Как избавиться от вируса? Победа над ним, ура :)
Автор
Сообщение
dinf
Стаж: 14 лет
Сообщений: 143
поставь кристал вместо Nod32 хоть от банеров избавляет с играми и рекламой
можно доктор веб
или avz скачай и проверь на максимальных утилита бесплатная
Не помог даже LiveCd от DrWeb и Kaspersky, avz вряд ли поможет.
в авз есть чистка и откат системы
Черт возьми, во первых:
Много работы проведено, а некоторые данные заархивировать я не могу.
Во вторых, если AVZ имеет какую-то свою систему отката, то он не сможет откатить ОС на тот момент, когда его еще не существовало на моем ЖД. Хватит давать идиотские советы.
если считаеш что умнее не задавай глупых вопросов тогда как лечить internet.com
в авз эта функция есть в стандаротном скрипте
а откат системы это не удаление на дату а востановление заводских настроек и файлов самого виндоуса
Последний раз редактировалось: dinf (2011-10-19 00:32), всего редактировалось 1 раз
hikkomоri
Стаж: 15 лет
Сообщений: 142
FlYeR94
может это и не поможет, но попробуйте пройтись KidoKiller-ом, и почиститить маршруты
-=Drago=-
Стаж: 15 лет
Сообщений: 234
Hikkikomori Ваша программа к сожилению ничем не помогла мне.
dinf
Стаж: 14 лет
Сообщений: 143
Hikkikomori Ваша программа к сожилению ничем не помогла мне.
проще способ
1. Отключите антивирус/фаервол, интернет.
2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
DeleteFile('C:\WINDOWS\system32\owaedgf.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.после выполнения скрипта компьютер перезагрузится.
4. Пофиксите в HijackThis следующие строчки:
Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://superru.net/?utm_medium=ih&utm_source=sk...utm_content=11-0 6
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\owaedgf.dll5. Сделайте новые логи AVZ и HijackThis
6. Cделайте лог MBAM и дайте ссылку на файл лога.
После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
Цитата:
Скачайте лечащую утилиту AVPTool и запустите сканирование, по завершению которого, отпишитесь здесь о статусе вашей проблемы.
http://www.adminplanet.ru/t4040.html модератор nod уже много способов придумал можешь к нему обратится он и еще сложнее может 
Последний раз редактировалось: dinf (2011-10-18 22:29), всего редактировалось 2 раз(а)
-=Drago=-
Стаж: 15 лет
Сообщений: 234
dinf спасибо за помощь завтра попробую.
Vivian
Стаж: 15 лет
Сообщений: 613
поставь кристал вместо Nod32 хоть от банеров избавляет с играми и рекламой
можно доктор веб
или avz скачай и проверь на максимальных утилита бесплатная
Kaspersky тоже может пропустить трояна и заражение drive-by. Перестал им пользоваться, когда произошло второе. Но не по этой причине, а по причине медленной работы ноутбука.
поставь кристал вместо Nod32 хоть от банеров избавляет с играми и рекламой
можно доктор веб
или avz скачай и проверь на максимальных утилита бесплатная
Не помог даже LiveCd от DrWeb и Kaspersky, avz вряд ли поможет.
AVZ поможет, но, к сожалению, требует знаний и навыков.
FlYeR94
1. Как выглядит файл C:\Windows\System32\drivers\etc\HOSTS?
2. Ссылки на отсутствующий файл - это, видимо, бывшее местонахождение вирусов или не до конца удалившихся программ.
Убери галочки автозапуска с этих файлов. Autoruns лучше запустить в Безопасном режиме (хотя не проверял, работает ли она там) и с правами администратора (в учетной записи администратора).
3. Службы:
AVPlayer - это медиаплеер?
Знакома ли программа Firebird, у которой запускаются 2 службы?
Guard.Mail.Ru - по идее, должен быть издатель, а он не указан.
npggsvc nProtect GameGuard Service - возможно, игровая служба, но без указания на издателя.
