Случайно заблокировал файл userinit с помощью Spyware Process Detector, теперь Win XP по окончании загрузки снова перезагружается и в безопасном режиме тоже самое.Есть возможность загрузиться с др.жесткого диска.В описании Spyware не сказано как разблокировать файл.Подскажите как разблокировать файл? С уважением PapaSema
» Помощь при лечении компьютера от вирусов
Skif_off
при нажатии кнопки "запустить" вылазит ошибка
Цитата:
Что не так я делаю?
интернет и КИС отключаю, страничка браузера открыта и свернута
при нажатии кнопки "запустить" вылазит ошибка
Цитата:
Ошибка скрипта: Undeclared identifier: 'RegSearch', позиция [12:10]???
Что не так я делаю?
интернет и КИС отключаю, страничка браузера открыта и свернута
Cluw
Скрипт поправил. Но ошибка была на несколько строк ниже.
Вы просто скопируйте текст скрипта из окошка Код
Скрипт поправил. Но ошибка была на несколько строк ниже.
Вы просто скопируйте текст скрипта из окошка Код
thyrannosaurus
скопировал, но все равно та же ошибка...
может надо обновить AVZ, но строка про "Обновление баз" не активна
скопировал, но все равно та же ошибка...
может надо обновить AVZ, но строка про "Обновление баз" не активна
Cluw
Проверил и ужаснулся. Действительно, похоже в этом AVZ функция поиска в реестре не работает
Разбиваем скрипт на два
1. Выполнить в обычном AVZ
Код: begin
RegSearch('HKLM', '', 'esp200E.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
end.
Проверил и ужаснулся. Действительно, похоже в этом AVZ функция поиска в реестре не работает
Разбиваем скрипт на два
1. Выполнить в обычном AVZ
Код: begin
RegSearch('HKLM', '', 'esp200E.tmp');
SaveLog(GetAVZDirectory + 'avz.log');
end.
thyrannosaurus
Цитата:
так у меня нет никакого другого AVZ, кроме того, что Вы отдельно для меня выкладывали...
А скачать обычный AVZ я не могу - блокируют меня мои звери
Цитата:
Выполнить в обычном AVZ
так у меня нет никакого другого AVZ, кроме того, что Вы отдельно для меня выкладывали...
А скачать обычный AVZ я не могу - блокируют меня мои звери
Вот что значит, когда тема разбита на 2 страницы
Тогда пропустите пока скрипт №1 и выполняйте дальше. Если доступ к сайтам воссстановится, сможете скачать обычный AVZ и выполнить скрипт
Тогда пропустите пока скрипт №1 и выполняйте дальше. Если доступ к сайтам воссстановится, сможете скачать обычный AVZ и выполнить скрипт
thyrannosaurus
все получилось, спасибо!!!
Уже скачал обычную версию AVZ и сканер др.Веба и отправил карантин на Касперского
вот лог от первой части скрпта: http://rghost.ru/1746105
Добавлено:
Цитата:
еще хочу уточнить - это как в шапке темы? т.е. 2 лога AVZ и один Hijack???
все получилось, спасибо!!!
Уже скачал обычную версию AVZ и сканер др.Веба и отправил карантин на Касперского
вот лог от первой части скрпта: http://rghost.ru/1746105
Добавлено:
Цитата:
Сделайте новые логи (попробуйте обновить обычный AVZ и сделать логи им)
еще хочу уточнить - это как в шапке темы? т.е. 2 лога AVZ и один Hijack???
Cluw
Цитата:
Именно.
Цитата:
т.е. 2 лога AVZ и один Hijack???
Именно.
gjf
вот новые логи
AVZ - virusinfo_syscure.zip
http://rghost.ru/1746768
AVZ - virusinfo_syscheck.zip
http://rghost.ru/1746780
HJT - hijackthis.log
http://rghost.ru/1746788
вот новые логи
AVZ - virusinfo_syscure.zip
http://rghost.ru/1746768
AVZ - virusinfo_syscheck.zip
http://rghost.ru/1746780
HJT - hijackthis.log
http://rghost.ru/1746788
Cluw
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\esp200E.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Temp\esp200E.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
gjf
все указания выполнил
новый лог virusinfo_syscheck.zip
http://rghost.ru/1747449
Кстати, от Касперыча пришло уведомление, что файлы находятся в процессе обработки
все указания выполнил
новый лог virusinfo_syscheck.zip
http://rghost.ru/1747449
Кстати, от Касперыча пришло уведомление, что файлы находятся в процессе обработки
Cluw
Выполните скрипт в AVZ
Код: begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\F66BFF46');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\F66BFF46');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\F66BFF46');
RebootWindows(true);
end.
