Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Боролся с вирусами но нет уверенности в их излечении (заявка № 10319)

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35

    Exclamation Боролся с вирусами но нет уверенности в их излечении

    Недавно подхватил на каком то сайте парочку вирусов, Rootkit и еще какие то.
    С помощью вашего форума и некоторых скриптов которые вы выкладывали удалось побороть их, за что вам огромное спасибо и низкий уклон.
    Но переодически антивирус вылавливает еще вирусы, и некоторые приложение при закрытии валятся с ошибкой "память не сожет быть read". Возможно это еще действуют какие то вирусы, а возможно их последствия.
    Выкладываю вам для анализа свои логи и надеюсь на Вашу помощь!
    Спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\ipv6monl.dll','');
     QuarantineFile('C:\WINDOWS\System32\Gkplkbop.dll','');
     QuarantineFile('\SystemRoot\System32\drivers\tandpl.sys','');
     QuarantineFile('\SystemRoot\System32\drivers\enodpl.sys','');
     QuarantineFile('C:\WINDOWS\System32\rsvp32_2.dll','');
     DeleteFile('C:\WINDOWS\System32\rsvp32_2.dll');
     DeleteFile('C:\WINDOWS\System32\ipv6monl.dll');
     BC_ImportALL;
     ExecuteSysClean;
     ExecuteRepair(14);
     BC_Activate;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monl.dll (file missing)
    O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
    Пришлите файлы карантина по правилам раздела "Помогите". Повторите логи.

    Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix.

    С помощью вашего форума и некоторых скриптов которые вы выкладывали удалось побороть их
    Этим Вы могли себе сделать только хуже. Правилами форума запрещено выполнять скрипты, написанные для других.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Так больше никогда не делайте, скрипты индивидуальны для каждого компьютера.
    Насчёт защиты, может расскажите на чём вы остановились? Сейчас у вас полный бардак и нод и каспер и модули авг.

  5. #4
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    Да кидался на все что было что бы побороть вирус
    Сейчас стоит NOD32.

    Файлы прелагаю, какие будут рекомендации.
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    Восстановление системы у вас отключено?

    C:\WINDOWS\System32\rsvp32_2.dll - Trojan.Win32.Pakes его мы уже удалили.

    Выполните скрипт в AVZ

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\MediaGatewayX.dll','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\WinStatX.dll','');
     QuarantineFile('C:\WINDOWS\System32\Gkplkbop.dll','');
     BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    прислать карантин по правилам,приложение 3

    Пофиксите в HijackThis

    Код:
    O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/Bridge-c139.cab
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
    Последний раз редактировалось Muzzle; 12.06.2007 в 07:38.

  7. #6
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    Файлы карантина выслал.
    Восстановление системы отключил.
    Какие будут еще рекомендации ???

    Заранее очень благодарен!

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    В карантине ничего вредоносного не найдено.
    Если решили остановить выбор на NOD32, надо удалить оставшуюся службу от Касперского и драйверы от AVG, например таким скриптом:
    Код:
    begin
    BC_DeleteSvc('AVP');
    BC_DeleteSvc('AVG Anti-Rootkit');
    BC_DeleteSvc('AVG Clean Driver');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте еще раз логи п.10-13 правил.
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    Прилагаю очередные логи, надеюсь уже я полностью здоров
    Как вообще дальше жить спокойно, или переодически выкладывать вам логи для проверки ?

    Большое спасибо за помощь!
    Вложения Вложения

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Теперь все чисто.

    переодически выкладывать вам логи для проверки
    Ну просто так выкладывать не надо.
    Если будут конкретные поводы для беспокойства - заходите
    I am not young enough to know everything...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    И ещё, поищите при помощи AVZ (сервис-->поиск файлов на диске) файлик Gkplkbop.dll,если найдётся то упакуйте его в карантин и пришлите по правилам.
    Уж очень мне интересно,что это такое
    если не найдётся то пофиксите в HijackThis
    Код:
    O21 - SSODL: Web Event Logger - {79FB9088-19CE-715D-D85A-216290C5B738} - C:\WINDOWS\System32\Gkplkbop.dll (file missing)

  12. #11
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    Файл Gkplkbop.dll не нашелся, соответственно пофиксил в HijackThis.
    Вчера опять цепанул ИЕ где то трояна, NOD32 его поймал.
    Еще раз выкладываю вам логи, взгояните пожалуйста!

    Спасибо!

  13. #12
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    Забыл вложить логи %)
    Вложения Вложения

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Кое-что AVZ удалила сама, кое-что осталось.
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\winload.dll','');
     QuarantineFile('C:\WINDOWS\System32\Gkplkbop.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    В карантин положил.
    После загрузки через пару минут, НОД32 ловит вирус, видно еще что то сидит за зараза.
    Что еще порекомендуете ?

  16. #15
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    Вот что ловит АВЗ, но походу не лечит:
    Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
    Прямое чтение C:\WINDOWS\system32\drivers\sptd5853.sys
    C:\WINDOWS\system32\rcpdi.dll >>>>> Trojan-Downloader.Win32.Small.ehe
    Прямое чтение C:\WINDOWS\system32\syskrnl2.exe
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено


    Как полечить ?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Выполните скрипт:
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
       QuarantineFile('C:\Program Files\Ipis\ip_is.exe','');
       QuarantineFile('C:\WINDOWS\system32\winnet.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Цитата Сообщение от andr911 Посмотреть сообщение
    Вот что ловит АВЗ, но походу не лечит:
    Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
    Прямое чтение C:\WINDOWS\system32\drivers\sptd5853.sys
    C:\WINDOWS\system32\rcpdi.dll >>>>> Trojan-Downloader.Win32.Small.ehe
    Прямое чтение C:\WINDOWS\system32\syskrnl2.exe
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено


    Как полечить ?
    C:\WINDOWS\system32\rcpdi.dll >>>>> Trojan-Downloader.Win32.Small.ehe успешно удален
    Только перегрузиться надо


    P.s. и мониторинг Nod32 во время лечения и копирования надо отключить
    Последний раз редактировалось drongo; 18.06.2007 в 00:27.

  19. #18
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    9
    Вес репутации
    35
    Карантил залил.
    При загрузке всеравно вылазят трояны

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1359
    Выполните пункт 2 правил.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    62
    ip_is.exe -Trojan-Downloader.Win32.Agent.bug (новенький )

    Воспользуйтесь поиском файлов в AVZ и поищите winnet.dll,если найдётся то поместите его в карантин и отправьте по правилам.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      DeleteFile('C:\Program Files\Ipis\ip_is.exe');
    BC_DeleteFile('C:\Program Files\Ipis\ip_is.exe');
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи.
    Последний раз редактировалось Muzzle; 19.06.2007 в 05:33. Причина: подправил

  • Уважаемый(ая) andr911, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. При включении\загрзуке и выключении компьютера пищит спикер
      От Khabby в разделе Windows для опытных пользователей
      Ответов: 0
      Последнее сообщение: 16.06.2012, 04:50
    2. Ответов: 15
      Последнее сообщение: 30.04.2011, 12:28
    3. Ответов: 0
      Последнее сообщение: 14.04.2011, 20:42
    4. Ответов: 1
      Последнее сообщение: 03.12.2009, 16:15
    5. Ответов: 8
      Последнее сообщение: 22.02.2009, 01:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01024 seconds with 24 queries