Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

Война с нечестью! (заявка № 10797)

  1. #1
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39

    Thumbs up Война с нечестью!

    Добрый день!Решил тоже попросить у вас совета и помощи.
    Как-то раньше не очень боялся вирусов, стояли антивирусы какие-то но когда комп начинал очень уж тупить форматировал все к чертям, сейчас много чего полезного на компе и времени нет, решил лечиться!
    сначала комп тупил,долго стал запускаться при включении,потом при включении один из процессов сrss.exe загружался на 90 процентов и понял, что вирусы одолели, работать невозможно!
    пробовал каспером лечить-он что-то удалял, но проблема оставалась.
    пробовал ad-aware,он кучу всего понаходил, но ниче не изменилось, и только avz убил наверное червя, потому процесс сrss.exe перестал зависать, но после лечения пропали подключения к интернету и не открывался не один файл, в процессах появлялся,но ЦП не загружал.
    пробовал встроенные скрипты, но ничего не помогло.Вообще исчезла вкладка в пуске(подключения), сегодня использовал рекомендованную утилитку winsockxpfix, она что-то сделала и после перезагрузки написало, что система восстановлена после серьезной ошибки и все вроде заработало!Но при создании подключения связи не происходит ошибка 800 что ли,вообщем кажется что еще какая-то вирусня осталась и поэтому прошу помочь.
    Вроде все сделал по инстукции!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Правила все-таки не выполнены - базы AVZ не обновлены.

    Осталось очень много гадостей. И все в основном из-за того, что винда необновленная.

    Готовься к длительной борьбе.
    1. Удалить MyWebSearch при помощи http://www.free-web-browsers.com/sup...mysearch.shtml
    2. Скачать http://virusinfo.info/attachment.php?attachmentid=10580
    Не запускать!!!
    3.Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\winsys32.dll','');
     QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe','');
     QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
     QuarantineFile('C:\WINDOWS\System32\lr4djksd8ej.dll','');
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll','');
     QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\svchots.exe','');
     QuarantineFile('\??\C:\WINDOWS\GPCIDrv.sys','');
     QuarantineFile('c:\cd1041.nls','');
     DeleteFile('c:\cd???.nls');
     BC_DeleteSvc('pe386');
     DeleteFile('\??\C:\WINDOWS\System32:lzx32.sys');
     DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\svchots.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll');
     DeleteFile('C:\WINDOWS\System32\rpcc.dll');
     DeleteFile('C:\WINDOWS\System32\spoolsvv.exe');
     DeleteFile('C:\WINDOWS\System32\winsys32.dll');
     ExecuteSysClean;
     BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    4.После перезагрузки загрузить карантин по ссылке вверху темы.
    5. Перезагрузитесь в безопасный режим, запустите утилиту и нажмите кнопку Patch.
    6. Прислать новые логи
    Последний раз редактировалось PavelA; 03.07.2007 в 16:41. Причина: Оставляю, на всякий пожарный
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\cd1041.nls','');
     QuarantineFile('C:\WINDOWS\System32\drivers\NDIS.sys','');
     BC_ImportQuarantineList;
     BC_QrSvc('pe386');
     BC_DeleteSvc('pe386');
     BC_DeleteFile('C:\WINDOWS\System32:lzx32.sys');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин согласно приложению 3 правил.
    Сейчас напишу продолжение...

    Добавлено через 7 минут
    Теперь мощный залп из пушки по воробьям
    Скрипт #2:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\debug.dll','');
     QuarantineFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL','');
     QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL','');
     QuarantineFile('C:\WINDOWS\System32\winsys32.dll','');
     QuarantineFile('C:\WINDOWS\System32\spoolsvv.exe','');
     QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
     QuarantineFile('C:\WINDOWS\System32\lr4djksd8ej.dll','');
     QuarantineFile('C:\Program Files\Windows NT\NTmon.exe','');
     QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe','');
     QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL','');
     QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll','');
     QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\svchots.exe','');
     DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\svchots.exe');
     DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Документы\Settings\arm32.dll');
     DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL');
     DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
     DeleteFile('C:\Program Files\Windows NT\NTmon.exe');
     DeleteFile('C:\WINDOWS\System32\lr4djksd8ej.dll');
     DeleteFile('C:\WINDOWS\System32\rpcc.dll');
     DeleteFile('C:\WINDOWS\System32\spoolsvv.exe');
     DeleteFile('C:\WINDOWS\System32\winsys32.dll');
     DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
     DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
     DeleteFile('c:\windows\system32\debug.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки второй карантин пришлите по правилам
    и сделайте новые логи. Останется еще немножко
    Последний раз редактировалось Bratez; 03.07.2007 в 16:36. Причина: Добавлено сообщение
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Да, базы не обновил, сорри!
    просто инет остался только на ноуте(он кстати тоже весь в болячках как я понимаю!