Выполните скрипт в AVZ
Код: begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\F66BFF46');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\F66BFF46');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\F66BFF46');
RebootWindows(true);
end.
thyrannosaurus
cделал, новый
Цитата:
http://rghost.ru/1748473
Что-то там еще осталось похоже...
cделал, новый
Цитата:
лог virusinfo_syscheck.zip
http://rghost.ru/1748473
Что-то там еще осталось похоже...
thyrannosaurus
Цитата:
то есть все чисто? Вылечили?
IE8 установлю сейчас. А то, что AVZ много красных строк написал - это уже не страшно?
Ответ от Касперского ждать, или тоже уже не важно? Кстати, не по теме, но заодно спрошу - КИС у меня при автозагрузке загружается последним (после всех ДМ, мэйл ру агентов и т.п. - это нормально? или он все же должен первым загружаться?) и как это сделать - не нашел установку очередности автозагрузок...
Результат : - IE8 не поставился, какая-то ошибка, и еще хотел спросить - КИС постоянно реагирует на сетевые атаки (это правда уже давно происходит)
Вот пример:
Цитата:
Цитата:
Теперь порядок.
то есть все чисто? Вылечили?
IE8 установлю сейчас. А то, что AVZ много красных строк написал - это уже не страшно?
Ответ от Касперского ждать, или тоже уже не важно? Кстати, не по теме, но заодно спрошу - КИС у меня при автозагрузке загружается последним (после всех ДМ, мэйл ру агентов и т.п. - это нормально? или он все же должен первым загружаться?) и как это сделать - не нашел установку очередности автозагрузок...
Результат : - IE8 не поставился, какая-то ошибка, и еще хотел спросить - КИС постоянно реагирует на сетевые атаки (это правда уже давно происходит)
Вот пример:
Цитата:
30.05.2010 15:02:09 Обнаружено: Intrusion.Win.NETAPI.buffer-overflow.exploit TCP от 10.207.93.251 на локальный порт 445 Отсутствует
Cluw
Всё в логах нормально, всё, что Вы описали - тоже нормально, но у меня несколько подозрений... Возможно, что это несущественно, но на всякий случай...
Сделайте лог с помощью GMER.
gmer.log
Всё в логах нормально, всё, что Вы описали - тоже нормально, но у меня несколько подозрений... Возможно, что это несущественно, но на всякий случай...
Сделайте лог с помощью GMER.
gmer.log
gjf
что=то при сканировании GMERом система зависает и помогает лишь кнопка RESET
Дважды попробовал, оба раза пришлось резетить
Думаю, что это ненормально...
Вот что подумал - а интернет должен при сканировании быть подключен? У меня он включен и КИС я не отключал...
ОказалосЬ, что это необходимые условия - при отключении инета и выгрузке КИСа все отработало
Вот требуемый лог:
gmer.log
http://rghost.ru/1753452
П.С. и после отработки скрипта комп пришлось перезагружать - КИС не запускался
что=то при сканировании GMERом система зависает и помогает лишь кнопка RESET
Дважды попробовал, оба раза пришлось резетить
Думаю, что это ненормально...
Вот что подумал - а интернет должен при сканировании быть подключен? У меня он включен и КИС я не отключал...
ОказалосЬ, что это необходимые условия - при отключении инета и выгрузке КИСа все отработало
Вот требуемый лог:
gmer.log
http://rghost.ru/1753452
П.С. и после отработки скрипта комп пришлось перезагружать - КИС не запускался
Cluw
Чисто.
Чисто.
gjf
То есть победили заразу? Спасибо всей команде!!!
Все те файлы, что были созданы в процессе лечения, можно удалять?
Еслть ли смысл оставлять на компе AVZ (две версии) и HiJackThis, если я пользуюсь КИС, и как в дальнейшем избежать подобных ситуаций???
То есть победили заразу? Спасибо всей команде!!!
Все те файлы, что были созданы в процессе лечения, можно удалять?
Еслть ли смысл оставлять на компе AVZ (две версии) и HiJackThis, если я пользуюсь КИС, и как в дальнейшем избежать подобных ситуаций???
Cluw
Да, удаляйте всё. AVZ и HJT - тоже. Если что, скачаете потом заново, они обновляются.
Рекомендуется осуществить полную проверку компьютера антивирусным сканером.
Да, удаляйте всё. AVZ и HJT - тоже. Если что, скачаете потом заново, они обновляются.
Рекомендуется осуществить полную проверку компьютера антивирусным сканером.
Silver Member!Что можешь посоветовать PapeSemu?
PapaSema
Ничего не могу, потому что вопрос не о вирусах. Поищите ветку по Spyware Process Detector и спросите там. Здесь просьба не оффтопить.
Ничего не могу, потому что вопрос не о вирусах. Поищите ветку по Spyware Process Detector и спросите там. Здесь просьба не оффтопить.
