Help

Printable View

30.04.2010, 17:21
nozl

Help

Здраствуйте! Ув. форумчани, нужна ваша помощь, скачал что-то с и-нэта, вышло так, что в нём был вирус, он блокирует диспечер задач,реестр, удалил файл для команды "gpedit.msc"; при загрузке avz, сразуже(мгновенно) вырубает процесс avz, и блокирует все программы(даже блокноты и некоренные файлы)но если не пытатся сражатся с ним, нечего не блокирует кроме реестра и диспечера задач, но я переименовал avz, восстановление системы помогло открыть диспечер задач и реестр буквально на пару секунд, но при включение avz guard сновоже блокирует все программы, с диспечера поудалял процессы, но не помогает, ОС переустанавливал, странно, но вирус не пропадает...:umnik2::dash2:
30.04.2010, 18:19
pig

[url=http://virusinfo.info/pravila.html]Внимательно прочитать, аккуратно выполнить[/url]
03.05.2010, 18:41
nozl

К сожелению, этот вирус блокирует сайты каспера,др веба да и вообще, все софт порталы с именами avz\dr.web cureit, ещё заметил, он создает в папке ОС(windows) в папке temp, очень много папок с почти аналоговыми именами( в конце цыфры меняются) создает до такой степени много папок, что весь диск загружает до 100% и все программы начинают глючить, а даже и вырубатся, но создаёт он не только в папке "temp" при перезагрузке компьютера, он выбирает каждый раз другое место для этих пакостей, а когда начинаю удалять эти папки, он в них кидает файлики от программ, к примеру авз побил, Довнлоад мастер,проигрыватели и т.д; А также блокирует или незнаю что он делает с безопасным режимом, что в него нельзя зайти...В boot.ini вродебы всё нормально...
03.05.2010, 23:50
pig

Хрустальный шар перегорел...
04.05.2010, 08:51
nozl

Извините, но что это - "Хрустальный шар" ? Насколько я знаю, это не как не связано с железом...

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Извините, но что это - "Хрустальный шар" ? Насколько я знаю, это не как не связано с железом...
04.05.2010, 23:56
pig

Хрустальный шар aka палантир - магческий инструмент, позволяющий осуществить удалённый доступ или удалённую диагностику без использования штатных технических средств. Перегорел он у меня. Не вижу вашего компьютера.
05.05.2010, 17:27
nozl

В целом что посоветуете делать ?
05.05.2010, 18:10
миднайт

Делайте логи этой версией [url=http://gjf.hotbox.ru/mink.pif]AVZ[/url]
06.05.2010, 18:23
nozl

Вот:
07.05.2010, 07:05
polword

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
QuarantineFile('C:\WINDOWS.0\svchost.com','');
QuarantineFile('C:\WINDOWS\svchost.com','');
TerminateProcessByName('c:\windows.0\temp\winyhyrsx.exe');
TerminateProcessByName('c:\windows.0\temp\w89f36.exe');
TerminateProcessByName('c:\windows.0\temp\nuos.exe');
QuarantineFile('C:\WINDOWS.0\system32\wudfhost.exe','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\EIO.sys','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\fkqfnq.sys','');
DeleteService('abp470n5');
QuarantineFile('c:\windows.0\temp\winyhyrsx.exe','');
QuarantineFile('c:\windows.0\temp\w89f36.exe','');
QuarantineFile('c:\windows.0\temp\nuos.exe','');
DeleteFile('c:\windows.0\temp\w89f36.exe');
DeleteFile('c:\windows.0\temp\winyhyrsx.exe');
DeleteFile('C:\WINDOWS.0\system32\drivers\fkqfnq.sys');
DeleteFile('C:\WINDOWS\svchost.com');
DeleteFile('C:\WINDOWS.0\svchost.com');
DeleteFile('c:\windows.0\temp\nuos.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
07.05.2010, 08:09
thyrex

Дополнительно к совету [B]polword[/B]

Перед созданием повторных логов пролечитесь от файловых вирусов [url]http://virusinfo.info/showpost.php?p=306441&postcount=2[/url]
07.05.2010, 14:53
nozl

thyrex, к сожелению, уменя нет возможности сейчас выполнить ваши требования, т.к. сидиром неработает... (
polward, всё сделал, как вы и сказали....
07.05.2010, 14:59
thyrex

[QUOTE='nozl;633585']уменя нет возможности сейчас выполнить ваши требования, т.к. сидиром неработает... ([/QUOTE]Вариант 1. Искать рабочий CD-ROM
Вариант 2. Подключить винчестер к здоровому компьютеру с антивирусом и лечиться

