Технический форум

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   помогите, есть подозрение (http://www.tehnari.ru/f35/t245758/)

dzaget 22.09.2009 00:01
помогите, есть подозрение
 
Здраствуйте, на днях словил "активацию windows по смс" с диском с антивирусом комп удалось таки включить. пошёл искать остался ли вирус, скачать avz4 самому не получаеться, по ссылке якобы пусто, скинул друг ( у него она спокойно открылась)

http://webfile.ru/3940150

01pump 22.09.2009 08:16
Цитата:
Сообщение от dzaget (Сообщение 92295)
Здраствуйте, на днях словил "активацию windows по смс" с диском с антивирусом комп удалось таки включить. пошёл искать остался ли вирус, скачать avz4 самому не получаеться, по ссылке якобы пусто, скинул друг ( у него она спокойно открылась)

http://webfile.ru/3940150
Вы перепуали архивы. Надо не virusinfo_cure а virusinfo_syscure

dzaget 22.09.2009 09:31
Однако в папке LOG ничего кроме virusinfo_cure.zip не появилось, видимо что то следал не так...попробую повторить перечитывая каждый пункт инструкции теперь по 3 раза.

01pump 22.09.2009 10:43
Цитата:
Сообщение от dzaget (Сообщение 92326)
Однако в папке LOG ничего кроме virusinfo_cure.zip не появилось, видимо что то следал не так...попробую повторить перечитывая каждый пункт инструкции теперь по 3 раза.
Упс... значит что то этому препятствует :o Тогда выполните скрипт не №3 а №2 (и пришлите архив virusinfo_syscheck.zip) Или же загрузитесь в Безопасный режим и в нем выполните стандартный скрипт №3 (архив virusinfo_syscure.zip)

dzaget 22.09.2009 15:50
Цитата:
Сообщение от 01pump (Сообщение 92330)
Упс... значит что то этому препятствует :o Тогда выполните скрипт не №3 а №2 (и пришлите архив virusinfo_syscheck.zip)
слова пугают , выполнил первый вариант

virusinfo_syscheck.zip
http://webfile.ru/3941900

01pump 22.09.2009 16:02
Цитата:
Сообщение от dzaget (Сообщение 92434)
слова пугают , выполнил первый вариант

virusinfo_syscheck.zip
http://webfile.ru/3941900
Меня пугают не слова, а то что в вашем компе сидит :D :o

Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('jtexo');
 DeleteFile('H:\WINDOWS\system32\01.tmp');
 DeleteFile('H:\WINDOWS\system32\csrcs.exe');
 DeleteFile('H:\WINDOWS\system32\qwalib.dll');
 DeleteFile('H:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{C3F23C45-0E50-4DA1-B53E-DD2721C655E2}');
 DelCLSID('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelCLSID('{C3F23C45-0E50-4DA1-B53E-DD2721C655E2}');
ExecuteSysClean;
RebootWindows(true);
end.
Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки скачайте утилитку http://exfile.ru/58970 Распакуйте.
Запустить программу .После автоматической экспресс-проверки, отметить только системный диск галочкой и нажать "Scan". После окончания проверки сохранить его лог (нажать на кнопку Save) и через файлообменник выложите сюда.

dzaget 22.09.2009 16:24
срипт выполняеться и пишет Failed to set data for 'DisplayName'
и не перегружает комп.
вопрос качать и делать то что вы написали в прошлом посте или это бессмысленно без полного выполнения скрипта?
к компьютеру вернусь только через 2.5 часа примерно.

01pump 22.09.2009 16:29
Цитата:
Сообщение от dzaget (Сообщение 92440)
срипт выполняеться и пишет Failed to set data for 'DisplayName'
и не перегружает комп.
вопрос качать и делать то что вы написали в прошлом посте или это бессмысленно без полного выполнения скрипта?
к компьютеру вернусь только через 2.5 часа примерно.
Хммм... :confused: Лог скачаной утилиткой 1c23 делать в обязательном порядке!!!.
Комп после скрипта можно и вручню перезагрузить. :)

ЗЫ Время не имеет значение. Главное выполняйте всё в полном обьеме

dzaget 22.09.2009 22:39
вот результат

http://webfile.ru/3943345

миня еще можно спасти? ;)

