем найти.
Внимательно курим шапку - http://forum.ru-board.com/topic.cgi?forum=62&bm=1&topic=18156&start=540&glp

IvANANvI
Это что за исполняемый файл??

Aroun, нужно для начала скачать образ какого-либо LiveCD с возможностью исправления в реестре. Например, ERD Commander (ссылку можно найти на этом форуме)

komrad7
Делаем логи по правилам в шапке. Там поглядим, всё ли исчезло...

Предыстория:
Заметил, что система (Вин7) начала потреблять много ОЗУ (80-90% от макс. объема), хотя нормой является 40-50%. Закрыл все приложения - никакого эффекта. Закрыл КИС 2010 - сразу высвободилось около 1,5 - 1,7 Гб ОЗУ
Возникли подозрения. Зашел на сайт доктора веба, пытался скачать куре ит - не дает, даже через анонимайзер. АВЗ при сканировании системы после окончания сканирования вылетает с ошибкой.
Сделал логи авз по п.1 и п.2
HijackThis после запуска выдает ошибку.


virusinfo_syscure.zip

virusinfo_syscheck.zip



Добавлено:
После того, как закрыл окно с ошибкой hijackthis, появился лог.

hijackthis.log

thyrannosaurus

Мне не нужно ничего качать.

Речь шла о таком же по видимому трояне, как и у komrad7, я свою проблему решил и ему подсказал как, в качестве live cd был hiren boot cd. Прочитай внимательно оба поста)

gjf
Есть отловленное тело вируса. Ссыль на файл в ЛС (архив без пароля). Каспер с последними базами его еще не детектит. В ХР черный экран, в Семерке вечный ребут. Войти в безопасном не дает. Куреит вроде лечит. По крайней мере его видит.
http://www.virustotal.com/ru/analisis/85f2767a4563cd5719c32c4cd62ad4c18d97d1fa9d23e922ac4ea3bda2381ef3-1274952892
Желательно посодействовать внесению сигнатуры в базу антивируса.

PLAYYOB
Пофиксите в hiJack

Код: F2 - REG:system.ini: UserInit=D:\Windows\system32\userinit.exe, D:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe

Привет!
Возникло подозрение на Kido - не могу зайти ни на один из сайтов типа Каспера, Д.Веба, AVZ... Но КК скачал (на рабочем компе), установил дома - и ни фига тот не нашел... Попробовал сейчас из шапки скачать указанные проги: получилось скачать только HiJackThis и AVP Tool (у меня правда стоит КИС2010), а дрВеб в пролете и AVZ тоже Какаие предпринять действия дальше?

На всякий случай вот
hijackthis.log/ http://www.mediafire.com/download.php?l2itgmz0omz

[b]thyrannosaurus[b/] спасибо
все получилось. Много красноты вылезло

virusinfo_syscure.zip
http://rghost.ru/1732181

virusinfo_syscheck.zip
http://rghost.ru/1732200

П.С. Так и не понял редактирование тэгов, и подсказок нет, прошу простить "чайника"

Cluw
Попробуйте такой AVZ http://gjf.hotbox.ru/mink.pif

Cluw

Пофиксите в HiJack

Код: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\GBMN2L1.exe,\\?\globalroot\systemroot\system32\SwjuLTc.exe,\\?\globalroot\systemroot\system32\v7k0oP6.exe,

Цитата:

Пофиксите в HiJack

thyrannosaurus
не совсем понял, как это сделать... просто вставить выделеную строку?
с АVZ вопросов вроде бы нет

и еще вопрос - условия выполнения какие - инет должен быть включен? КИС выгружать?

Буду все операции делать вечером, когда доберусь до компа.

thyrannosaurus

Цитата:

NeliyZar
Там dll-файл? Можно и мне ссыль?

Если честно даж не знаю. Челу принесли на лечение зараженный ПК. Он отловив вирус решил проверить свой НОД и тот влехкую положил Семерку. Куреитка ловит-лечит, но ни Каспер мой (скачивала и сканила архив без распаковки), ни тем более НОД не ловил тогда. Ссыль в ЛС.

На ранних страницах темы нашел насчет
Цитата:

Пофиксите в HiJack

, но там ссылка ведет на virusinfo, а я на него попасть тоже не могу.

нужна помощь

Cluw

Цитата:

3. В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку "Fix Checked". Затем следует перегрузить компьютер.

Skif_off
спасибо за подсказку. Теперь оказалось, что и с AVZ подсказка не помешала бы - помню, что надо там нажать кнопку "выполнить скрипт" а какие галки еще где надо дополнительно ставить, или все по умолчанию ??? (проблема та же - не могу пройти по ссылке) просто боюсь накосячить

Cluw
- Файл/Выполнить скрипт
- вставляешь предложенный thyrannosaurus скрипт и жмешь "Запустить"