В противном случае все старания будут напрасными
07.05.2010, 21:01
nozl

качал версию 5 0 2 и 5 0 3 по вашей ссылке, доходит до 99% дальше не как, файлообменники с именами др веба блокирует вирус...
07.05.2010, 22:39
thyrex

[QUOTE='nozl;633763']файлообменники с именами др веба блокирует вирус...[/QUOTE]Скачивать и записывать образ на болванку нужно на чистой от вирусов машине
07.05.2010, 22:44
nozl

Вообщем пробил ливсд, просканировал, сделал логи, карантин прислал.
07.05.2010, 22:58
thyrex

Или лог старый, или лечение неудачно

Установите верную системную дату (или замените батарейку)

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.0\temp\whjt.exe');
TerminateProcessByName('c:\windows.0\svchost.exe');
SetServiceStart('abp470n5', 4);
DeleteService('abp470n5');
SetServiceStart('PowerManager', 4);
DeleteService('PowerManager');
TerminateProcessByName('c:\windows.0\svchost.exe');
QuarantineFile('c:\windows.0\svchost.exe','');
DeleteFile('c:\windows.0\svchost.exe');
DeleteFile('C:\WINDOWS.0\system32\drivers\fkqfnq.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
07.05.2010, 23:01
Шапельский Александр

+ к рекомендациям [B]thyrex [/B]
Просканируйте ПК этим--[URL="http://support.kaspersky.ru/viruses/solutions?qid=208636131"]http://support.kaspersky.ru/viruses/solutions?qid=208636131[/URL]
08.05.2010, 00:32
nozl

карантин прислал.
shapel, ссылка нерабочая....
08.05.2010, 00:59
Шапельский Александр

[QUOTE='nozl;633869']shapel, ссылка нерабочая.... [/QUOTE]
Рабочая... Скачайте утилиту и запустите.
08.05.2010, 09:49
nozl

странно, но умея Эрор по этой ссылке, может быть снова вирус всунул свои руки куда не нада, вот и блокирует...

[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]

дайте название утилиты, или ссылку на файлообменнике какомто...
08.05.2010, 10:21
polword

[QUOTE=shapel;633875]Скачайте утилиту и запустите.[/QUOTE]
утилита [URL="http://virusinfo.info/attachment.php?attachmentid=236356&d=1273265953"]salitykiller.zip[/URL] во вложении shapel-а Вам только её скачать, распаковать и запустить
08.05.2010, 12:55
nozl

просканировал, скан шел в смд окне, довольно долго, надеюсь то что вы хотели?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Жду дальших указаний.
08.05.2010, 12:57
ARMA9000

Какие проблемы наблюдаются? Логи повторите.
08.05.2010, 13:57
nozl

вот логи, проблемы всё теже, при скане салитикиллера, видно было в смд окне как убивало вирусы, более 2900 штук убило, да и имена папок проскакывали в окне под надписью инфектед, думал убило эту штуку что создаёт много папок и загружает диск на 100% ,а проблема не решилась, сново диск забит, тоесть вирус остался. вот логи
08.05.2010, 14:17
thyrex

Попробуйте такой рецепт

1. Скачайте DrWeb CureIt (на чистой машине)
2. Запишите его на чистой машине на CD вместе с SalityKiller.exe (лучше скачать его заново)
3. На проблемном компьютере пропишите запуск [B]SalityKiller -m[/B] в автозагрузку при старте системы (как это сделать смотрите с чистой машины [url]http://support.kaspersky.ru/viruses/solutions?qid=208636131[/url])
4. Перезагрузитесь
5. Когда сработает автозапуск SalityKiller, запускайте CureIt на лечение

После лечения - новые логи
17.05.2010, 22:26
nozl

Здраствуйте! Сделал всё как сказанно выше постом, вирус ушел, правда чистил ещё некоторыми программами, но систему тормозит почемуто, посмотрите логи:
17.05.2010, 22:34
thyrex

Кроме E:\vkhacker\VKHacker.exe, ничего подозрительного
17.05.2010, 23:49
nozl

Ясно, нащёт Vkhackera, это программа для контакта, и на последок, посоветуйте какойто анти вирус.

p.s. железо слабое.
18.05.2010, 23:49
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows.0\svchost.com - [B]Virus.Win32.Neshta.a[/B] ( DrWEB: Win32.HLLP.Neshta, BitDefender: Win32.Neshta.A, NOD32: Win32/Neshta.A virus, AVAST4: Win32:Neshta )[*] c:\windows.0\svchost.exe - [B]Virus.Win32.Hidrag.a[/B] ( DrWEB: Win32.HLLP.Jeefo.36352, BitDefender: Win32.Jeefo.B, NOD32: Win32/Jeefo.A virus, AVAST4: Win32:Jeefo )[/LIST][/LIST]