-
ХЕЛП!!!!! КАРАУЛ!!! нахватал полную подборку
Починил только что комп. В нете зашел на один единственный сайт (очень приличный вроде продажа моечной техники)
через несколько секунд выскочило окно, что то там ощибка....приложение будет закрыто и т.д. "Фига се..." -думаю и нажимаю волшебную комбинацию из 3х клавишь посмотреть, что за процессы запущены..... "Фиг тебе!" - сказала табличка с надписью, что данное действие запрещено администратором! "А я кто тогда???!!!!" - мелькнула мысль в голове и я запустил АВЗ...
Далее чувства были смешанные........ вобщем то по логам мои чувства будут понятны.
Про старую версию АВЗ знаю, но скачивать некогда было я сразу же подключение к нету вырубил.
В завершении скажу, что эта хрень явно не удалилась потому как пока я это писал 3 раза выскакивали таблички, что файл 5.tmp и еще какие то совершили ошибку и будут закрыты. Эти файлы я уже сегодня вручную удалая из корня, не системные они сволочи!
P.S. Может кто нибуть знает сервис где проверить сайт на предмет вирусни в режиме он-лайн?
Последний раз редактировалось Not; 31.10.2007 в 12:09.
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Да уж... Круто ты попал
Пока вот так:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('C:\WINDOWS\system32\wininet.exe','');
QuarantineFile('C:\WINDOWS\system32\ndetect.exe','');
QuarantineFile('C:\DOCUME~1\NONEXI~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\NONEXI~1\LOCALS~1\Temp\csrss.exe','');
DeleteFile('C:\DOCUME~1\NONEXI~1\LOCALS~1\Temp\csrss.exe');
DeleteFile('C:\DOCUME~1\NONEXI~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ndetect.exe');
DeleteFile('C:\WINDOWS\system32\wininet.exe');
DeleteFile('C:\WINDOWS\system32\DefLib.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
BC_ImportDeletedList;
BC_QrSvc('ICF');
BC_QrSvc('msupdate');
BC_DeleteSvc('ICF');
BC_DeleteSvc('msupdate');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин + новые логи в студию!
Добавлено через 3 минуты
Кстати, убери virusinfo_cure.zip из темы
Последний раз редактировалось Bratez; 12.09.2007 в 19:39.
Причина: Добавлено
I am not young enough to know everything...
-
-
А я предупреждал, вот доказательство под админом с эксплорером гулять
ай-яй не хорошо , карантин в теме прикреплять !
P.s.
ссылки он-лайн пока только drweb проверяет, можешь поставить себе плагин- но это так - игрушка: http://www.freedrweb.com/browser/
Реально уменьшить шанс , то я говорил тебе не один раз:
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru
Последний раз редактировалось drongo; 12.09.2007 в 19:50.
-
-
Куда же тебя занесло, в смысле на какой сайт?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Явно не помогло.... опять волшебная комбинация запрещена "администратором"!
Сайт позже напишу. прошелся спайботом (ничего не удаляя) караул просто. нашолсся ip в системном реестре от одного зверя 66.232.98.112
Последний раз редактировалось drongo; 12.09.2007 в 20:04.
Причина: низзя!!! карантин посылают по ссылке в шапке темы
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
почему то не загружает логи....... загрузка вроде идет а по окончании пусто...
Добавлено через 4 минуты
Карантин ушел.
Как бы исхитриться логи загрузить
вот сайт на который я зашел www.avtomoiki.ru (ДЛЯ ТЕХ КТО ПРОСТО ПРОСМАТРИВАЕТ ЭТОТ ТОПИК НЕ НАЖИМАЙТЕ ЭТУ ССЫЛКУ!!! ВОЗМОЖНО САЙТ ЗАРАЖЕН!!!!)
Последний раз редактировалось pig; 13.09.2007 в 02:36.
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
Пофиксить в HijackThis:
Код:
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Документы\Settings\bot.dll
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe
Последний раз редактировалось SuperBrat; 12.09.2007 в 20:04.
Причина: Добавлено
Опыт — это слово, которым люди называют свои ошибки.
-
-
качай 4.27, обновляй базы- сделай новые логи.
аспирин должен помочь :
Код:
begin
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Последний раз редактировалось drongo; 12.09.2007 в 20:13.
-
-
drongo,
волшебные клавиши заработали!!!!!!!
Но вирусня еще крепко держит мой комп за задницу!
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
Сообщение от
Not
Но вирусня еще крепко держит мой комп за задницу!
А скрипты, фиксы делали?
P.S. Ссылку на сайт можно убрать. Там зловредный скрипт.
Опыт — это слово, которым люди называют свои ошибки.
-
-
SuperBrat,
некоторых ключей при запуске не нашлось, те, что были пофиксил.
Еще что то мне подсказывает, что надо пофиксить строку которая выделена в скриншоте. Табличка выскочила как раз в момент выделения этой строки (прям как сама подсказывает!
все скрипты и фиксы сделал, но некоторые пофиксить не удалось (причина описана выше и на скрине их нет)
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
hijackthis.log сделай сейчас по новой, и AVZ 4.27 логи потом.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
drongo
А я предупреждал, вот доказательство под админом с эксплорером гулять
ай-яй не хорошо , карантин в теме прикреплять !
P.s.
ссылки он-лайн пока только drweb проверяет, можешь поставить себе плагин- но это так - игрушка:
http://www.freedrweb.com/browser/
Реально уменьшить шанс , то я говорил тебе не один раз:
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером
с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (
Firefox и
Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista":
http://security-advisory.newmail.ru
Странновато как то......... я не прикреплял карантин в теме!
Я нажал вверху кнопку "прислать запрошенные файлы" и залил.......
Я что опять обгадился??????!!!!!!
фаерфокс скачаю сразу после выписки компа из стационара! чесное пионерское!!!! А вот много читать нет времени к сожалению.
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
Логи ещё раз повтори, достаточно 2х последних.
-
-
Если никто не против, vedxg6ame4.exe убей:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\System32\vedxg6ame4.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Интересное дело...... после выполнения первого же скрипта вылетает "экран смерти" после перезагрузки попробывал то же проделать с предидущей версией АВЗ эффект тот же..
я уже близок к суициду! (формат С
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
Конструкцию (2 строчки) в скрипте попробуй убрать и выполни снова:
Код:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
SuperBrat
Конструкцию в скрипте попробуй убрать и выполни снова:
Код:
SearchRootkit(true, true);
SetAVZGuardStatus(True);
вот со слова конструкцию пожалуйста подробнее.........
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-
-
Мой код будет вот таким:
Код:
begin
DeleteFile('C:\WINDOWS\System32\vedxg6ame4.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Опыт — это слово, которым люди называют свои ошибки.
-
-
создается впечатление, что система спотыкается после попытки выполнения скриптом команды "перезагрузка"
Минздрав СССР всегда предупреждал, что беспорядочные связи могут повредить здоровью.....
но я никогда не думал, что это они о компьютере.
-