PnkBstr - не знаю, должен ли быт указан издатель у этого игрового процесса. Если должен быть, то этот процессор подделка.
Sony Ericsson - программа/драйвер скачена с официального сайта или установлена с компакт-диска?
StarWindService Rocket Devision - подозреваю, служба относится к программе оформления оболочки (проводника). Такая программа устанавливалась?
Другие процессы имеют цифровые подписи доверенных издателей, хотя и среди них может быть подделка.
Какие еще службы не Microsoft не относятся к установленным программам?
[thumbnails]https://linkme.ufanet.ru/images/06580876cab2dbc2216...png[/thumbnails]
[thumbnails]https://linkme.ufanet.ru/images/ec18963e38cae4c7cfc...png[/thumbnails]
[thumbnails]https://linkme.ufanet.ru/images/dd54d10b2ef1a40091f...png[/thumbnails]
[thumbnails]https://linkme.ufanet.ru/images/6c036351c5a71198f9b...png[/thumbnails]
[thumbnails]https://linkme.ufanet.ru/images/1325165249e2ecd5d57...png[/thumbnails]
[thumbnails]https://linkme.ufanet.ru/images/6d7818608c75baa3c10...png[/thumbnails]
Отключи эти службы на скриншотах. После перезагрузки проверь - отключены и не запущены ли они по-прежнему.
4. Процессы:Подозрительны процессы GuardMail и Pando
5. Что насчет временных папок? Есть ли в них файлы с расширениями .exe и dll?
Проверь папки на наличие странных файлов, особенно файлов с расширениями .dll и .exe
H:\WINDOWS\Temp\
H:\Documents and Settings\<username>\Local Settings\Temp\
H:\Documents and Settings\<username>\Local Settings\Temporary Internet Files
6. В безопасном режиме запусти утилиту ATF Cleaner (ссылка выше) и затем стандартную очистку диска Windows. Они почистят эти директории. В обычном режиме файлы вируса могут не удалиться.
7. В Hirens BootCD есть хороший антишпион Malwarebytes - где-то минут за 30-50 он проверит системный диск. Загрузится надо будет в mini Windows XP в Hirens BootCD.
8. Чтобы в ProcessExplorer.zip найти расположение файлов, нужно выбрать соответствующие колонки, как в моем скриншоте в 1 посте.
Совсем забыл: в настройках Eset надо бы посмотреть, не занесены ли какие-то программы в Исключения как доверенные. Хотя на зараженном компьютере от антивируса много ждать не приходится.
dinf
Стаж: 14 лет
Сообщений: 143
Vivian
авз ну незнай 1 раз операционку снесешь им и будешь знать все его функции - он очень удобен в откате
любой антивирус надо настраивать ручками всетаки а не в дефолте обслуживатся
еще есть авира при нормальной настройке найдет почти все это один из лучших поисковиков который я встречала но и под шумок снесет все кряки активаторы и тд даже на виндовс активацию сносит
а вот защита у нее дырявая
вот еще скрипт под авз но я неуверенна что поможет так как у человека было минимальное заражение по скрипту видно
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\tnawzon.dll','');
DeleteFile('C:\WINDOWS\system32\tnawzon.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось: dinf (2011-10-18 23:03), всего редактировалось 2 раз(а)
Vivian
Стаж: 15 лет
Сообщений: 613
dinf
Хорошо бы научиться пользоваться этой программой.
Вообще, если делать резервирование реестра каждый день с помощью специальных программ например ERUNT то проблем с откатом нет. Я так делаю, Восстановление системы нормальное толко в 7ке, и на него полной надежды бывает нет (давняя точка восстановления и тд). А вчерашняя копия реестра это гуд. Причем делается автоматом Планировщиком заданий.
dinf
Стаж: 14 лет
Сообщений: 143
dinf
Хорошо бы научиться пользоваться этой программой.
