При работе в сети я никак не могу перйти по нужной ссылке, вирусы меня перебрасывают по другой ссылке.
Каспер VRT не может удалить Packed.Win32.Tdss.c, а Nod32 - Win32/Olmarik.
Как удалить эти вирусы?
При работе в сети я никак не могу перйти по нужной ссылке, вирусы меня перебрасывают по другой ссылке.
Каспер VRT не может удалить Packed.Win32.Tdss.c, а Nod32 - Win32/Olmarik.
Как удалить эти вирусы?
Дайте пожалуйста скрипты
Выполните в AVPTool скрипт:
Сделайте новый лог исследования системы.Код:begin SetAVZPMStatus(true); RebootWindows(true); end.
Сердце решает кого любить... Судьба решает с кем быть...
Ввел скрипт, программа запросила удаление Каспера Тула по завершению перезагрузки. пока я думал комп перегрузился, я вновь проверку сделал, нажимал на удаление вируса-пакеда, но он не удаляется. Сделал новоый файл о системе. Что делать дальше?
Кстати. я не могу ни как перейти никуда, даже шобы скачать активирусовские приложения и т.д.
1. Отключите восстановление системы и антивирус.
2. Выполните в AVPTool скрипт:
После выполнения скрипта компьютер перезагрузится!Код:begin ClearQuarantine; SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\system32\twex.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\svcst.exe',''); QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Application Data\seres.exe',''); QuarantineFile('C:\WINDOWS\system32\calc.dll',''); QuarantineFile('C:\DOCUME~1\LOCALS~1\ntuser.dll',''); DeleteService('irozwb'); DeleteService('AlerterALG'); QuarantineFile('C:\WINDOWS\TEMP\nqvcxnmdiv.exe',''); DeleteFile('\systemroot\system32\drivers\rotscxhxfvnsec.sys'); DeleteFile('C:\WINDOWS\TEMP\nqvcxnmdiv.exe'); DeleteFile('C:\WINDOWS\system32\drivers\xejvltbzhc.sys'); DeleteFile('C:\DOCUME~1\LOCALS~1\ntuser.dll'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','calc'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','calc'); DeleteFile('C:\WINDOWS\system32\calc.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','calc'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\seres.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mserv'); DeleteFile('C:\WINDOWS\system32\config\systemprofile\Application Data\svcst.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchost'); DeleteFile('C:\WINDOWS\system32\twex.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW', 3, 3, true); BC_Activate; CreateQurantineArchive('C:\quarantine.zip'); RebootWindows(true); end.
Загрузите файл C:\quarantine.zip, используя ссылку http://virusinfo.info/upload_virus.php?tid=57021
3. Сделайте новый лог исследования системы.
И это вся помощь, а команду "моя." мне в скрипты вогнать?
Добавлено через 5 минут
Aleksandra, что делать-то?
Последний раз редактировалось olmarik; 13.10.2009 в 00:05. Причина: Добавлено
Вам же написали - выполните скрипт, что непонятного?
The Truth is Out There
Все сделал! Что дальше?
Такой лог сделайте http://virusinfo.info/showthread.php?t=40118
Сердце решает кого любить... Судьба решает с кем быть...
Вот, я сделал по инструкции. Жду дальнейших рекомендаций.
Выполните в Gmer:
Повторите лог.Код:lsrd1exp.exe -del service rotscxeseexnqq lsrd1exp.exe -del file "c:\windows\system32\drivers\rotscxhxfvnsec.sys" lsrd1exp.exe -del file "c:\windows\system32\rotscxfpylnqjo.dll" lsrd1exp.exe -del file "c:\windows\system32\rotscxqhxnxobl.dat" lsrd1exp.exe -del file "c:\windows\system32\rotscxnspkwiwt.dll" lsrd1exp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rotscxeseexnqq" lsrd1exp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\rotscxeseexnqq" lsrd1exp.exe -reboot
Сердце решает кого любить... Судьба решает с кем быть...
Ввел скрипт, появились сообщения: an error 0x00000002 occured during the deletion of file: "c:\windows\system32rotscxnspkwiwtdll": не нйден указанный модуль, потом еще что-то и комп перезагрузился.
Кстати при загрузке (после заражения) стали появляться сообщения, что не может найти или повреждены ntuser.dll, rundll32.exe, calc.dll.
сейчас я делаю лог, как вы сказали.
Последний раз редактировалось olmarik; 13.10.2009 в 02:34.
Сделал. Жду дальнейших инструкций.
Кстати, хотел спросить. каспер вирус тул уже удалять или он еще нужен? Антивирус включать или пусть защита будет отключенной пока я выполняю ваши рекомендации?
Последний раз редактировалось Aleksandra; 13.10.2009 в 02:37. Причина: Добавлено
Сердце решает кого любить... Судьба решает с кем быть...
Проблемы сохраняются. В частности, при загрузке появляется сообщение:
rudll32.exe неверный образ - приложение или библиотека c:\...ntuser.dll не является образом программы для Windows NT. Проверьте назначение установочного диска. Затем второе сообщение: с:\...ntuser.dll %1 не является приложением Win32.
У меня Виндоус XP нелицензионка с указанием (при загрузке) о ее нелицензионности.
Что мне делать дальше или пока можно и так?
Добавлено через 2 минуты
Кстати, антивирус на автозагрузке и я каждый раз просто отключаю защиту от вирусов и т.д.
Добавлено через 3 минуты
и помоему при последнем лечении я не все его функции выключил. дал промашку
Последний раз редактировалось olmarik; 13.10.2009 в 02:53. Причина: Добавлено
Активного заражения в логах не видно.
Сделайте лог HijackThis. Как делать есть в правилах http://virusinfo.info/pravila.html
Сердце решает кого любить... Судьба решает с кем быть...
Вот. вроде сделал. Спасибо за то. что помагаете.
Что скажете?
Пофиксите в HijackThis:
Сделайте лог virusinfo_syscheck с помощью AVZ. Только скачайте свежую версию 4.32 и базы обновить не забудьте.O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - S-1-5-18 Startup: scandisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: scandisk.lnk = ? (User 'Default user')
O4 - Startup: scandisk.lnk = ?
Сердце решает кого любить... Судьба решает с кем быть...
Вобщем, по крайней мере, перестали эти перенаправления/переадресация ссылок.
Ну это потому, что вирусов уже нет.
Сердце решает кого любить... Судьба решает с кем быть...
Уважаемый(ая) olmarik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.