Здравствуйте!
Нод 32,четыре или пять раз в день выдаёт сообщение о поимке этого вируса,удаляет его,но он опять появляется на месте.К тому-же Нод 32 грузится через раз,выдаёт что,произошла ошибка при обмене данными с ядром.
Printable View
Здравствуйте!
Нод 32,четыре или пять раз в день выдаёт сообщение о поимке этого вируса,удаляет его,но он опять появляется на месте.К тому-же Нод 32 грузится через раз,выдаёт что,произошла ошибка при обмене данными с ядром.
Уважаемый(ая) [B]лопух паша[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Паша\Application Data\DAOlv\ncomo.eb','');
DeleteFile('C:\Documents and Settings\Паша\Application Data\DAOlv\ncomo.eb','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-1.job','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-11.job','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-2.job','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-3.job','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-4.job','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-5.job','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-6.job','32');
DeleteFile('C:\WINDOWS\Tasks\4944f27f-5e5f-46b7-a359-123c3cad58bc-7.job','32');
DeleteFile('C:\WINDOWS\Tasks\d6c1cc52-f541-4061-90df-fd037e70d1a6.job','32');
DeleteFile('C:\WINDOWS\Tasks\e07495de-7327-4e55-ad27-7da0c5323996.job','32');
DeleteFile('C:\WINDOWS\Tasks\e193d96a-805a-4a11-98d3-3ba93c8b8465.job','32');
DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFileMask('C:\Documents and Settings\Паша\Application Data\DAOlv', '*', true, ' ');
DeleteDirectory('C:\Documents and Settings\Паша\Application Data\DAOlv');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RegKeyParamWrite('HKLM', 'Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1408905499&from=amt&uid=MaxtorX6L120M0_L3DEETCH&q={searchTerms}
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST=1][*]Скачайте [b][url=http://virusinfo.info/soft/tool.php?tool=FixerBro]FixerBro by glax 24[/url][/b] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]FixerBro[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В главном окне программы нажмите на кнопку [B]"Проверить"[/B][*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\FixerBro[/COLOR][/B] (лог в формате [b]FixerBro_yyyymmdd.txt[/b])[*]По окончанию сканирования нажмите на кнопку "[b]Отчет[/b]".[*]Сохраните лог утилиты[*]Прикрепите сохраненный отчет в вашей теме.[/LIST]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
+ [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Кажется всё сделал.
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Папка Найдено : C:\Documents and Settings\Паша\Local Settings\Application Data\Mail.Ru
Папка Найдено : C:\Program Files\Mail.Ru
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Сделал.
Что с проблемой?
Всё в порядке,вирус умер.
Спасибо!
Смените все пароли особенно к банковским платежным системам.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Удалось сегодня загрузить комп с четвёртого раза.Антивирусник не грузился,сетевой экран тоже,выскакивало сообщение "Windows/sistem32/ещё какае-то папка,не помню,у вас нет прав отказано в доступе"
Не открывался Диспечер задач,короче не одна программа не открывалась.
Проверьте, что со значками в трее, все на месте?
Скачайте утилиту [URL="https://yadi.sk/d/HeoPGwfQZEaMW"]MiniToolBox[/URL] и сохраните на рабочем столе.
Запустите [U]при подключённом интернете[/U], отметьте следующие пункты:
[LIST][*]Список настроек IP[*]Список настроек Winsock[*]Список последних 10 записей журнала событий[*]Список установленных программ[*]Только проблемных[*]Список юзеров, разделов и размера памяти[*]Список дампа памяти[*]список точек восстановления[/LIST]
и нажмите Старт.
После завершения сбора информации откроется отчет [b]Result.txt[/b], прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
Значки на месте,даже появился "оповещение системы безопасности ",раньше его там не было,и пропала стрелочка которая скрывает неактивные значки в трее.
Добавьте лог uVS.
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
лог
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПАША\APPLICATION DATA\DAOLV\NCOMO.EB
exec C:\Program Files\HD-V1.9\Uninstall.exe /fcp=1
exec "C:\Program Files\Spybot - Search & Destroy 2\unins000.exe"
deltmp
restart
[/code]
На запросы удаления программ соглашайтесь. Компьютер перезагрузится. Сделайте новый лог uVS.
Деинсталлируйте:
HD-V1.9
Surfing Protection
Hamster Lite Archiver - есть множество бесплатных архиваторов, не висящих постоянно в памяти, тот же 7-Zip, уже установленный в системе.
С антивирусами явный перебор:
McAfee Security Scan Plus
Spybot - Search & Destroy - бесполезная программа.
ESET NOD32 Antivirus
Outpost Firewall Pro 9.0 - не только файрвол, есть функции проактивной защиты, оттого бывают конфликты с другими антивирусами. Рекомендую удалить.
Повторный лог.
Может можно через скрипт удалить все ненужные архиваторы и программы ,оставить только Нод.Если не трудно.А то боюсь могу запутаться с удалением.
Выполните скрипт в uVS:
[CODE];uVS v3.83 BETA 16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
exec C:\Program Files\HD-V1.9\Uninstall.exe /fcp=1
exec "C:\Program Files\Hamster Soft\Hamster Lite Archiver\unins000.exe"
exec "C:\Program Files\McAfee Security Scan\uninstall.exe"
exec "C:\Program Files\Agnitum\Outpost Firewall Pro\unins000.exe"
exec "C:\Program Files\IObit\Surfing Protection\unins000.exe"
restart[/CODE]
Компьютер перезагрузиться. На предложение удаления программ соглашайтесь если хотите оставить только Eset Antivirus.
Скрипт выполнил,компьютер почему-то сам не перезагрузился(ждал минут двадцать)сделал это вручную.
Пока вроде всё в порядке,если что не так отпишусь в теме.
Спасибо огромное за помощь!!!
Проблем не наблюдается.
Спасибо огромное за помощь.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]