Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Восстание нечисти! (заявка № 10802)

  1. #1
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62

    Exclamation Восстание нечисти!

    Вообщем продолжение лечения моих машинок!
    теперь ноут!
    тоже весь загаженный,здесь даже каспера не было!
    не открывается свойства системы, не могу отключить восстановление системы-так не прокатит?
    как посоветуете сделать?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Зоопарк впечатляет, давайте лечиться.

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\userinit.exe','');
     QuarantineFile('ovwscn.sys','');
     QuarantineFile('\??\C:\WINDOWS\system32\ovrscn.sys','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
     QuarantineFile('c:\windows\system32\wininet.exe','');
     QuarantineFile('c:\docume~1\toshiba\locals~1\temp\5260.exe','');
     QuarantineFile('c:\windows\temp\1587839527.exe','');
     QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
     QuarantineFile('c:\windows\system32\ovrscn.dll','');
     DeleteFile(' C:\WINDOWS\system32\ovwscn.sys');
     DeleteFile(' C:\WINDOWS\system32\qz.sys');
     DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
     DeleteFile('c:\windows\temp\1587839527.exe');
     DeleteFile('c:\docume~1\toshiba\locals~1\temp\5260.exe');
     DeleteFile('c:\windows\system32\wininet.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     DeleteFile('C:\WINDOWS\userinit.exe');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
    The worst foe lies within the self...

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    PYRNIK, А начать можно с "Восстановления системы" в AVZ
    Там отметить п.п.5,6,9,11 и нажать "Выполнить".
    Плюс выполнить скрипт Kuzz в Safe Mode без второй строчки.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    ВВел скрипт, и пропали сетевые подключения!
    зато появилась возможность войти в ствойства системы.
    При запуске появлется windows unstaller!,который нельзя отменить!
    Вообщем сейчас логи выложу по правилам!

  6. #5
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    Вообщем заново логи, а то я после исчезновения подключений че-то химичил пол ночи, мож че-то изменилось!
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    1 Карантин закачать.
    Только после удачной закачки выполнить скрипт:

    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\qz.dll','' );
     QuarantineFile('c:\dell\bldbubg.exe','');
    RebootWindows(true);
    end.
    Прислать, если что-то попадет в карантин.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    закачать это значит-просмотр карантина, выделить все файлы, которые в папке сегодняшнего дня и архивировать?
    я правильно понял?

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Цитата Сообщение от PYRNIK Посмотреть сообщение
    закачать это значит-просмотр карантина, выделить все файлы, которые в папке сегодняшнего дня и архивировать?
    я правильно понял?
    Если мой скрипт выполняли сегодня - то сегодняшнего, если выполняли вчера - то нужные файлы обозначены 03.07.07
    Закачивать через ссылку Прислать запрошенные файлы
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    по моему я что-то сделал напрвильно!
    потому, что сегодня скрипт не выполнял-просто взял все в папке на сегодняшний день.
    Выполнить еще раз?

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Повторно выполнять скрипты не надо.
    Действительно Вы закачали не те файлы, запрошенные находятся в папке с вчерашней датой.
    Откройте в AVZ "Файл"->"Просмотр карантина"
    В папке 2007-07-03 выделите все файлы, заархивируйте и пришлите их.

    Запрошенное PavelA,
    C:\WINDOWS\system32\qz.dll - Backdoor.Win32.Haxdoor.kz
    c:\dell\bldbubg.exe - не попал в карантин.
    Последний раз редактировалось Kuzz; 04.07.2007 в 14:13. Причина: 2-й карантин
    The worst foe lies within the self...

  12. #11
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    отправил!

  13. #12
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Удачная охота
    C:\WINDOWS\system32\qz.dll - BackDoor.Haxdoor.440 (dr.web), Backdoor.Win32.Haxdoor.kz (Касперский)

    Выполнить скрипт:
    Код:
    begin
     BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
    BC_Activate;
     RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #13
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    не понял!
    касперского и д. веба пока нет, решил что как вылечу так поставлю

    Добавлено через 2 минуты
    Что-то нужно делать? или ждать?
    Последний раз редактировалось PYRNIK; 04.07.2007 в 14:22. Причина: Добавлено сообщение

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
     DeleteFile('C:\WINDOWS\system32\qz.dll');
     QuarantineFile('c:\dell\bldbubg.exe','');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Если после перезагрузки в карантине что либо будет, пришлите по правилам.

    Сделайте все логи снова.
    The worst foe lies within the self...

  16. #15
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    Отправил карантин!

  17. #16
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    свеженькие логи!
    Вложения Вложения

  18. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Карантин пуст А в логах все файлы на месте.

    'c:\dell\bldbubg.exe' - обновлялка оборудования ноута.
    C:\WINDOWS\SYSTEM32\ovrscn.dll - никто не знает и удаляться не хочет.

    Вывод:
    Грузимся в Safe Mode.
    Выполняем:
    Код:
    begin
     ClearQuarantine;
     SetAVZGuardStatus(true);
    // DeleteFile('C:\WINDOWS\system32\ovrscn.dll');
    QuarantineFile('C:\WINDOWS\system32\ovrscn.dll','');
    // QuarantineFile('c:\dell\bldbubg.exe','');
     BC_LogFile(GetAVZDirectory + 'boot_clr.log');
     BC_ImportAll;
     BC_Activate;
    RebootWindows(true);
    end.
    карантин присылаем, если будет не пустой (проверить AVZ -- Файл --Просмотр карантина).
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  19. #18
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    а еще вылазит постоянно windows installer хочет что-то загрузить, можно ли это убрать?

    Добавлено через 4 минуты
    опять этот ovrscn.dll-может какой-то новый зверюга?

    Добавлено через 5 часов 50 минут
    Добрался домой,поставил по для защиты, инет заработал все клево вроде!
    Так что огромное СПАСИБО вам за помощь.
    p.s. Не перевелись еще на Руси настоящие богатыри
    Последний раз редактировалось PYRNIK; 05.07.2007 в 00:13. Причина: Добавлено сообщение

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от PYRNIK Посмотреть сообщение
    Не перевелись еще на Руси настоящие богатыри
    Не только на Руси. См. Drongo, Kuzz

    Цитата Сообщение от PYRNIK Посмотреть сообщение
    опять этот ovrscn.dll-может какой-то новый зверюга?
    А все-таки по теме: в карантин что-то попало. Интерес не праздный. В соседней теме тоже ищем такой же файлик. И надо разобраться с инсталлером - чего ему вдруг после наших манипуляций понадобилось.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    03.07.2007
    Сообщений
    26
    Вес репутации
    62
    Инсталеру,как мне кажется нужно установить китайский шрифт!
    помню давно был на каком-то китайском сайте и там нужно было установить шрифт для правильного отображения!
    не знаю как отменить его теперь постоянно при запуске ос или при запуске офиса выскакивает!

  • Уважаемый(ая) PYRNIK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ловец нечисти
      От James1 в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 10.10.2010, 01:54
    2. Караул! Восстание машин!
      От war_pilot в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 21.02.2010, 23:30
    3. Ответов: 33
      Последнее сообщение: 22.02.2009, 05:02
    4. Помогите избавиться от нечисти!
      От MAEstro в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 01:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00982 seconds with 20 queries