» Помощь при лечении компьютера от вирусов

9285
Не мори, решетку нажми

Добавлено:
А может это троль? А мы тут... повелись.

Добавлено:
Музыка хорошая...

levasam респект. KismetT 11:01 01-03-2014
Цитата:

Человек выложил купленный им дешифровщик забесплатно

Дешифратор действительно рабочий проверял на зашифрованных файлах выложенных юзером на другом форуме.
Для тех кто не в теме в большинстве случаев это действительно единственный выход вернуть зашифрованные файлы. После оплаты дешифровщик действительно высылают. Случаи, что кинули очень редкие. Я не призываю платить вымогателю, но других вариантов порой просто нет.
Дешифраторы которые предлагают вирлабы доктора веба и касперского способны расшифровать эти файлы, только если кто-то подобно levasam купит дешифратор и бескорыстно им поделится (в вирлаб дешифратор переслал, а также поделился им в закрытых разделах форумов занимающихся расшифровкой). Таким образом levasam помог довольно большому кол-ву людей.

Цитата:

Для тех кто не в теме в большинстве случаев после оплаты дешифровщик действительно высылают.

Обрыгаться... сам то понял чЁ сказал

Цитата:

сам то понял чЁ сказал

А глаза добрые - добрые.

KismetT
Действие важно, слово-ничто. Поспорим, велкам klass@bk.ru

Есть смысл при включенном мониторе одного антивируса запустить сканер другого для увеличении вероятности обнаружения хитрой заразы на компе?

Думаю нет...

Здравствуйте! Прошу помощи в лечении компьютера от Win32 (или, возможно, и от других).

Система: Microsoft Windows 7
Антивирусы: Avast, Windows Security Essentials

Симптомы:

- В Файерфоксе лезет постоянно реклама в отдельных окнах и в основных. Некоторые слова в читаемом тексте превращаются в Линки с рекламной сылкой.

Сканирование с Windows Security Essentials выдает пару вирусов ВИН32, которые я сразу же удаляю.
ESET нашел пару троянов, удалила.
Avast нашел тоже ВИН32, удалила и там.

- После переустановки Браузера, какое-то времы рекламы не было. Но потом снова началось.
- Поменяла Файерфокс на Хром. Там та же история.
- Открываю Интернет Экспорэр. Тут картина поинтересней. Реклама больше не лезет, но Эксплоэрэр секьюрити постоянно выдает окно: "Веб-узел пытается открыть веб-содержимое с помощью программы на вашем компьютере. Программа будет открыта за пределами защищенного режима.
Имя: Adobe Flash Player". Иногда имя меняется на Java.
- Интернет работает медленно.

Подскажите пожалуйста, обойтись ли тут как-то без переустановки системы? И как, если возможно?
Спасибо заранее!

Первым делом следует оставить один из антивирусов, остальные удалить и перезагрузиться.
Скачать Kaspersky Virus Removal Tool и запустить его.
Как запустить Автоматическую проверку компьютера в Kaspersky Virus Removal Tool.
Это наверное наиболее доступный для вас метод.

P.S.Java, если вы её не используете, лучше удалить вовсе.

solovolesya

Цитата:

Эксплоэрэр секьюрити постоянно выдает окно: "Веб-узел пытается открыть веб-содержимое с помощью программы на вашем компьютере. Программа будет открыта за пределами защищенного режима. Имя: Adobe Flash Player". Иногда имя меняется на Java.

Я, конечно, могу и ошибаться, но этот симптом не имеет отношения к вирусам и связан с настройками браузера, просто разрешите для этих программ (Adobe Flash Player, Java) доступ за пределы защищённого режима.

Цитата:

После переустановки Браузера, какое-то времы рекламы не было. Но потом снова началось.

Вирус мог повторно попасть в систему, например при подключении заражённой флешки.
Попробуйте написать о свое проблеме здесь .
Если есть свободное время, то можете попробовать воспользоваться программами и полезными советами из этой темы.

Цитата:

Скачать Kaspersky Virus Removal Tool и запустить его.

