-
Сообщение от
Shu_b
Благодарю! Прочитал. Систематизировал. Хочу применить. Но не знаю как отключить рабочий стол на время лечения?
Alart
#31
Воспользовался рекомендацией RiC`а:
1. Берем Диспетчер задач Windows (таск манагер) (Alt+Ctrl+Del)
2. выбираем в процессах Explorer.exe, говорим - "Завершить процесс",
3. только вместо DrWeb запустил для лечения AVZ,
У RiC'a 3 и 4 пункты звучали так:
3. запускаем из Диспетчер задач Windows (таск манагера) DrWeb (Файл - Выполнить),
4. лечимся на время лечения рабочий стол должен отсутствовать???
4. потом изменил в реестре запись "explorer.exe c:\windows\nail.exe" на "explorer.exe",
5. перегрузился
nail больше не появился.
Hijack не запускал так как не знаю что надо было бы фиксить. Но проблема вроде бы исчезла и без этого.
Спасибо всем кто откликнулся, персонально Ric`у.
Последний раз редактировалось senior; 12.04.2006 в 20:03.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Visiting Helper
- Вес репутации
- 76
Вобщем плохо что кав скачать невышло Ж) Иначе гемора было бы в 5 раз меньше ж)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Сообщение от
Sanja
Вобщем плохо что кав скачать невышло Ж) Иначе гемора было бы в 5 раз меньше ж)
Попытаюсь, однако, ещё раз, если это так важно! Не мог же я вообще без антивирусника остаться. Поэтому и скачал Avist! Кстати, объём скачанных файлов достаточно большой KAV - 12,4 KB и KIS - 12,9 KB, т.е. очевидно они полные. Здесь дело в чём-то другом
Проверил, что советовал AKR на форуме http://forum.kaspersky.com/index.php...=12213&hl=wksi по поводу "Установщика Windows". Он оказался у меня "свеженький" Windows 3.1 (2). Потом добавил на "всякий пожарный" "Windows Skript 5.6" и "Средства поддержки пакета обновления 2 (SP2) для Windows XP".
Теперь я во все оружии и могу заново решать "сложные" задачи
Раньше я продуктами Лаборатории Касперского не пользовался (только слышал о них разные, зачастую "полярные" мнения. Поэтому решил своё мнение "заиметь"), поэтому полная ДЕИНСТАЛЯЦИЯ "следов" предыдущих версий тут тоже не причём.
А что же?
Последний раз редактировалось senior; 13.04.2006 в 16:02.
-
-
Visiting Helper
- Вес репутации
- 76
Чудеса Ж) с норм размером файла - какую ошибку инсталлер выдает?
Эту? http://virusinfo.info/attachment.php...4&d=1144674045
Тады битый... иначе - надо смотреть Ж) уже спортивный интерес.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Сообщение от
Sanja
Точно! Только сперва, прерывая процесс установки, эту:
http://virusinfo.info/attachment.php...3&d=1144673574
а потом уже ту:
http://virusinfo.info/attachment.php...4&d=1144674045
Всё точно также "плохо" начинается как и у AKR'a:
http://forum.kaspersky.com/index.php...=12213&hl=wksi
Но он попробовал переименовать файлы и у него всё же получилось поставить антивир на ПК.
Последний раз редактировалось senior; 13.04.2006 в 10:57.
-
-
Сообщение от
AndreyKa
В AVZ меню Файл - "Отложенное удаление файла" последовательно удалите файлы:
c:\windows\system32\drpmon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\rftfpxu.exe
C:\WINDOWS\xvpmirsmv.exe
Перезагрузите компьютер.
Ставте KAV, проверяйте весь компьютер.
Если останутся проблемы или будут сомнения делайте логи, начиная с 11-го пункта правил.
Сделал как Вы рекомендовали, кроме установки KAV (пока не получается). Из четырёх рекомендованных к удалению файлов удалось удалить без следа только один
C:\WINDOWS\xvpmirsmv.exe
У остальных трёх, несмотря на все ухищрения, как у Змея Горыныча головы через время отрастают вновь:
c:\windows\system32\drpmon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\rftfpxu.exe
-
-
Сообщение от
senior
Сделал как Вы рекомендовали, кроме установки KAV (пока не получается). Из четырёх рекомендованных к удалению файлов удалось удалить без следа только один
C:\WINDOWS\xvpmirsmv.exe
У остальных трёх, несмотря на все ухищрения, как у Змея Горыныча головы через время отрастают вновь:
c:\windows\system32\drpmon.dll
C:\WINDOWS\Nail.exe
C:\WINDOWS\rftfpxu.exe
А если так:
1. Закрыть все программы, запустить AVZ
2. Включить AVZ Guard
3. поубивать эти четыре файла отложенным удалением
4. Перезагрузиться не выходя из AVZ и не выключая AVZ Guard
Может помочь ... если после перезагрузки найдутся следы от AVZ guard, то нужно прибить найденный "драйвер устройства" ... фокус в том, что без AVZGuard nail.exe бить бесполезно (см. http://z-oleg.com/secur/advice/adv1102.php)
-
-
Сообщение от
Зайцев Олег
... если после перезагрузки найдутся следы от AVZ guard, то нужно прибить найденный "драйвер устройства" ... фокус в том, что без AVZGuard nail.exe бить бесполезно (см.
http://z-oleg.com/secur/advice/adv1102.php)
Пробовал в точности пройти предложенный Вами путь и уже неоднократно. При этом отключал восстановление системы и связь с интернетом. Включал AVZGuard, но "остановить процесс nail.exe " как рекомендуют на ссылке http://z-oleg.com/secur/advice/adv1102.php невозможно, поскольку его там нет. Вначале действительно nail.exe пропадает, а потом возрождается вновь. И как оказалось вместе со своими собратьями.