Вообще, если делать резервирование реестра каждый день с помощью специальных программ например ERUNT то проблем с откатом нет. Я так делаю, Восстановление системы нормальное толко в 7ке, и на него полной надежды бывает нет (давняя точка восстановления и тд). А вчерашняя копия реестра это гуд. Причем делается автоматом Планировщиком заданий.
http://sonikelf.ru/kak-bystro-ubit-virusy-i-prochuyu-gadost/ для начало думаю понятно будет по авз если поймекшь это то легко вникнешь
Vivian
Стаж: 15 лет
Сообщений: 613
dinf
После этого
Ниже выставляем две галочки “Блокировать работу RootKit User-Mode” и “RootKit Kerner-Mode“. Это нужно, чтобы ни один вирус не смог никуда убежать, запустить что-либо мешающее работе антивируса и вообще не брыкался. Еще ниже выставляем галочки “Автоматически исправлять ошибки в SPI/LSP” и “Поиск портов TCP/UDP программ“, а так же “Поиск клавиатурных перехватчиков Keyloggers“. Картинка-иллюстрация с правильными настройками вот.
7.Устали? Это еще не всё Жмем AVZGuard (рядом с “Фаил, Сервис” и тд) – > Включить AVZGuard
Перестал читать, потому что:
Система AVZGuard и антируткит режима ядра являются взаимоисключающими, при включении AVZGuard нейтрализация руткитов в режима ядра отключается.
)
И еще:
При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы.
В случае проверки системы с нейтрализацией Kernel RootKit необходимо перезагрузиться !! Это связано с тем, что нейтрализация перехватчиков может нарушить работу антивирусных мониторов, компонент Firewall и прочих программ, отвечающих за безопасность. Перезагрузка актуальна только в случае восстановления перехваченных функций - в этом случае AVZ указывает на необходимость перезагрузки в конце протокола.
В блоге об этом ни слова.
dinf
Стаж: 14 лет
Сообщений: 143
Vivian
мне в принципе хватило инструкции чтобы не мучить программу
http://z-oleg.com/secur/avz_doc/ лучше рапечатать нужное чтобы не искать другой компютер
и все скрипты там простейшие чтобы в ручную не удалять
авз это простейший механизм с ручным управлением
выше скрипты это единственные заражения которые нашла
это все гораздо проще чем кажется на первый взгляд просто вчитайся в скрипты поймешь почему
я то незарожаюсь
у меня вин 7 64 +кристал с ручными настройками + экспл 9 тоже 64 со включенной фильтрацией
я уж и непомню когда зарожение в последний раз то было 
ну и некаких всплытий рекламы и веб игр типо нажми на меня
зато без них быстро страницы открываются что компенсирует его использование
ну впринциппе дрвеб такойже самое главное настроить систему нормально
а вообще когда лень расжевывать у меня всегда есть идеальная отмазка я глупая наивная блондинка 
посмотри в мои невинные голубые глазки 
-=Drago=-
Стаж: 15 лет
Сообщений: 234
Всем спасибо за помощь удолил вирус с помощью касперского AVPTool.
FlYeR94 ®
Стаж: 14 лет
Сообщений: 135
AVPlayer - это медиаплеер?
Да.
Знакома ли программа Firebird, у которой запускаются 2 службы?
Да, программа для создания отчетности, используется Spu-Orb, и, если не ошибаюсь, Бизнес-паком.
Guard.Mail.Ru - по идее, должен быть издатель, а он не указан.
Т.е. программу следует удалить и посмотреть, осталась ли служба?
P.S. При попытке закрытия включается снова.
npggsvc nProtect GameGuard Service - возможно, игровая служба, но без указания на издателя.
Игра, использующая её неактивна, но не удалена.
PnkBstr - не знаю, должен ли быт указан издатель у этого игрового процесса. Если должен быть, то этот процессор подделка.
Аналогично с Guard.Mail.Ru
Sony Ericsson - программа/драйвер скачена с официального сайта или установлена с компакт-диска?
Да.
