NOD_32 Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 Помогите кто-нибудь!!! Здраствуйте!!! у меня такая проблема: Пришло письмо от друга ссылкой, я по ней перешёл, там якобы "антиспам" был. и его конечно же doh.gif запустил и через некоторое время в браузере выскочило окошко:"Ваш браузер заблокирован. пошлите смс с кодом бла-бла-бла на номер бла-бла-бла, полученный код введите в окно...". после этого ни одна страница не открывается.... пробовал через другие браузеры, не помогает... прошёл все пункты по правилам в этой теме http://www.softboard.ru/index.php?showtopic=59239 , получилось у меня 4 скрипта.. а что мне с ними делать?? подскажите, пожалуйста!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 Ну разве трудно прочитать? И поступить, как указано? Ссылка на комментарий Поделиться на другие сайты Поделиться
Chizh Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 выкладывай их сюда Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 28 мая, 2009 Автор Жалоба Поделиться Опубликовано 28 мая, 2009 После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска. (да, есть такое) 8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt (вот этот пункт вообще не понимаю) вот те файлы, которые у меня получились.. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Cameroon Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 C:\Documents and Settings\Макс\Рабочий стол\Макс.exe - это переименованный антивирус? Пользуетесь программой Alcohol120%? Закройте браузеры и почистите все темпы. Эти модули установились предположительно с программой DaemonTools: C:\Program Files\Save\Save.exeC:\Program Files\WhenUSearch\Search.exe Являются AdWare. Желательно установить DaemonToоls-Lite, он без шпионских модулей и по функционалу такой же. Проверьте этот файл на virustotal.com: C:\WINDOWS\system32\DRIVERS\atksgt.sys Посмотрите, сможете ли найти файлы: C:\WINDOWS\System32\Drivers\aw10kv19.SYSC:\WINDOWS\system32\drivers\Oreans.sys Если да, то их тоже проверьте. Выполните скрипт АВЗ (Файл - Выполнить Скрипт), скопировав в появившееся окно нижеприведенный текст: beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearHostsFile;QuarantineFile('C:\WINDOWS\system32\PnkBstrA.exe',' ');QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys',' ');QuarantineFile('C:\WINDOWS\system32\02FE.tmp',' ');QuarantineFile('C:\Program Files\Save\Save.exe',' ');QuarantineFile('C:\WINDOWS\system32\rebuild.exe',' ');QuarantineFile('C:\WINDOWS\System32\Drivers\aw10kv19.SYS',' ');QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys',' ');DeleteFile('C:\WINDOWS\system32\PnkBstrA.exe');DeleteFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys');DeleteFile('C:\WINDOWS\system32\02FE.tmp');DeleteFile('C:\Program Files\Save\Save.exe');DeleteFile('C:\WINDOWS\system32\rebuild.exe');RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;BC_DeleteSvc('atksgt'); BC_DeleteSvc('iammcc'); BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Будет также отключен автозапуск со съемных носителей (для безопасности). Сделайте повторные логи и решим что делать дальше. Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 28 мая, 2009 Автор Жалоба Поделиться Опубликовано 28 мая, 2009 так, я мего-кран во всём, что связано с компами, поэтому... 1.C:\Documents and Settings\Макс\Рабочий стол\Макс.exe-это HijackThis 2.Алкоголом пользуюсь. Почистить темпы- это удалить все образы? 3. как я понял, мне снести демон тулс и установить другой? 4. где выполнить скрипт?) :rolleyes: Ссылка на комментарий Поделиться на другие сайты Поделиться
Cameroon Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 как я понял, мне снести демон тулс и установить другой? У вас, судя по всему, DaemonToolsPro, удалите его и установите этот. Тэмпы можно почистить этой программой: CCleaner где выполнить скрипт?) Открывайте программу avz4. В ней меню Файл -> Выполнить скрипт. Текст, написанный в красной рамке копируйте и вставляйте в появившееся окно avz4. Потом нажмите в нем Запустить. Программа немного поколдует, затем система автоматически перезагрузится. После этого сделайте еще раз повторные логи по правилам. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 (изменено) Предыдущий скрипт должен был помочь. Но похоже у Вас еще и Кидо Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Изменено 28 мая, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