Все так и сделала, спасибо! Компьютер еще подчистился и подчинился...
НО!!! Пользоваться интернетом все равно проблематично. В файерфоксе по-прежнему лезет реклама... А в интернет эксплоэрэр появляются бесконечные окна с предложением разрешить
Цитата:

Adobe Flash Player

открыть в пределах защищенного режима.


Цитата:

Вирус мог повторно попасть в систему, например при подключении заражённой флешки.

Флешками уж дааавно не пользовалась.


Цитата:

просто разрешите для этих программ (Adobe Flash Player, Java) доступ за пределы защищённого режима.

Я тоже могу ошибаться, но по моему чувству - это и был момент истины. Однажды, я не выдержала и "разрешила". После этого рекламный поток усилился.

Что же еще может быть? Что ж еще предпринять???

solovolesya

Цитата:

Что ж еще предпринять???

включить adblock
посмотреть логи HijackThis
и тряхануть восст.системы кроме опасно в AVZ
а дальше смотреть ...

solovolesya
Проще к вам залезть через TeamViewer и сделать самому, чем долго объяснять.

Цитата:

включить adblock
посмотреть логи HijackThis
и тряхануть восст.системы кроме опасно в AVZ
а дальше смотреть ...

Спасибо большое!
Только где включают " adblock" и как посмотреть "HijackThis"??
И еще вы имеете ввиду, частично переустановить систему?

solovolesya

Цитата:

Только где включают " adblock"

скачайте расширение на мозилу

Цитата:

и как посмотреть "HijackThis"??

http://forum.ru-board.com/topic.cgi?forum=5&topic=14837#1

Цитата:

И еще вы имеете ввиду, частично переустановить систему?

нет, в avz есть восстановление системы

Цитата:

В Файерфоксе лезет постоянно реклама в отдельных окнах и в основных

Если у вас не установлена программа или расширение браузера по блокировке рекламы, то она и будет. Более того, смотря как сделаны посещаемые вами сайты, реклама на них не только есть, но она ещё и мешает работе, то есть вы нажимаете на одно (к примеру на ссылку ), а получаете совсем другое. Советую установить AdMuncher - антибаннер
http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=51316&start=1420#lt

Можете скачать adwcleaner и провериться им на рекламные модули, после чего нажав на кнопку
Rerport, сохранить данный лог и выложить его для просмотра куда-нибудь.

1 Название реклам модуля надо вычистить в реестре, удалить вручную все пути
2 удалить все сторонние браузеры и так же в реестре все убрать, предварительно сохр пароли и линки.
3 посмотреть в расширенном диспетчере что грузится с осью

betssaf, ты понимаешь, кому даешь такие советы?

Если зараза хитрая, толку от прог мало. Надо объяснить как реестр вычистить...я с тела сейчас...так бы видео сворганил небольшое. Недовно клиент прогу поставил с бонусом сторонним...2 часа мозг выносили

Цитата:

Надо объяснить как реестр вычистить.

Ну-ну.Удачи.

betssaf 17:47 02-04-2014
Цитата:

Если зараза хитрая, толку от прог мало.

ну, если руки кривые или пользоваться ими не умеешь, то конечно толку мало.
opt_step 16:44 02-04-2014
Цитата:

включить adblock

это не устранит проблемы, только скроет симптомы.
KismetT 17:28 02-04-2014
Цитата:

Можете скачать adwcleaner и провериться им на рекламные модули,

+ самостоятельно посмотреть установленные плагины в браузерах.
Ещё один вариант взять и обратиться на специализированный форум.

Цитата:

посмотреть в расширенном диспетчере что грузится с осью

Это где? Я тоже девчонка и насколько мне известно, прежде всего нужно обратить внимание на процесс svchost.exe
solovolesya
Есть замечательная программа Auslogics Boost Speed для обслуживания ОС ( должна быть в Варезнике, если не найдёте, пишите в личку, кину ссылку) Она конечно от вирусов не спасёт, но с её помощью можно посмотреть, что стоит в Автозагрузке. Если что-то постороннее, то это можно будет удалить, не заходя в реестр. Конечно, вначале выложить здесь скриншот.