StarWindService Rocket Devision - подозреваю, служба относится к программе оформления оболочки (проводника)
Не знаюСкорее просто не помню, что это за программа, но такой процесс был почти на всех моих ПК. К тому же его можно вырубить через диспетчер задач.
Vivian
Стаж: 15 лет
Сообщений: 613
Guard.Mail.Ru - по идее, должен быть издатель, а он не указан.
Т.е. программу следует удалить и посмотреть, осталась ли служба?
P.S. При попытке закрытия включается снова.
Если острой необходимости в тулбаре Mail нет, лучше удалить.
Файл без указания издателя. Бары для браузеров (yandex, Mail и прочие) не стоит устанавливать. Хотя бы потому, что сущестуют трояны, которые могут выдавать себя за такие надстройки. Если же есть острая необходимость в тулбаре для браузера, его нужно скачивать только с официального источника (если какая-то программа предлагает установить такой тулбар как дополнение, нужно всегда отказываться, так как нет возможности быстро выяснить происхождение не только тулбара, но и самой программы).
O4 - HKCU\..\Run: [Pando Media Booster] H:\Program Files\Pando Networks\Media Booster\PMB.exe - это неизвестно что
O4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\raptrstub.exe --startup - это неизвестно что
O4 - HKLM\..\Policies\Explorer\Run: [MPK.exe] C:\WINDOWS\system32\mpk.exe - это скорее всего вирус
O4 - HKUS\S-1-5-19\..\Run: [KillCopy] "H:\WINDOWS\system32\killcopy.exe" /kcresume /startup (User 'LOCAL SERVICE') это скорее всего вирус
Сначала почисть временные папки с помощью ATFCleaner и очистки диска.
Потом:
1. Проверь эти пути реестра и файловой системы:
Реестр: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Value: “c:\windows\system32\userinit.exe,C:\WINDOWS\system32\MPK\mpk.exe”
Должен выглядеть так: c:\windows\system32\userinit.exe, (ничего после запятой быть не должно, вместо c:\ может быть другая буква)
Папки:
C:\Documents and Settings\All Users\Application Data\MPK
C:\WINDOWS\system32\MPK
Файлы:
C:\WINDOWS\system32\MPK\mpk.exe
Какой издатель у этого файла? Что написано в Свойствах, во вкладке Подробно?
2. Попробуй проверить этой утилитой https://torrents-local.xyz/viewtopic.php?t=325569
3.1 Если у файла не указан издатель Microsoft (Майкрософт), то в Безопасном режиме удали файл WINDOWS\system32\killcopy.exe и параметр в реестре с таким значением (В реестре воспользуйся поиском. Нажимай F3, чтобы продолжать поиск дальше по реестру)
3.2 Если у файла не указан издатель Microsoft (Майкрософт), то в [Безопасном режиме WINDOWS\system32\MPK\mpk.exe
4. После этого в Безопасном режиме снова почисть временные файлы с ATFCleaner и очисткой диска.
Хотя, на ixbt должны дать скрипт для выполнения, который сделает это и дургое автоматически.
Последний раз редактировалось: Vivian (2011-10-19 21:15), всего редактировалось 2 раз(а)
FlYeR94 ®
Стаж: 14 лет
Сообщений: 135
O4 - HKUS\S-1-5-19\..\Run: [KillCopy] "H:\WINDOWS\system32\killcopy.exe" /kcresume /startup
Программа, которая проверяет наличие одинаковых файлов.
4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\raptrstub.exe --startup - это неизвестно что
Что-то наподобие ICQ.
P.S. Нихрена откат не помог.
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 18-Июн 17:04
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
dinf
Стаж: 14 лет |
|
|
поставь кристал вместо Nod32 хоть от банеров избавляет с играми и рекламой
можно доктор веб или avz скачай и проверь на максимальных утилита бесплатная Много работы проведено, а некоторые данные заархивировать я не могу.