Cameroon Опубликовано 28 мая, 2009 Жалоба Поделиться Опубликовано 28 мая, 2009 (изменено) Оффтоп Елки-палки, ExecuteSysClean забыл... :rolleyes: хвосты почистим следующим заходом Изменено 28 мая, 2009 пользователем Cameroon Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 29 мая, 2009 Автор Жалоба Поделиться Опубликовано 29 мая, 2009 Спасибо ОГРОМНОЕ Вам!!! ))) Я переустановил Демон Тулс, скачал прогу для очистки темпов,вродекак очистил..) потом вставил скрипт, перезагрзился компьютер и всё работает))) спасибо, спасибо, спасибо)) Ссылка на комментарий Поделиться на другие сайты Поделиться
Cameroon Опубликовано 29 мая, 2009 Жалоба Поделиться Опубликовано 29 мая, 2009 сделайте повторные логи. выложите здесь. проверим хвосты. Один файл вернем на место. Откройте avz4. В нем командк: Файл -> Просмотр карантина. В появившемся окне найдите файл: C:\WINDOWS\system32\DRIVERS\atksgt.sys Отметьте его галочкой и нажмите Восстановить. Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 29 мая, 2009 Автор Жалоба Поделиться Опубликовано 29 мая, 2009 не могу только найти новый info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 29 мая, 2009 Жалоба Поделиться Опубликовано 29 мая, 2009 Еще раз повторяю - у Вас Кидо Прямое чтение C:\WINDOWS\system32\qdevrqv.dll Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 29 мая, 2009 Автор Жалоба Поделиться Опубликовано 29 мая, 2009 вот, вроде он ___.log ___.log Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 29 мая, 2009 Жалоба Поделиться Опубликовано 29 мая, 2009 Активного Кидо не оказалось. Это, наверное его остатки. Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\qdevrqv.dll','');DeleteFile('C:\WINDOWS\system32\qdevrqv.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделать новые логи Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 30 мая, 2009 Автор Жалоба Поделиться Опубликовано 30 мая, 2009 у меня упорно не хочет на этот сайт отправляь ничего.. точнее не хочет регаться на рамблере) Ссылка на комментарий Поделиться на другие сайты Поделиться
Cameroon Опубликовано 30 мая, 2009 Жалоба Поделиться Опубликовано 30 мая, 2009 Кидо качает трояны на комп. Вполне возможно, что он заражен заново. Скрипт выполнили? Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 30 мая, 2009 Автор Жалоба Поделиться Опубликовано 30 мая, 2009 вот последние скрипты. только что сделал info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 30 мая, 2009 Жалоба Поделиться Опубликовано 30 мая, 2009 (изменено) XPSecurityCenter давно у Вас? :blush2: Пофиксить в HiJack F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\WhenUSearch\search.dll (file missing)O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hideO4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries2.zip','');QuarantineFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries1.zip','');QuarantineFile('C:\Program Files\Save\Save.exe','');QuarantineFile('C:\WINDOWS\system32\02FE.tmp','');DeleteService('piammcc');DeleteFile('C:\WINDOWS\system32\02FE.tmp');DeleteFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries1.zip');DeleteFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries2.zip');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('piammcc');BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи. Логи AVZ делать полиморфной версией из моей подписи Изменено 30 мая, 2009 пользователем thyrex Ссылка на комментарий Поделиться на другие сайты Поделиться
NOD_32 Опубликовано 30 мая, 2009 Автор Жалоба Поделиться Опубликовано 30 мая, 2009 хорошо сказали, я всё понял xD особенно про полиморфную подпись..=) XP секьюрите центр?честно говоря- не помню Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 30 мая, 2009 Жалоба Поделиться Опубликовано 30 мая, 2009 Хорошо сказали - полиморфная подпись :blush2: Подпись - это все, что ниже "--------------------" Там есть строка Полиморфный AVZ и две ссылки на него Ссылка на комментарий Поделиться на другие сайты Поделиться
Dr.Freid Опубликовано 17 июня, 2009 Жалоба Поделиться Опубликовано 17 июня, 2009 :bleh: Там есть строка Полиморфный AVZ и две ссылки на него Беда в том, что любая попытка перейти на сайт со ссылкой для скачивания антивируса ведёт к сбою IE. Иными словами, "Невозможно отобразить страницу"... Что делать??? Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 17 июня, 2009 Жалоба Поделиться Опубликовано 17 июня, 2009 Попробовать скачаить в другом браузере Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 18 июня, 2009 Жалоба Поделиться Опубликовано 18 июня, 2009 вообщето ссылка на файлообменники, они что тоже блокируются? Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти