Jump to content
СофтФорум - всё о компьютерах и не только

Помогите кто-нибудь!


Recommended Posts

Помогите кто-нибудь!!! Здраствуйте!!! у меня такая проблема: Пришло письмо от друга ссылкой, я по ней перешёл, там якобы "антиспам" был. и его конечно же doh.gif запустил и через некоторое время в браузере выскочило окошко:"Ваш браузер заблокирован. пошлите смс с кодом бла-бла-бла на номер бла-бла-бла, полученный код введите в окно...". после этого ни одна страница не открывается....

пробовал через другие браузеры, не помогает...

прошёл все пункты по правилам в этой теме http://www.softboard.ru/index.php?showtopic=59239 , получилось у меня 4 скрипта.. а что мне с ними делать?? подскажите, пожалуйста!!!

Link to comment
Share on other sites

После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска. (да, есть такое)

8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt (вот этот пункт вообще не понимаю)

вот те файлы, которые у меня получились..

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

C:\Documents and Settings\Макс\Рабочий стол\Макс.exe - это переименованный антивирус?

Пользуетесь программой Alcohol120%?

Закройте браузеры и почистите все темпы.

Эти модули установились предположительно с программой DaemonTools:

C:\Program Files\Save\Save.exe

C:\Program Files\WhenUSearch\Search.exe

Являются AdWare.

Желательно установить DaemonToоls-Lite, он без шпионских модулей и по функционалу такой же.

Проверьте этот файл на virustotal.com:

C:\WINDOWS\system32\DRIVERS\atksgt.sys

Посмотрите, сможете ли найти файлы:

C:\WINDOWS\System32\Drivers\aw10kv19.SYS

C:\WINDOWS\system32\drivers\Oreans.sys

Если да, то их тоже проверьте.

Выполните скрипт АВЗ (Файл - Выполнить Скрипт), скопировав в появившееся окно нижеприведенный текст:

beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearHostsFile;QuarantineFile('C:\WINDOWS\system32\PnkBstrA.exe',' ');QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys',' ');QuarantineFile('C:\WINDOWS\system32\02FE.tmp',' ');QuarantineFile('C:\Program Files\Save\Save.exe',' ');QuarantineFile('C:\WINDOWS\system32\rebuild.exe',' ');QuarantineFile('C:\WINDOWS\System32\Drivers\aw10kv19.SYS',' ');QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys',' ');DeleteFile('C:\WINDOWS\system32\PnkBstrA.exe');DeleteFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys');DeleteFile('C:\WINDOWS\system32\02FE.tmp');DeleteFile('C:\Program Files\Save\Save.exe');DeleteFile('C:\WINDOWS\system32\rebuild.exe');RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;BC_DeleteSvc('atksgt'); BC_DeleteSvc('iammcc'); BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится. Будет также отключен автозапуск со съемных носителей (для безопасности).

Сделайте повторные логи и решим что делать дальше.

Link to comment
Share on other sites

так, я мего-кран во всём, что связано с компами, поэтому...

1.C:\Documents and Settings\Макс\Рабочий стол\Макс.exe-это HijackThis

2.Алкоголом пользуюсь. Почистить темпы- это удалить все образы?

3. как я понял, мне снести демон тулс и установить другой?

4. где выполнить скрипт?) :rolleyes:

Link to comment
Share on other sites

как я понял, мне снести демон тулс и установить другой?

У вас, судя по всему, DaemonToolsPro, удалите его и установите этот.

Тэмпы можно почистить этой программой:

CCleaner

где выполнить скрипт?)

Открывайте программу avz4.

В ней меню Файл -> Выполнить скрипт.

Текст, написанный в красной рамке копируйте и вставляйте в появившееся окно avz4.

Потом нажмите в нем Запустить.

Программа немного поколдует, затем система автоматически перезагрузится.

После этого сделайте еще раз повторные логи по правилам.

Link to comment
Share on other sites

Предыдущий скрипт должен был помочь.

Но похоже у Вас еще и Кидо

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Edited by thyrex
Link to comment
Share on other sites

Спасибо ОГРОМНОЕ Вам!!! ))) Я переустановил Демон Тулс, скачал прогу для очистки темпов,вродекак очистил..) потом вставил скрипт, перезагрзился компьютер и всё работает))) спасибо, спасибо, спасибо))

Link to comment
Share on other sites

сделайте повторные логи.

выложите здесь.

проверим хвосты.

Один файл вернем на место.

Откройте avz4.

В нем командк: Файл -> Просмотр карантина.

В появившемся окне найдите файл:

C:\WINDOWS\system32\DRIVERS\atksgt.sys

Отметьте его галочкой и нажмите Восстановить.

Link to comment
Share on other sites

Еще раз повторяю - у Вас Кидо

Прямое чтение C:\WINDOWS\system32\qdevrqv.dll

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe

Link to comment
Share on other sites

Активного Кидо не оказалось. Это, наверное его остатки.

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\qdevrqv.dll','');DeleteFile('C:\WINDOWS\system32\qdevrqv.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Сделать новые логи

Link to comment
Share on other sites

XPSecurityCenter давно у Вас? :blush2:

Пофиксить в HiJack

 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\WhenUSearch\search.dll (file missing)O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hideO4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" 

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries2.zip','');QuarantineFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries1.zip','');QuarantineFile('C:\Program Files\Save\Save.exe','');QuarantineFile('C:\WINDOWS\system32\02FE.tmp','');DeleteService('piammcc');DeleteFile('C:\WINDOWS\system32\02FE.tmp');DeleteFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries1.zip');DeleteFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries2.zip');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('piammcc');BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

Сделайте новые логи. Логи AVZ делать полиморфной версией из моей подписи

Edited by thyrex
Link to comment
Share on other sites

Хорошо сказали - полиморфная подпись :blush2:

Подпись - это все, что ниже "--------------------"

Там есть строка Полиморфный AVZ и две ссылки на него

Link to comment
Share on other sites

  • 3 weeks later...

:bleh:

Там есть строка Полиморфный AVZ и две ссылки на него

Беда в том, что любая попытка перейти на сайт со ссылкой для скачивания антивируса ведёт к сбою IE. Иными словами, "Невозможно отобразить страницу"... Что делать???

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...