в авз эта функция есть в стандаротном скрипте а откат системы это не удаление на дату а востановление заводских настроек и файлов самого виндоуса Последний раз редактировалось: dinf (2011-10-19 00:32), всего редактировалось 1 раз |
|
|
hikkomоri
Стаж: 15 лет |
|
|
FlYeR94
может это и не поможет, но попробуйте пройтись KidoKiller-ом, и почиститить маршруты |
|
|
-=Drago=-
Стаж: 15 лет |
|
|
Hikkikomori Ваша программа к сожилению ничем не помогла мне.
|
|
|
dinf
Стаж: 14 лет |
|
|
Hikkikomori Ваша программа к сожилению ничем не помогла мне.
1. Отключите антивирус/фаервол, интернет. 2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли 3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.) Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; DeleteFile('C:\WINDOWS\system32\owaedgf.dll'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end.после выполнения скрипта компьютер перезагрузится. 4. Пофиксите в HijackThis следующие строчки: Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе. Код: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://superru.net/?utm_medium=ih&utm_source=sk...utm_content=11-0 6 R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O20 - AppInit_DLLs: C:\WINDOWS\system32\owaedgf.dll5. Сделайте новые логи AVZ и HijackThis 6. Cделайте лог MBAM и дайте ссылку на файл лога. После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее: Цитата: Скачайте лечащую утилиту AVPTool и запустите сканирование, по завершению которого, отпишитесь здесь о статусе вашей проблемы. http://www.adminplanet.ru/t4040.html модератор nod уже много способов придумал можешь к нему обратится он и еще сложнее может
Последний раз редактировалось: dinf (2011-10-18 22:29), всего редактировалось 2 раз(а) |
|
|
-=Drago=-
Стаж: 15 лет |
|
|
dinf спасибо за помощь завтра попробую.
|
|
|
Vivian
Стаж: 15 лет |
|
|
поставь кристал вместо Nod32 хоть от банеров избавляет с играми и рекламой
можно доктор веб или avz скачай и проверь на максимальных утилита бесплатная поставь кристал вместо Nod32 хоть от банеров избавляет с играми и рекламой
можно доктор веб или avz скачай и проверь на максимальных утилита бесплатная FlYeR94 1. Как выглядит файл C:\Windows\System32\drivers\etc\HOSTS?
2. Ссылки на отсутствующий файл - это, видимо, бывшее местонахождение вирусов или не до конца удалившихся программ. Убери галочки автозапуска с этих файлов. Autoruns лучше запустить в Безопасном режиме (хотя не проверял, работает ли она там) и с правами администратора (в учетной записи администратора). 3. Службы: AVPlayer - это медиаплеер? Знакома ли программа Firebird, у которой запускаются 2 службы? Guard.Mail.Ru - по идее, должен быть издатель, а он не указан. npggsvc nProtect GameGuard Service - возможно, игровая служба, но без указания на издателя. PnkBstr - не знаю, должен ли быт указан издатель у этого игрового процесса. Если должен быть, то этот процессор подделка. Sony Ericsson - программа/драйвер скачена с официального сайта или установлена с компакт-диска? StarWindService Rocket Devision - подозреваю, служба относится к программе оформления оболочки (проводника). Такая программа устанавливалась? Другие процессы имеют цифровые подписи доверенных издателей, хотя и среди них может быть подделка. Какие еще службы не Microsoft не относятся к установленным программам? [thumbnails]https://linkme.ufanet.ru/images/06580876cab2dbc2216...png[/thumbnails]
