NOD_32 Posted May 28, 2009 Report Share Posted May 28, 2009 Помогите кто-нибудь!!! Здраствуйте!!! у меня такая проблема: Пришло письмо от друга ссылкой, я по ней перешёл, там якобы "антиспам" был. и его конечно же doh.gif запустил и через некоторое время в браузере выскочило окошко:"Ваш браузер заблокирован. пошлите смс с кодом бла-бла-бла на номер бла-бла-бла, полученный код введите в окно...". после этого ни одна страница не открывается.... пробовал через другие браузеры, не помогает... прошёл все пункты по правилам в этой теме http://www.softboard.ru/index.php?showtopic=59239 , получилось у меня 4 скрипта.. а что мне с ними делать?? подскажите, пожалуйста!!! Link to comment Share on other sites More sharing options...
Yezhishe Posted May 28, 2009 Report Share Posted May 28, 2009 Ну разве трудно прочитать? И поступить, как указано? Link to comment Share on other sites More sharing options...
Chizh Posted May 28, 2009 Report Share Posted May 28, 2009 выкладывай их сюда Link to comment Share on other sites More sharing options...
NOD_32 Posted May 28, 2009 Author Report Share Posted May 28, 2009 После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска. (да, есть такое) 8. Создайте тему в ветке «Лечение систем от компьютерных вирусов» и присоедините полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt (вот этот пункт вообще не понимаю) вот те файлы, которые у меня получились.. info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
Cameroon Posted May 28, 2009 Report Share Posted May 28, 2009 C:\Documents and Settings\Макс\Рабочий стол\Макс.exe - это переименованный антивирус? Пользуетесь программой Alcohol120%? Закройте браузеры и почистите все темпы. Эти модули установились предположительно с программой DaemonTools: C:\Program Files\Save\Save.exeC:\Program Files\WhenUSearch\Search.exe Являются AdWare. Желательно установить DaemonToоls-Lite, он без шпионских модулей и по функционалу такой же. Проверьте этот файл на virustotal.com: C:\WINDOWS\system32\DRIVERS\atksgt.sys Посмотрите, сможете ли найти файлы: C:\WINDOWS\System32\Drivers\aw10kv19.SYSC:\WINDOWS\system32\drivers\Oreans.sys Если да, то их тоже проверьте. Выполните скрипт АВЗ (Файл - Выполнить Скрипт), скопировав в появившееся окно нижеприведенный текст: beginSearchRootkit(true, true);SetAVZGuardStatus(true);ClearHostsFile;QuarantineFile('C:\WINDOWS\system32\PnkBstrA.exe',' ');QuarantineFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys',' ');QuarantineFile('C:\WINDOWS\system32\02FE.tmp',' ');QuarantineFile('C:\Program Files\Save\Save.exe',' ');QuarantineFile('C:\WINDOWS\system32\rebuild.exe',' ');QuarantineFile('C:\WINDOWS\System32\Drivers\aw10kv19.SYS',' ');QuarantineFile('C:\WINDOWS\system32\drivers\Oreans.sys',' ');DeleteFile('C:\WINDOWS\system32\PnkBstrA.exe');DeleteFile('C:\WINDOWS\system32\DRIVERS\atksgt.sys');DeleteFile('C:\WINDOWS\system32\02FE.tmp');DeleteFile('C:\Program Files\Save\Save.exe');DeleteFile('C:\WINDOWS\system32\rebuild.exe');RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;BC_DeleteSvc('atksgt'); BC_DeleteSvc('iammcc'); BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Будет также отключен автозапуск со съемных носителей (для безопасности). Сделайте повторные логи и решим что делать дальше. Link to comment Share on other sites More sharing options...
NOD_32 Posted May 28, 2009 Author Report Share Posted May 28, 2009 так, я мего-кран во всём, что связано с компами, поэтому... 1.C:\Documents and Settings\Макс\Рабочий стол\Макс.exe-это HijackThis 2.Алкоголом пользуюсь. Почистить темпы- это удалить все образы? 3. как я понял, мне снести демон тулс и установить другой? 4. где выполнить скрипт?) :rolleyes: Link to comment Share on other sites More sharing options...