А вот последнее продложение я не понял. Уточните пожалуста, что Вы имели ввиду "под следами от AVZGuard". Где их можно увидеть?
Последний раз редактировалось senior; 13.04.2006 в 15:22.
-
-
Сообщение от
senior
Пробовал в точности пройти предложенный Вами путь и уже неоднократно. При этом отключал восстановление системы и связь с интернетом. Включал AVZGuard, но "остановить процесс
nail.exe " как рекомендуют на ссылке
http://z-oleg.com/secur/advice/adv1102.php невозможно, поскольку его там нет. Вначале действительно
nail.exe пропадает, а потом возрождается вновь. И как оказалось вместе со своими собратьями.
А вот последнее продложение я не понял. Уточните пожалуста, что Вы имели ввиду
"под следами от AVZGuard". Где их можно увидеть?
Следы AVZGuard сами проявляются - система ругается, что драйвер не найден в ходе загрузки. Если предложенный алгоритм не помогает, я советую еще раз снять логи, так сказать текущее состояние дел ... И еще вопрос - восстановление системы перед удалением файлов отключалось (в правилах прописано, как его отключить)
-
-
Скачайте NailFix, распакуйте архив Nailfix.zip в отдельный каталог, запустите nailfix.cmd после перезагрузитесь и повторити логи начиная с п.11 правил.
-
-
Сообщение от
Зайцев Олег
Следы AVZGuard сами проявляются - система ругается, что драйвер не найден в ходе загрузки. Если предложенный алгоритм не помогает, я советую еще раз снять логи, так сказать текущее состояние дел ... И еще вопрос - восстановление системы перед удалением файлов отключалось (в правилах прописано, как его отключить)
Действительно очень похожее на это явление наблюдалось. После перезагрузки с включённым AVZGuard и ВЫключенной системой восстановления Windows выбрасывал сообщение, что не может найти файл
C:\WINDOWS\Nail.exe. Но, правда, недолго он его "искал". Всего пару перезагрузок в рабочем порядке и он тут как тут
-
-
Сообщение от
RiC
Скачайте
NailFix, распакуйте архив Nailfix.zip в отдельный каталог, запустите nailfix.cmd после перезагрузитесь и повторити логи начиная с п.11 правил.
Всё сделал в точности как просили. Логи повторил и прикладываю ниже.
Последний раз редактировалось senior; 21.04.2006 в 12:26.
-
-
Сообщение от
senior
Всё сделал в точности как просили. Логи повторил и прикладываю ниже.
Вот эти файлы нужно прислать для анализа:
c:\windows\system32\ffmwkxc.exe
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll
-
-
Сообщение от
senior
"На всякий пожарный" буду благодарен, если "расшифруете" термин "звери".
Под словом "звери" я имел ввиду вредоносные программы вообще, а не какой-то отдельный вид. Виды вредоносных программ описаны тут: http://virusinfo.info/showthread.php?t=1430.
-
-
Visiting Helper
- Вес репутации
- 76
Сообщение от
senior
А скажика размер инсталлера в байтах чтоб я сравнил.. здается мне что 1 раз скачивая он побился на прокси и теперь прокси из кеша выдает огрызок.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Visiting Helper
- Вес репутации
- 76
А что это за чудо драйвер?
sptd Работает \SystemRoot\System32\Drivers\sptd.sys Boot Bus Extender
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Visiting Helper
- Вес репутации
- 76
Давайте с конца начнем:
1. Запускаем HijackTthis
2. запускаем AVZ+AVZGuard
3. убиваем Explorere.exe
4. в HijackThis ставим галочки на
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [bqkplvf] C:\WINDOWS\system32\ffmwkxc.exe r
O4 - Global Startup: hpoddt01.exe.lnk = ?
5. Жмем Fix It
6. Нажимаем ресет
Смотрим...
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Сообщение от
Зайцев Олег
Вот эти файлы нужно прислать для анализа:
c:\windows\system32\ffmwkxc.exe
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll
В карантин были добавлены только эти 2 файла:
C:\WINDOWS\system32\crc32.dll
C:\WINDOWS\FotkiContext23.dll
2 других в карантин добавить не возможно (сделал 2 попытки) и в при просмотре карантина мною замечены не были:
c:\windows\system32\ffmwkxc.exe
C:\Program Files\Acceleration Software\Anti-Virus\dsshell0.dll
Добавленные файлы заархивировал и выслал для анализа.
-
-
Сообщение от
kps
Ага, теперь понятно! Хотя звери, по своей сути, добрые существа Здесь скорее подходит термин "нелюди" , отвлекающие нормальных людей от дел насущных и крадущих у них драгоценное время, которое можно было бы посвятить созиданию или просто погулять с собачкой на свежем воздухе... Большущее Вам спасибо за эту ценную и подробную информацию и за сам сайт Олега Зайцева "Информационная безопасность", а раз проинформирован - значит ПРЕДУПРЕЖДЁН от нелепых ошибок!
-
-
Сообщение от
Sanja
А скажика размер инсталлера в байтах чтоб я сравнил.. здается мне что 1 раз скачивая он побился на прокси и теперь прокси из кеша выдает огрызок.
kav6.ru.msi - 12390 Kb
kis6.ru.msi - 12947 Kb
-