[thumbnails]https://linkme.ufanet.ru/images/ec18963e38cae4c7cfc...png[/thumbnails] [thumbnails]https://linkme.ufanet.ru/images/dd54d10b2ef1a40091f...png[/thumbnails] [thumbnails]https://linkme.ufanet.ru/images/6c036351c5a71198f9b...png[/thumbnails] [thumbnails]https://linkme.ufanet.ru/images/1325165249e2ecd5d57...png[/thumbnails] [thumbnails]https://linkme.ufanet.ru/images/6d7818608c75baa3c10...png[/thumbnails] 4. Процессы:Подозрительны процессы GuardMail и Pando 5. Что насчет временных папок? Есть ли в них файлы с расширениями .exe и dll? Проверь папки на наличие странных файлов, особенно файлов с расширениями .dll и .exe H:\WINDOWS\Temp\ H:\Documents and Settings\<username>\Local Settings\Temp\ H:\Documents and Settings\<username>\Local Settings\Temporary Internet Files 6. В безопасном режиме запусти утилиту ATF Cleaner (ссылка выше) и затем стандартную очистку диска Windows. Они почистят эти директории. В обычном режиме файлы вируса могут не удалиться. 7. В Hirens BootCD есть хороший антишпион Malwarebytes - где-то минут за 30-50 он проверит системный диск. Загрузится надо будет в mini Windows XP в Hirens BootCD. 8. Чтобы в ProcessExplorer.zip найти расположение файлов, нужно выбрать соответствующие колонки, как в моем скриншоте в 1 посте. |
|
|
dinf
Стаж: 14 лет |
|
|
Vivian
авз ну незнай 1 раз операционку снесешь им и будешь знать все его функции - он очень удобен в откате любой антивирус надо настраивать ручками всетаки а не в дефолте обслуживатся еще есть авира при нормальной настройке найдет почти все это один из лучших поисковиков который я встречала но и под шумок снесет все кряки активаторы и тд даже на виндовс активацию сносит а вот защита у нее дырявая вот еще скрипт под авз но я неуверенна что поможет так как у человека было минимальное заражение по скрипту видно begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\tnawzon.dll',''); DeleteFile('C:\WINDOWS\system32\tnawzon.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Последний раз редактировалось: dinf (2011-10-18 23:03), всего редактировалось 2 раз(а) |
|
|
Vivian
Стаж: 15 лет |
|
|
dinf
Хорошо бы научиться пользоваться этой программой. Вообще, если делать резервирование реестра каждый день с помощью специальных программ например ERUNT то проблем с откатом нет. Я так делаю, Восстановление системы нормальное толко в 7ке, и на него полной надежды бывает нет (давняя точка восстановления и тд). А вчерашняя копия реестра это гуд. Причем делается автоматом Планировщиком заданий. |
|
|
dinf
Стаж: 14 лет |
|
|
dinf
Хорошо бы научиться пользоваться этой программой. Вообще, если делать резервирование реестра каждый день с помощью специальных программ например ERUNT то проблем с откатом нет. Я так делаю, Восстановление системы нормальное толко в 7ке, и на него полной надежды бывает нет (давняя точка восстановления и тд). А вчерашняя копия реестра это гуд. Причем делается автоматом Планировщиком заданий. |
|
|
Vivian
Стаж: 15 лет |
|
|
dinf
После этого
Ниже выставляем две галочки “Блокировать работу RootKit User-Mode” и “RootKit Kerner-Mode“. Это нужно, чтобы ни один вирус не смог никуда убежать, запустить что-либо мешающее работе антивируса и вообще не брыкался. Еще ниже выставляем галочки “Автоматически исправлять ошибки в SPI/LSP” и “Поиск портов TCP/UDP программ“, а так же “Поиск клавиатурных перехватчиков Keyloggers“. Картинка-иллюстрация с правильными настройками вот.
7.Устали? Это еще не всё Жмем AVZGuard (рядом с “Фаил, Сервис” и тд) – > Включить AVZGuard Система AVZGuard и антируткит режима ядра являются взаимоисключающими, при включении AVZGuard нейтрализация руткитов в режима ядра отключается.
И еще: При включении блокирования RootKit автоматически включается система эвристического поиска процессов и файлов RootKit. Принцип действия системы основан на анализе системы до и после блокировки перехватчиков, что позволяет обнаружить маскируемые процессы, сервисы и драйверы.