01pump 22.09.2009 22:52
Цитата:
Сообщение от dzaget (Сообщение 92600)
вот результат

http://webfile.ru/3943345

миня еще можно спасти? ;)
Можно... но только осторожно :D

Скачать этот файл http://exfile.ru/60791 и сохранить в одной папке вместе с утилиткой 1с23. Запустить этот скачанный файл dzag.bat Компьютер перезагрузится!!! После перезагрузки выполнить в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

dzaget 22.09.2009 23:17
если не считать 1 непонятной ошибки,

http://webfile.ru/3943497
( тут картинка, по другому не помню как выложить)
то всё прошло хорошо вот

http://webfile.ru/3943475

01pump 22.09.2009 23:25
dzaget,
Запустите снова avz: Файл-выполнить скрипт- в открывшееся окно внимательно!!! вставить текст:
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('jtexo');
DeleteFile('H:\WINDOWS\system32\01.tmp');
DeleteFile('H:\WINDOWS\system32\csrcs.exe');
DeleteFile('H:\WINDOWS\system32\qwalib.dll');
DeleteFile('H:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{C3F23C45-0E50-4DA1-B53E-DD2721C655E2}');
DelCLSID('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelCLSID('{C3F23C45-0E50-4DA1-B53E-DD2721C655E2}');
ExecuteSysClean;
RebootWindows(true);
end.
Затем нажимаем "Запустить" ПРОИЗОЙДЕТ ПЕРЕЗАГРУЗКА!!!!!

После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip еще выполните лог в hijackthis и пришлите hijackthis.log

dzaget 22.09.2009 23:45
вот virusinfo_syscheck.zip
http://webfile.ru/3943602

и вот лог hijackthis
http://webfile.ru/3943605

01pump 23.09.2009 08:21
dzaget, Вы скрипт лечения почему не выполнили?

01pump 23.09.2009 16:16
Цитата:
Сообщение от dzaget (Сообщение 92440)
срипт выполняеться и пишет Failed to set data for 'DisplayName'
и не перегружает комп.
Еще попробуйте вот это выполнить
Код:

begin
DeleteService('jtexo');
DeleteFile('H:\WINDOWS\system32\01.tmp');
DeleteFile('H:\WINDOWS\system32\csrcs.exe');
DeleteFile('H:\WINDOWS\system32\qwalib.dll');
DeleteFile('H:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelBHO('{C3F23C45-0E50-4DA1-B53E-DD2721C655E2}');
DelCLSID('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DelCLSID('{C3F23C45-0E50-4DA1-B53E-DD2721C655E2}');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

dzaget 23.09.2009 16:33
Цитата:
Сообщение от 01pump (Сообщение 92659)
dzaget, Вы скрипт лечения почему не выполнили?
выполнял всё по инструкции, однако во время скрипта как и во время первого
писало ошибку Failed to set data for 'DisplayName'

а вот ваш сегодняшний, выполнился до конца и сам перегрузил комп, что я думаю значит что он задачу выполнил, вот архив

http://webfile.ru/3945256

01pump 23.09.2009 16:46
Цитата:
Сообщение от dzaget (Сообщение 92764)
а вот ваш сегодняшний, выполнился до конца и сам перегрузил комп, что я думаю значит что он задачу выполнил, вот архив http://webfile.ru/3945256
Еще это выполнить
Код:

begin
DeleteService('yopcziat');
DeleteFile('H:\WINDOWS\system32\02.tmp');
ExecuteSysClean;
RebootWindows(true);
end.
выполните в avz стандартный скрипт №2 и пришлите архив virusinfo_syscheck.zip

dzaget 23.09.2009 19:12
выполнил

http://webfile.ru/3945875

01pump 23.09.2009 22:40
Цитата:
Сообщение от dzaget (Сообщение 92836)
выполнил

http://webfile.ru/3945875
Чисто в логе

Yohji 23.09.2009 23:21
Не знаю уж куда сисадмин фирмы смотрит Dr.Web поставил левый. Посмотрите плизз логи http://exfile.ru/60939 раз была проблема когда открывался пустой рабочий стол. 01pump вылечил бы как за здрасте, а сисадмин форматнул системный диск с данными за 3 !!!! года, сказав при этом что железо померло. Если обнаружатся проблемы в логе помогите избавиться, по возможности подскажите как не подцепить вирусяки из локалки. Комп Главбуха, инет сервак раздаёт (мин.60 пользователям) может роутер подарить :confused: Логи не новые, понимаю, на момент создания есть проблемы ? По необходимости свежие выложу.

01pump 23.09.2009 23:31
piton331,
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DeleteFile('C:\Documents and Settings\Преподаватель\Application Data\msmedia.dll');
DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe');
DelCLSID('{88888888-8888-8888-8888-888888888888}');
DelCLSID('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
ExecuteSysClean;
RebootWindows(true);
end.
После перезагрузки сделать новый лог

dzaget 24.09.2009 00:05
Цитата:
Сообщение от 01pump (Сообщение 92932)
Чисто в логе
огромное вам спасибо 01pump ! а что это примерно было и как по возможности это не подцепить впредь?


Часовой пояс GMT +4, время: 14:45.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.