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    PYRNIK, Для него будет нужна новая тема.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Да я понял!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Одновременно мы с Павлом сработали.
    Ну сами выбирайте любой вариант modus operandi
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Bratez vbmenu_register("postmenu_120114", true); вы немного быстрее,я даже сначала не понял, был один скрипт потом совсем другой не обратил внимание, что разные люди!
    Начал вашим методом!так что им и продолжу!

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Off: Обижусь, мой раньше на целых 9 минут
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Цитата Сообщение от PavelA Посмотреть сообщение
    Off: Обижусь, мой раньше на целых 9 минут
    А скрипт таки позже добавлен!

    Добавлено через 6 минут
    PYRNIK, первый карантин я уже посмотрел, диагноз в отношении ndis.sys подтвердился.
    1. Скачиваем Вложение 10580.
    2. Загружаемся в безопасный режим и запускаем его, жмем Patch.
    3. Здесь же в безопасном запускаем AVZ и выполняем скрипт:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('c:\cd????.nls');
     BC_ImportDeletedList;
     ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Последний раз редактировалось Bratez; 03.07.2007 в 17:58. Причина: Добавлено сообщение
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Павел извините, ни в коем случае не хотел Вас обидеть,в любом случае всем Вам огромное спасибо за помощь и поддержку!

  13. #12
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Продолжение
    Вложения Вложения

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Детектирована модификация IAT: LoadLibraryA - 77ED6FC4<>77E7D961
    Адрес в IAT восстановлен: LoadLibraryA
    Есть ощущение, что что-то еще сидит сурьезное.
    В AVZ установить AVZPM, перезагрузиться. И еще разок прогнать скрипты.

    А MywebSearch по моей ссылке чиститься лучшее.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    После вышеописанной процедуры лечения ndis.sys пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    O2 - BHO: C:\WINDOWS\System32\lr4djksd8ej.dll - {A25849C4-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\lr4djksd8ej.dll (file missing)
    O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)
    O4 - Global Startup: Adobe Gamma Loader(2).lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office(2).lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Ускоренный запуск Adobe Reader(2).lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm070YYRU
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\проги\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\проги\ICQLite\ICQLite.exe (file missing)
    O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\
    O20 - Winlogon Notify: winsys32 - C:\WINDOWS\
    Обновите базы AVZ и сделайте логи еще раз, надеюсь последний

    Добавлено через 1 минуту
    Вот как раз с установленным AVZPM'ом.
    Последний раз редактировалось Bratez; 03.07.2007 в 18:07. Причина: Добавлено сообщение

  16. #15
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Цитата Сообщение от PavelA Посмотреть сообщение
    Есть ощущение, что что-то еще сидит сурьезное.
    В AVZ установить AVZPM, перезагрузиться. И еще разок прогнать скрипты.

    А MywebSearch по моей ссылке чиститься лучшее.
    у меня инет на компе не работает, по ссылке зашел но не понял, че делать(слаб в инглише), он там автоматом удаляется?
    в программах этот MywebSearch остался!

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    в программах этот MywebSearch остался!
    Да, это минус. Попробуйте удалить, если не получится - придется искать ключ в реестре в Uninstall. Ну и папочку надо прибить:
    C:\Program Files\MyWebSearch

  18. #17
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Долго комп сканирует!сейчас с ноутом займусь, просто боюсь вдруг и здесь подключение пропадет!
    Тема Восстание нечисти!
    Всем спасибо за помощь!

    Добавлено через 5 минут
    небольшой Вопросик а драйвер AVZPM и обновления могу установить на флэшку и с флэшки запустить на компе,это будет правильно?
    Последний раз редактировалось PYRNIK; 03.07.2007 в 18:30. Причина: Добавлено сообщение

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Можно. Просто директорию АВЗ полностью переписываешь на флешку.
    Устанавливаешь драйвер и перезагружаешься.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Как это драйвер на флэшку?
    В AVZ меню - AVZPM - Установить драйвер расширенного мониторинга, и перезагрузиться.
    А базы можно скопировать и подсунуть на другом компьютере (папка Base).

  21. #20
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    39
    Понял!
    ступил!так он вроде был установлен!

  • Уважаемый(ая) PYRNIK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Волна вирусов
      От alivan в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 01.11.2009, 18:53
    2. Война дополнений ?
      От kLen в разделе Другие программы по безопасности
      Ответов: 1
      Последнее сообщение: 05.09.2009, 07:28
    3. Вторая волна
      От AndreyKa в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 26.08.2009, 15:16
    4. Война со спамерами
      От Geser в разделе Новости интернет-пространства
      Ответов: 16
      Последнее сообщение: 04.06.2006, 22:04

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00219 seconds with 17 queries