В случае проверки системы с нейтрализацией Kernel RootKit необходимо перезагрузиться !! Это связано с тем, что нейтрализация перехватчиков может нарушить работу антивирусных мониторов, компонент Firewall и прочих программ, отвечающих за безопасность. Перезагрузка актуальна только в случае восстановления перехваченных функций - в этом случае AVZ указывает на необходимость перезагрузки в конце протокола. |
|
|
dinf
Стаж: 14 лет |
|
|
Vivian
мне в принципе хватило инструкции чтобы не мучить программу http://z-oleg.com/secur/avz_doc/ лучше рапечатать нужное чтобы не искать другой компютер и все скрипты там простейшие чтобы в ручную не удалять авз это простейший механизм с ручным управлением выше скрипты это единственные заражения которые нашла это все гораздо проще чем кажется на первый взгляд просто вчитайся в скрипты поймешь почему я то незарожаюсь у меня вин 7 64 +кристал с ручными настройками + экспл 9 тоже 64 со включенной фильтрацией я уж и непомню когда зарожение в последний раз то было ну и некаких всплытий рекламы и веб игр типо нажми на меня зато без них быстро страницы открываются что компенсирует его использование ну впринциппе дрвеб такойже самое главное настроить систему нормально а вообще когда лень расжевывать у меня всегда есть идеальная отмазка я глупая наивная блондинка посмотри в мои невинные голубые глазки
|
|
|
-=Drago=-
Стаж: 15 лет |
|
|
Всем спасибо за помощь удолил вирус с помощью касперского AVPTool.
|
|
|
FlYeR94 ®
Стаж: 14 лет |
|
|
AVPlayer - это медиаплеер?
Знакома ли программа Firebird, у которой запускаются 2 службы?
Guard.Mail.Ru - по идее, должен быть издатель, а он не указан.
P.S. При попытке закрытия включается снова. npggsvc nProtect GameGuard Service - возможно, игровая служба, но без указания на издателя.
PnkBstr - не знаю, должен ли быт указан издатель у этого игрового процесса. Если должен быть, то этот процессор подделка.
Sony Ericsson - программа/драйвер скачена с официального сайта или установлена с компакт-диска?
StarWindService Rocket Devision - подозреваю, служба относится к программе оформления оболочки (проводника)
|
|
|
Vivian
Стаж: 15 лет |
|
|
Guard.Mail.Ru - по идее, должен быть издатель, а он не указан.
P.S. При попытке закрытия включается снова. Файл без указания издателя. Бары для браузеров (yandex, Mail и прочие) не стоит устанавливать. Хотя бы потому, что сущестуют трояны, которые могут выдавать себя за такие надстройки. Если же есть острая необходимость в тулбаре для браузера, его нужно скачивать только с официального источника (если какая-то программа предлагает установить такой тулбар как дополнение, нужно всегда отказываться, так как нет возможности быстро выяснить происхождение не только тулбара, но и самой программы). O4 - HKCU\..\Run: [Pando Media Booster] H:\Program Files\Pando Networks\Media Booster\PMB.exe - это неизвестно что
