Сноси НОД
ТОЛЬКО в безопаске
Printable View
Сноси НОД
ТОЛЬКО в безопаске
И типа всё будет ОК?
К утру?
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
В ПМ:)
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Нод щас сносится...
Ребутиться надо, чтоб КИСУ поставить?
В безопаске когда буду сканить КИСой, можно дефраг врубить? так удобно бы было:)
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Такой вопросец: в безопаске КИСа установится? Нод так не встаёт, сцуко!
[quote]В безопаске когда буду сканить КИСой, можно дефраг врубить?[/quote]
Лучше избежать излишних обращений к данным на винте....
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
[quote]Такой вопросец: в безопаске КИСа установится?[/quote]
Не пробовал...вроде виндовс инсталер в безопастном отключен...скорее всего откажится...
Но у КИСы есть самозащита в отличие от НОДа
КИС тока щас удалось поставить, ребутнуться надо...
[QUOTE=akoK;178437]
Не пробовал...вроде виндовс инсталер в безопастном отключен...скорее всего откажится...[/QUOTE]
можно инсталлер в безопаске запустить.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
StopService('NBService');
QuarantineFile('NBService.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\amon.sys','');
QuarantineFile('D:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('D:\Temp\qGL4eI2w.sys','');
QuarantineFile('D:\WINDOWS\system32\awtqo.exe','');
DeleteFile('D:\WINDOWS\system32\awtqo.exe');
SysCleanAddFile('D:\WINDOWS\system32\awtqo.exe');
BC_QrSvc('NBService.sys');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
Поищи при помощи AVZ: [b]NTSpool.exe, BTCPatcher.exe[/b] и пришли по правилам. Если их нет то профиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe [/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
После перезагрузки выполни и этот скрипт
[code]begin
ExecuteStdScr(1);
ExecuteStdScr(2);
end.[/code]
Он создаст новый [b]virusinfo_syscheck.zip [/b] и лог HJT еще нужен
[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]
p.s. не забудь перезагрузиться:)
Щас буду скрипты выполнять!
А пока объясните, Мул LOW ID, КИСовские проделки?
Где настроить надо? Чтоб нормально было....
[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]
Внедряемый модуль:
D:\Program Files\Light Alloy\LA.exe
ID процесса (PID): 2628
Версия: 4.3.0.634
Производитель: [url]http://www.softella.com/[/url]
Размер: 962,5 КБ
Создан: 11.12.2007 22:20:40
Изменен: 11.12.2007 22:20:40
Описание: Light Alloy - multimedia player
Это КИСА сигналит на запуск просмотра фильма!
Идиото что ли?
Я разрещаю...
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
[
Поищи при помощи AVZ: [B]NTSpool.exe, BTCPatcher.exe[/B] и пришли по правилам. Если их нет то профиксить в HijackThis следующие строчки ( [URL]http://virusinfo.info/showthread.php?t=4491[/URL] )
[code] O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O4 - HKCU\..\Policies\Explorer\Run: [System Patcher] BTCPatcher.exe
Ненейду этого ни AVZ ни Хичзисом! Мож Cureit уже снес, я запускал его.
Ну я всё выполнил!
Теперь чего!?
[code]Это КИСА сигналит на запуск просмотра фильма![/code]
Это сигналит проактивная защита(дня 3-4 прийдется потерпеть пока обучишь антивирус под свои проги, потом это незаметно или заметно при попытке заражения)
[quote]Ненейду этого ни AVZ ни Хичзисом! Мож Cureit уже снес, я запускал его.[/quote]
Значит фиксим хвосты...
[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]
Чистим концы...
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O2 - BHO: (no name) - {45F3F76F-E4F9-46CC-B32E-1346A1E23EC0} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - (no file)
O2 - BHO: (no name) - {C03ED50D-B3EB-43CB-B462-FBF24709E83F} - D:\WINDOWS\system32\awtqo.dll
(file missing)
O20 - Winlogon Notify: gebywvu - D:\WINDOWS\[/CODE]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{C03ED50D-B3EB-43CB-B462-FBF24709E83F}');
DeleteFile('D:\WINDOWS\system32\awtqo.dll');
BC_DeleteFile('D:\WINDOWS\system32\awtqo.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Поищи еще [b]ehevcwfq.dll [/b] если есть то карантин в студию;)
UP!
[size="1"][color="#666686"][B][I]Добавлено через 27 минут[/I][/B][/color][/size]
ehevcwfq.dll искать в AVZ сервис\поиск файлов?
Галок не включать нигде, тока системный раздел включить и всё?
[quote]ehevcwfq.dll искать в AVZ сервис\поиск файлов?
Галок не включать нигде, тока системный раздел включить и всё?[/quote]
Да..
Карантин залил! Теперь чего?
[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]
Akok! А чо за вирь у меня!?