Spyware Process Detector дополнение к любой антивирусной программе -детектор опасных процессов, для определения, блокирования и удаления новых, ещё неизвестных ей, - вирусов, троянов и шпионов. Где мне можно задать вопрос на эту тему?
Прошу помощи. Вирус замучал. Загружает процессор на полную; не даёт грузится большинству сайтов, в том числе абсолютно всем антивирусным (ru-board почему-то не тронул); и ещё куча всяких проблем. При попытке проверки Касперским папки Windows грузит комп намертво, CureIt! нашёл и удалил 6 вирусных файлов, но легче не стало.
Логи:
http://rghost.ru/1790206
http://rghost.ru/1790215
http://rghost.ru/1790222
Логи:
http://rghost.ru/1790206
http://rghost.ru/1790215
http://rghost.ru/1790222
LostHorok
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Новая папка\DosBoxcvs.zip','');
QuarantineFile('C:\WINDOWS\system32\KxxVWy1.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
DeleteFile('C:\WINDOWS\system32\KxxVWy1.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20); {удаление статических маршрутов в настройках TCP/IP}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\WINDOWS\system32\sol.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Новая папка\DosBoxcvs.zip','');
QuarantineFile('C:\WINDOWS\system32\KxxVWy1.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
DeleteFile('C:\WINDOWS\system32\KxxVWy1.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); {восстановление userinit}
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(20); {удаление статических маршрутов в настройках TCP/IP}
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
Утром на рабочем столе обнаружил порно-инфорумер. Удалил через http://support.kaspersky.ru/viruses/deblocker.
Быстрая проверка CureIt`ом обнаружила Trojan.Packed.20343 в C:\DOCUME~1\*******\LOCALS~1\Temp\dUkE.exe - файл был
удален.
Провел полную проверку KWS 6.0.4.124. Подозрительные объекты не обнаружены
Выкладываю логи:
http://www.mediafire.com/file/znq23zmydmw/virusinfo_syscure.zip
http://www.mediafire.com/file/wjdgzvxnkzm/virusinfo_syscheck.zip
http://www.mediafire.com/file/5d5zmi5mwgi/hijackthis.log
Просьба проверить на наличие следов вредоносных программ.
Быстрая проверка CureIt`ом обнаружила Trojan.Packed.20343 в C:\DOCUME~1\*******\LOCALS~1\Temp\dUkE.exe - файл был
удален.
Провел полную проверку KWS 6.0.4.124. Подозрительные объекты не обнаружены
Выкладываю логи:
http://www.mediafire.com/file/znq23zmydmw/virusinfo_syscure.zip
http://www.mediafire.com/file/wjdgzvxnkzm/virusinfo_syscheck.zip
http://www.mediafire.com/file/5d5zmi5mwgi/hijackthis.log
Просьба проверить на наличие следов вредоносных программ.
Скрипт для очистите темп-папки, кэш проводников и корзины:
http://rghost.ru/1796696
gjf
можно в шапку
http://rghost.ru/1796696
gjf
можно в шапку
Dmitriy05
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\flashdad\transc\fold1\PIPE\LOCOMOT.ZIP','');
QuarantineFile('C:\flashdad\transc\fold1\CDMAN\BUGBOMBR.ZIP','');
QuarantineFile('C:\DOCUME~1\Dmitriy\LOCALS~1\Temp\PS9N34DM.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\acio8x9p.SYS','');
BC_ImportAll;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('C:\thumbs.db','');
QuarantineFile('C:\flashdad\transc\fold1\PIPE\LOCOMOT.ZIP','');
QuarantineFile('C:\flashdad\transc\fold1\CDMAN\BUGBOMBR.ZIP','');
QuarantineFile('C:\DOCUME~1\Dmitriy\LOCALS~1\Temp\PS9N34DM.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\acio8x9p.SYS','');
BC_ImportAll;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.
gjf
После выполнение 1го скрипта система не ушла в перезагрузку, а выгрузила все программы и выдала пустой экран - обои рабочего стола и курсор. Пришлось применит ресет
При чистке временных папок выскочило окно KWS
удалено: троянская программа Trojan.Win32.Qhost.ngf файл: C:\Documents and Settings\*******\Local Settings\Temp\aFKU.exe//PE_Patch.UPX//UPX
Отправил запрос через форму жду ответа
После выполнение 1го скрипта система не ушла в перезагрузку, а выгрузила все программы и выдала пустой экран - обои рабочего стола и курсор. Пришлось применит ресет
При чистке временных папок выскочило окно KWS
удалено: троянская программа Trojan.Win32.Qhost.ngf файл: C:\Documents and Settings\*******\Local Settings\Temp\aFKU.exe//PE_Patch.UPX//UPX
Отправил запрос через форму жду ответа
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.