Такая проблема: Windows XP SP3, MS Office 2003 с OfficeCompatibilityPack (чтобы работать с файлами версий поновее), AVG 2012.
В системе одна учетка - админа, под которой юзер и работает по-умолчанию.
С некоторых пор у юзера возникла такая проблема: офисные программы (Word, Excel) запускаются быстро и файлы из-под них (через меню "Открыть") практически любые открываются тоже очень быстро (доли секунд).
НО если открывать вордовский или экселевский файл (любой) из Проводника, открытие файла может занимать несколько МИНУТ.
Есть большое подозрение на вирь. Как правильно проверить и отловить заразу, если такая имеется?
P.S. Смену ОС или Офиса - не предлагать. У юзера по этому поводу суровые "религиозные" убеждения.

Принесли машину, которую полечили актуальным LiveCd Kaspersky на июнь 2014 года. На машине стоял KIS 2013-который удалили. что за вирус попался - не помнят. После лечения машина выдавала wsastartup () failed or you have the incorrect version of winsock installed и сыпались Skype и т.п.
Для закрепления успеха Kaspersky прогнал машину CureIt и HiJack- удалил в основном adware.
Для того, чтобы убрать сообщение об ошибке прогнал скрипт в avz
begin
ExecuteREpair(14);
RebootWindows(true);
end.

Сообщение пропало, проги заработали.
Поставил KIS 2014
Нарисовалась другая проблема: адреса в инете пингуются по имени. Проги не работаю инетовские(браузеры, skype и т.п.)
В журнале ошибки:
1. Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.
2. Не удалось загрузить драйвер \Driver\WUDFRd для устройства WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_SILICON-POWER&REV_PMAP#070832650B90FF03&0#.
3. Сбой при запуске службы "TicnoIndexator" из-за ошибки
Не удается найти указанный файл.
4. Загрузка \??\C:\Windows\SysWow64\Drivers\utmyndqy.sys заблокирована из-за несовместимости с данной системой. Обратитесь к поставщику программного обеспечения за совместимой версией драйвера.
[more=AVZ log]Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.43
Сканирование запущено в 02.07.2014 17:45:58
Загружена база: сигнатуры - 297613, нейропрофили - 2, микропрограммы лечения - 56, база от 23.02.2014 17:04
Загружены микропрограммы эвристики: 405
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 649447
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional" ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 431
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 453, извлечено из архивов: 3, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 02.07.2014 17:46:40
Сканирование длилось 00:00:44
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
[/more]

Куда копать?

Может попробовать LCP Fix.
Посмотреть состояние службы DNS-клиент, хотя и без неё можно работать.
Пробовать откатиться на точку восстановления, когда всё работало.
Без КИС-ы нормально проги выходят в сеть?

ЗЫ.Нужно хотя бы версию ОС сообщать.

Добавлено:
В журнале ошибки:   1. Event filter with query "SELECT * FROM _


Цитата:

3. Сбой при запуске службы "TicnoIndexator" из-за ошибки   Не удается найти указанный файл.

Удалить службу - это адвара.


Цитата:

4. Загрузка \??\C:\Windows\SysWow64\Drivers\utmyndqy.sys заблокирована из-за несовместимости с данной системой.

Похоже, что система x64, это драйвер AVZPM - на ней не работает - не стоит обращать внимание.


Цитата:

2. Не удалось загрузить драйвер \Driver\WUDFRd для устройства WpdBusEnumRoot\UMB\2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_&PROD_SILICON-POWER&REV_PMAP#070832650B90FF03&0#.

Найти драйвер в диспетчере задач и удалить его. Видно что скорее всего флешка SILICON POWER.

KismetT 21:58 02-07-2014
Цитата:

ЗЫ.Нужно хотя бы версию ОС сообщать.

KismetT хоть там и только пародия на лог, но версия ОС есть

Цитата:

Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional" ; AVZ работает с правами администратора

Слона то и не заметил.

KismetT
regist123
Спасибо за подсказки!
Утилитой LCP Fix отработал, но результат еще не проверял
Вот адекватный лог http://gfile.ru/aa9Q6

Вроде ничего вредоносного не углядел, но доступа к инету нет.
В AVZ можно поправить это:


Код: begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.