Щас пойду на форум, где брал НОД, поругаю их там всех:)
странно за 26 никаких карантинов нет отправь мне на почту
akok<гАв>virusinfo.info
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
awtqo.exe - [b]Virus.Win32.Trats.d[/b]
awtqo.dll - [b]not-a-virus:AdWare.Win32.Virtumonde.dxz[/b]
[b]Trojan-Dropper.Win32.Agent.dgo[/b]
[QUOTE=akoK;178728]странно за 26 никаких карантинов нет отправь мне на почту
akok<гАв>virusinfo.info
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
awtqo.exe - [b]Virus.Win32.Trats.d[/b]
awtqo.dll - [b]not-a-virus:AdWare.Win32.Virtumonde.dxz[/b]
[b]Trojan-Dropper.Win32.Agent.dgo[/b][/QUOTE]
А где их брать!?
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Ищу поиском в АВЗ!
Кстати, забыл сказать, после последнего скрипта, винда загрузилась в 5 раз быстрее! Или в 6:)
Чего такого он сделал чудесного?
Их Не надо брать, это часть искорененной заразы, с твоей машины
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Мусор чистил...вроде...
Так чо делать, масса Акок?
[quote=akoK]странно за 26 никаких карантинов нет отправь мне на почту
akok<гАв>virusinfo.info[/quote]
В почту, карантин за сегодня, продублируй а?!;)
Скинул [email]akousinfo.info[/email] верно?
Верно только поправь адрес, а то спам бот набредет неразгребусь потом в рекламе для увелечения ......
Файл отправил в вирлаб(нехороший какой-то)
С утреца делать чего?
Получим ответ из вирлаба и будем рэзать
[size="1"][color="#666686"][B][I]Добавлено через 1 час 28 минут[/I][/B][/color][/size]
D:\WINDOWS\system32\ehevcwfq.dll - [b]not-a-virus:AdWare.Win32.Virtumonde.edj[/b]
Долой надоедливую рекламу...
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\WINDOWS\system32\ehevcwfq.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
[code]begin
ExecuteStdScr(1);
ExecuteStdScr(2);
end.[/code]
И получившийся лог + HJT надо....
Тока AVZ нашел ehevcwfq.dll, как КИС давай божиться: сам его снесу после ребутки, бля буду!
Выполнять скрипт всё равно!?
разницы особой нет :)
но помните -> кис надо отключить, а потом уже скрипт выполнять.
Я без отключки Кисы сделал.
[QUOTE=akoK;178781]Получим ответ из вирлаба и будем рэзать
[size="1"][color="#666686"][B][I]Добавлено через 1 час 28 минут[/I][/B][/color][/size]
D:\WINDOWS\system32\ehevcwfq.dll - [b]not-a-virus:AdWare.Win32.Virtumonde.edj[/b]
Долой надоедливую рекламу...
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('D:\WINDOWS\system32\ehevcwfq.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
[code]begin
ExecuteStdScr(1);
ExecuteStdScr(2);
end.[/code]
И получившийся лог + HJT надо....[/QUOTE]
Усё сделал:)
Ув. пациент сегодня экскурсии в морг не будет..мест нет..мы вас выписываем;)
Ничего в логах зловредного не вижу.
Значит, вирей больше нету!?
А был какой?
Имя его!?
На будущее, если чо появится, то можно всё решить, запустив AVZ в безопаске со всеми галочками!?
Там таакой рассадик был.....
[quote]На будущее, если чо появится, то можно всё решить, запустив AVZ в безопаске со всеми галочками!?[/quote]
Лучше к нам не факт, что зараза похожая прийдет....AVZ это не антивирус в полном понимании этого слова
Лучше раз в месяц(для профилактики) прогони систему cureit
Так чо в рассадике было!?
Мне для атчота надо....
[b]not-a-virus:AdWare.Win32.Virtumonde.edj
not-a-virus:AdWare.Win32.Virtumonde.dxz
not-a-virus:AdWare.Win32.Agent.uj,
not-a-virus:AdWare.Win32.BHO.ic,
not-a-virus:AdWare.Win32.BHO.cc,
not-a-virus:AdWare.Win32.BHO.kj
not-a-virus:AdWare.Win32.Virtumonde.dvm
not-a-virus:AdWare.Win32.Virtumonde.edj
Virus.Win32.Trats.d
Trojan-Dropper.Win32.Agent.dgo
Trojan.Win32.Agent.dvl[/b]
Это по беглому осмотру
А чо они из себя представляют?
На какие пакости способны?
Мне как-то малолетка в 16 лет подсунул пинча!
Вся инфа о контактах аси и мыл, ушла к нему.
А эти?
Адвары шпионили или рекламу крутили...
[url]http://www.viruslist.com/ru/viruses/encyclopedia[/url]
Здесь неплохо все описано
Ну эт не сташно.
Троев-то не было?
KISa ругается всю дорогу!
На макстон каждую минуту! См скрин
И на THe Bat! тоже. Я их добавил в доверенную зону.
ПРавильно!?
Или с ними чего нехорошее!?
Вы случаем при установке КИСа не выбирали "расширенный вариант проактивной защиты"?
Ставя Кису, я вроде все по дефолту оставлял.хотя ХЗ.
Чего изменить надо в настройках?
Ничего не меняйте, просто настраивайте правила для приложений
[quote=rubin;179339]Ничего не меняйте, просто настраивайте правила для приложений[/quote]
См скрин: сканю раздел С,бывший системный, уже почти 8 часов, а всего 1%, а раздел-то самый маленький у меня, 100гб, в отличии от остальных по 300гб.
Почему так тормозит КИСа!?