Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

BackDoor.Bho.6 постоянное восстановление вируса (заявка № 24024)

  1. #1
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32

    Thumbs up BackDoor.Bho.6 постоянное восстановление вируса

    NOD с постоянным обновлением вирусов не обнаруживал, CureIT, которым дополнительно периодически проверяю, обнаружил и удалил BackDoor.Bho.6, однако стало появляться окошко Требуется перезагрузка, если не нажимаешь Нет в течение 5-10 сек, то система сама перезагружается и все вирусы опять на месте.
    Касперский что-то налечил, перезагрузок пока нет, но при загрузке системы в центре экрана выскакивает какое-то смутное окно, в IE видишь загруженную страницу, а внижней строке иногда мелькают какие-то адреса, хотя по ссылкам курсором не водишь.
    Помогите, пожалуйста, долечить или вылечить компьютер.
    Извините, первый раз при выполнении Скрипт лечения/карантина ... не был открыт IE. Высылаю версию 2 с открытым IE
    Последний раз редактировалось Rene-gad; 04.06.2008 в 20:44.

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    файлы тут. Ваша учетка не позволяет загружать файлы. Вы авторизованы на форуме?
    Последний раз редактировалось Rene-gad; 24.08.2008 в 01:24.

  4. #3
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32
    Если надо сделать что-то кроме входа с моим логином и паролем (они активированы вчера, вернее сегодня в 0:19, то нет, а если достаточно, то, вероятно, да?
    Какая дополнительная авторизация нужна?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    удалите задания в планировщике ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ..

  6. #5
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32
    Подскажите, пожалуйста, где этот планировщик искать? Он вроде до всех этих вирусов висел слева внизу, но теперь исчез.
    Это в Панели управления Назначенные задания?
    Последний раз редактировалось Zink; 04.06.2008 в 22:52. Причина: справа внизу

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от Zink Посмотреть сообщение
    Это в Панели управления Назначенные задания?
    да ...

  8. #7
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32

    Новые логи после выполнения скрипта

    После выполнения скрипта все исчезло с экрана кроме заставки, перезагружаться пришлось по кнопке.
    Новые логи
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Если это не Ваш знакомый сервер - пофиксите
    Код:
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = aviel.ru
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = aviel.ru
    Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     ClearHostsFile;
     DeleteService('Tcj18');
     DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
     DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
     DelBHO('{1A4F919F-4334-4abf-BF47-0836A8B5A54B}');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Tcj18.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Tcj18.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки повторите логи от п. 10 правил.

    Добавлено через 2 минуты

    Цитата Сообщение от Zink Посмотреть сообщение
    Какая дополнительная авторизация нужна?
    Вы подтвердили регистрацию по ссылке в автоматическом письме от форума?
    Последний раз редактировалось Rene-gad; 05.06.2008 в 00:05. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32
    Регистрация подтверждена вчера примерно в тоже время, что сейчас - после 00 часов
    aviel.ru - это мой провайдер (через него подключение к сети). Поскольку требовалось держать включенным IE, он был запущен, а страница загрузки - домашняя.
    Фиксить не надо?
    А скрипт выполнять?

  11. #10
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32

    логи после выполнения скрипта №2

    Логи после выполнения скрипта №2 (без Fix)
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('tcpsr');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    virusinfo_syscheck.zip - повторите ...

  13. #12
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32

    логи после выполнения скрипта №3

    В карантин никто не попался после выполнения скрипта №3, поэтому высылаю только логи с п.10
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ничего подозрительного ...

  15. #14
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32
    Большое спасибо!
    Правильно ли японимаю, что все пока вылечилось с Вашей помощью?
    Опять очень быстро все стало выполняться, а то я уже и не замечала, как компьютер тормозит.
    Какой антивирус все-таки покупать - Касперского или DrWeb? Или NOD продлить (но он что-то плохо вирусы ловил)? Пожалуйста, посоветуйте.

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    Цитата Сообщение от Zink Посмотреть сообщение
    Б
    Какой антивирус все-таки покупать - Касперского или DrWeb
    что вам больше нравиться ... оба достойные продукты ...

  17. #16
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32
    Добрый день!

    Какая-то гадость осталась, вероятно. Каперский показывает
    Возможно Invader

    Внедряемый процесс:
    C:\WINDOWS\system32\svchost.exe
    ID процесса (PID): 1924

    Попытка внедрения в процесс:
    \\?\C:\WINDOWS\system32\winlogon.exe
    ID процесса (PID): 836

    Я выбрала из меню Запретить, а что дальше-то? раньше тоже выскакивали окошки svchost.exe выполнил недопустимую операцию (или что-то в этом роде). После отправки отчета MS - говорят вредоносное ПО, но что конкретно надо скачать с их сайта и есть ли оно для удаления непонятно
    Помогите, пожалуйста!
    Или надо систему переустанавливать?

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Invader это алерт проактивной защиты,он говорит о том,что один процесс пытается внедрится в другой,в вашем случае ничего плохого нет,если вы не понимаете алерты проактивной защиты,лучше отключите ее...

  19. #18
    Junior Member Репутация
    Регистрация
    04.06.2008
    Сообщений
    11
    Вес репутации
    32
    Лучше я не буду... скажите, пожалуйста, а где про них поучиться? - алерты, инвадеры и пр.? В руководстве касперсокго все как-то кратко и для чайников не написано точно, что то или другое действие обозначает. Или он антивирусное ПО для продвинутых делает? так им-то оно не так нужно, как непродвинутым ...спасибо!

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    проактивная защита действительно для продвинутых , она может защитить от неизвестных угроз , от известных защищает файловый сканер и веб антивирус ...

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от V_Bond Посмотреть сообщение
    проактивная защита ... может защитить от неизвестных угроз , от известных защищает файловый сканер и веб антивирус ...
    Скажем так: Проактивная защита анализирует в первый раз запускаемый неизвестный процесс и спрашивает пользователя о разрешении этому процессу внедрится в жизненно важный системный процесс или службу. Здесь конечно необходимо сотрудничество пользователя, чтобы Разрешить/Запретить или же создать для процесса правило Можно, Нельзя или Каждый раз спрашивать. Защиту от известных угроз (т.е. файл содержит сигнатуру, которая записана в базах, как зловредная) осуществляют монитор - при обращении к файлу пользователем или процессом, или же файловый сканнер - при проверке носителей на вирусы. От неизвестных угроз без запроса пользователя ащищает эвристика, которая проверяет файл и на основании известных угроз может прогностицировать вредоносность неизвестного файла.
    В принципе все три механизма могут ошибаться

  • Уважаемый(ая) Zink, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Постоянное обнаружение одного и того же вируса. (заявка №28564)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 31.08.2010, 03:00
    2. Ответов: 4
      Последнее сообщение: 14.03.2010, 09:22
    3. Идет постоянное восстановление виндавз
      От Katastrofa в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.04.2009, 08:02
    4. Непрерывное и постоянное удаление вируса
      От sir-gorgoroth в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 15.01.2009, 19:08
    5. Постоянное восстановление файла(ов) реестра
      От Лангольер в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 17.06.2007, 19:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00583 seconds with 22 queries