O4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\raptrstub.exe --startup - это неизвестно что O4 - HKLM\..\Policies\Explorer\Run: [MPK.exe] C:\WINDOWS\system32\mpk.exe - это скорее всего вирус O4 - HKUS\S-1-5-19\..\Run: [KillCopy] "H:\WINDOWS\system32\killcopy.exe" /kcresume /startup (User 'LOCAL SERVICE') это скорее всего вирус Потом: 1. Проверь эти пути реестра и файловой системы: Реестр: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit Value: “c:\windows\system32\userinit.exe,C:\WINDOWS\system32\MPK\mpk.exe” Должен выглядеть так: c:\windows\system32\userinit.exe, (ничего после запятой быть не должно, вместо c:\ может быть другая буква) Папки: C:\Documents and Settings\All Users\Application Data\MPK C:\WINDOWS\system32\MPK Файлы: C:\WINDOWS\system32\MPK\mpk.exe Какой издатель у этого файла? Что написано в Свойствах, во вкладке Подробно? 2. Попробуй проверить этой утилитой https://torrents-local.xyz/viewtopic.php?t=325569 3.1 Если у файла не указан издатель Microsoft (Майкрософт), то в Безопасном режиме удали файл WINDOWS\system32\killcopy.exe и параметр в реестре с таким значением (В реестре воспользуйся поиском. Нажимай F3, чтобы продолжать поиск дальше по реестру) 3.2 Если у файла не указан издатель Microsoft (Майкрософт), то в [Безопасном режиме WINDOWS\system32\MPK\mpk.exe 4. После этого в Безопасном режиме снова почисть временные файлы с ATFCleaner и очисткой диска. Хотя, на ixbt должны дать скрипт для выполнения, который сделает это и дургое автоматически. Последний раз редактировалось: Vivian (2011-10-19 21:15), всего редактировалось 2 раз(а) |
|
|
FlYeR94 ®
Стаж: 14 лет |
|
|
O4 - HKUS\S-1-5-19\..\Run: [KillCopy] "H:\WINDOWS\system32\killcopy.exe" /kcresume /startup
4 - HKCU\..\Run: [Raptr] H:\PROGRA~1\Raptr\raptrstub.exe --startup - это неизвестно что
P.S. Нихрена откат не помог. |
|
![https://linkme.ufanet.ru/images/a729565497aef9f1acb...png[/thumbnails]](https://linkme.ufanet.ru/images/a729565497aef9f1acb1883cafcc2873.png[/thumbnails][thumbnails]https://linkme.ufanet.ru/images/b15b24931a9b5ec19875db0be4203cd8.png[/thumbnails][thumbnails]https://linkme.ufanet.ru/images/89ff8e0a18f188012ab5b67141080c19.png[/thumbnails][thumbnails]https://linkme.ufanet.ru/images/fa33962142a931bc7fe1a2e36e010afa.png[/thumbnails][thumbnails]https://linkme.ufanet.ru/images/6aecc4e954ab593f6f326670f9f16a53.png[/thumbnails][thumbnails]https://linkme.ufanet.ru/images/26e68eb269fb159a7f5e07dd419d87d6.png[/thumbnails][thumbnails]https://linkme.ufanet.ru/images/9681fe0cabcdc99e4894beb68d373d15.png[/thumbnails][thumbnails]https://linkme.ufanet.ru/images/bac733a872232294d42f8424c20a7f5e.png[/thumbnails]){kind=link}
![https://linkme.ufanet.ru/images/06580876cab2dbc2216...png[/thumbnails]](https://linkme.ufanet.ru/images/06580876cab2dbc22162704cf658c8aa.png[/thumbnails]){kind=link}
![https://linkme.ufanet.ru/images/ec18963e38cae4c7cfc...png[/thumbnails]](https://linkme.ufanet.ru/images/ec18963e38cae4c7cfc2b330907ae43a.png[/thumbnails]){kind=link}
![https://linkme.ufanet.ru/images/dd54d10b2ef1a40091f...png[/thumbnails]](https://linkme.ufanet.ru/images/dd54d10b2ef1a40091fe2c4728cb2de2.png[/thumbnails]){kind=link}
![https://linkme.ufanet.ru/images/6c036351c5a71198f9b...png[/thumbnails]](https://linkme.ufanet.ru/images/6c036351c5a71198f9b9086341c47735.png[/thumbnails]){kind=link}
![https://linkme.ufanet.ru/images/1325165249e2ecd5d57...png[/thumbnails]](https://linkme.ufanet.ru/images/1325165249e2ecd5d577dba6c500819f.png[/thumbnails]){kind=link}
![https://linkme.ufanet.ru/images/6d7818608c75baa3c10...png[/thumbnails]](https://linkme.ufanet.ru/images/6d7818608c75baa3c102468d72754fc3.png[/thumbnails]){kind=link}
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 18-Июн 17:04
Часовой пояс: UTC + 5