Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Восстание нечисти! (заявка № 10802)

  1. #1
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35

    Exclamation Восстание нечисти!

    Вообщем продолжение лечения моих машинок!
    теперь ноут!
    тоже весь загаженный,здесь даже каспера не было!
    не открывается свойства системы, не могу отключить восстановление системы-так не прокатит?
    как посоветуете сделать?
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Зоопарк впечатляет, давайте лечиться.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\userinit.exe','');
     QuarantineFile('ovwscn.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
     QuarantineFile('c:\windows\system32\wininet.exe','');
     QuarantineFile('c:\docume~1\toshiba\locals~1\temp\5260.exe','');
     QuarantineFile('c:\windows\temp\1587839527.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\ovrscn.dll','');
     DeleteFile(' C:\WINDOWS\system32\ovwscn.sys');
     DeleteFile(' C:\WINDOWS\system32\qz.sys');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\temp\1587839527.exe');
     DeleteFile('c:\docume~1\toshiba\locals~1\temp\5260.exe');
     DeleteFile('c:\windows\system32\wininet.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\userinit.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    The worst foe lies within the self...

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    PYRNIK, А начать можно с "Восстановления системы" в AVZ
    Там отметить п.п.5,6,9,11 и нажать "Выполнить".
    Плюс выполнить скрипт Kuzz в Safe Mode без второй строчки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    ВВел скрипт, и пропали сетевые подключения!
    зато появилась возможность войти в ствойства системы.
    При запуске появлется windows unstaller!,который нельзя отменить!
    Вообщем сейчас логи выложу по правилам!

  6. #5
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    Вообщем заново логи, а то я после исчезновения подключений че-то химичил пол ночи, мож че-то изменилось!
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    1 Карантин закачать.
    Только после удачной закачки выполнить скрипт:

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\qz.dll','' );
     QuarantineFile('c:\dell\bldbubg.exe','');
    RebootWindows(true);
    end.
    Прислать, если что-то попадет в карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    закачать это значит-просмотр карантина, выделить все файлы, которые в папке сегодняшнего дня и архивировать?
    я правильно понял?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Цитата Сообщение от PYRNIK Посмотреть сообщение
    закачать это значит-просмотр карантина, выделить все файлы, которые в папке сегодняшнего дня и архивировать?
    я правильно понял?
    Если мой скрипт выполняли сегодня - то сегодняшнего, если выполняли вчера - то нужные файлы обозначены 03.07.07
    Закачивать через ссылку Прислать запрошенные файлы
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    по моему я что-то сделал напрвильно!
    потому, что сегодня скрипт не выполнял-просто взял все в папке на сегодняшний день.
    Выполнить еще раз?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Повторно выполнять скрипты не надо.
    Действительно Вы закачали не те файлы, запрошенные находятся в папке с вчерашней датой.
    Откройте в AVZ "Файл"->"Просмотр карантина"
    В папке 2007-07-03 выделите все файлы, заархивируйте и пришлите их.

    Запрошенное PavelA,
    C:\WINDOWS\system32\qz.dll - Backdoor.Win32.Haxdoor.kz
    c:\dell\bldbubg.exe - не попал в карантин.
    Последний раз редактировалось Kuzz; 04.07.2007 в 14:13. Причина: 2-й карантин
    The worst foe lies within the self...

  12. #11
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    отправил!

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Удачная охота
    C:\WINDOWS\system32\qz.dll - BackDoor.Haxdoor.440 (dr.web), Backdoor.Win32.Haxdoor.kz (Касперский)

    Выполнить скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
    BC_Activate;
     RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    не понял!
    касперского и д. веба пока нет, решил что как вылечу так поставлю

    Добавлено через 2 минуты
    Что-то нужно делать? или ждать?
    Последний раз редактировалось PYRNIK; 04.07.2007 в 14:22. Причина: Добавлено сообщение

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\qz.dll');
     QuarantineFile('c:\dell\bldbubg.exe','');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Если после перезагрузки в карантине что либо будет, пришлите по правилам.

    Сделайте все логи снова.
    The worst foe lies within the self...

  16. #15
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    Отправил карантин!

  17. #16
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    свеженькие логи!
    Вложения Вложения

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Карантин пуст А в логах все файлы на месте.

    'c:\dell\bldbubg.exe' - обновлялка оборудования ноута.
    C:\WINDOWS\SYSTEM32\ovrscn.dll - никто не знает и удаляться не хочет.

    Вывод:
    Грузимся в Safe Mode.
    Выполняем:
    Код:
    begin
     ClearQuarantine;
     SetAVZGuardStatus(true);
    // DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
    QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
    // QuarantineFile('c:\dell\bldbubg.exe','');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
    RebootWindows(true);
    end.
    карантин присылаем, если будет не пустой (проверить AVZ -- Файл --Просмотр карантина).
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    а еще вылазит постоянно windows installer хочет что-то загрузить, можно ли это убрать?

    Добавлено через 4 минуты
    опять этот ovrscn.dll-может какой-то новый зверюга?

    Добавлено через 5 часов 50 минут
    Добрался домой,поставил по для защиты, инет заработал все клево вроде!
    Так что огромное СПАСИБО вам за помощь.
    p.s. Не перевелись еще на Руси настоящие богатыри
    Последний раз редактировалось PYRNIK; 05.07.2007 в 00:13. Причина: Добавлено сообщение

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Цитата Сообщение от PYRNIK Посмотреть сообщение
    Не перевелись еще на Руси настоящие богатыри
    Не только на Руси. См. Drongo, Kuzz

    Цитата Сообщение от PYRNIK Посмотреть сообщение
    опять этот ovrscn.dll-может какой-то новый зверюга?
    А все-таки по теме: в карантин что-то попало. Интерес не праздный. В соседней теме тоже ищем такой же файлик. И надо разобраться с инсталлером - чего ему вдруг после наших манипуляций понадобилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    35
    Инсталеру,как мне кажется нужно установить китайский шрифт!
    помню давно был на каком-то китайском сайте и там нужно было установить шрифт для правильного отображения!
    не знаю как отменить его теперь постоянно при запуске ос или при запуске офиса выскакивает!

  • Уважаемый(ая) PYRNIK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ловец нечисти
      От James1 в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 10.10.2010, 01:54
    2. Караул! Восстание машин!
      От war_pilot в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.02.2010, 23:30
    3. Ответов: 33
      Последнее сообщение: 22.02.2009, 05:02
    4. Помогите избавиться от нечисти!
      От MAEstro в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01277 seconds with 21 queries