Cameroon Posted May 28, 2009 Report Share Posted May 28, 2009 как я понял, мне снести демон тулс и установить другой? У вас, судя по всему, DaemonToolsPro, удалите его и установите этот. Тэмпы можно почистить этой программой: CCleaner где выполнить скрипт?) Открывайте программу avz4. В ней меню Файл -> Выполнить скрипт. Текст, написанный в красной рамке копируйте и вставляйте в появившееся окно avz4. Потом нажмите в нем Запустить. Программа немного поколдует, затем система автоматически перезагрузится. После этого сделайте еще раз повторные логи по правилам. Link to comment Share on other sites More sharing options...
thyrex Posted May 28, 2009 Report Share Posted May 28, 2009 (edited) Предыдущий скрипт должен был помочь. Но похоже у Вас еще и Кидо Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Edited May 28, 2009 by thyrex Link to comment Share on other sites More sharing options...
Cameroon Posted May 28, 2009 Report Share Posted May 28, 2009 (edited) Оффтоп Елки-палки, ExecuteSysClean забыл... :rolleyes: хвосты почистим следующим заходом Edited May 28, 2009 by Cameroon Link to comment Share on other sites More sharing options...
NOD_32 Posted May 29, 2009 Author Report Share Posted May 29, 2009 Спасибо ОГРОМНОЕ Вам!!! ))) Я переустановил Демон Тулс, скачал прогу для очистки темпов,вродекак очистил..) потом вставил скрипт, перезагрзился компьютер и всё работает))) спасибо, спасибо, спасибо)) Link to comment Share on other sites More sharing options...
Cameroon Posted May 29, 2009 Report Share Posted May 29, 2009 сделайте повторные логи. выложите здесь. проверим хвосты. Один файл вернем на место. Откройте avz4. В нем командк: Файл -> Просмотр карантина. В появившемся окне найдите файл: C:\WINDOWS\system32\DRIVERS\atksgt.sys Отметьте его галочкой и нажмите Восстановить. Link to comment Share on other sites More sharing options...
NOD_32 Posted May 29, 2009 Author Report Share Posted May 29, 2009 не могу только найти новый info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
thyrex Posted May 29, 2009 Report Share Posted May 29, 2009 Еще раз повторяю - у Вас Кидо Прямое чтение C:\WINDOWS\system32\qdevrqv.dll Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Если не будет запускаться, попробуйте переименовать gmer.exe, например, в game.exe Link to comment Share on other sites More sharing options...
NOD_32 Posted May 29, 2009 Author Report Share Posted May 29, 2009 вот, вроде он ___.log ___.log Link to comment Share on other sites More sharing options...
thyrex Posted May 29, 2009 Report Share Posted May 29, 2009 Активного Кидо не оказалось. Это, наверное его остатки. Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\qdevrqv.dll','');DeleteFile('C:\WINDOWS\system32\qdevrqv.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделать новые логи Link to comment Share on other sites More sharing options...
NOD_32 Posted May 30, 2009 Author Report Share Posted May 30, 2009 у меня упорно не хочет на этот сайт отправляь ничего.. точнее не хочет регаться на рамблере) Link to comment Share on other sites More sharing options...
Cameroon Posted May 30, 2009 Report Share Posted May 30, 2009 Кидо качает трояны на комп. Вполне возможно, что он заражен заново. Скрипт выполнили? Link to comment Share on other sites More sharing options...
NOD_32 Posted May 30, 2009 Author Report Share Posted May 30, 2009 вот последние скрипты. только что сделал info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
thyrex Posted May 30, 2009 Report Share Posted May 30, 2009 (edited) XPSecurityCenter давно у Вас? :blush2: Пофиксить в HiJack F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\WhenUSearch\search.dll (file missing)O4 - HKLM\..\Run: [XP SecurityCenter] "C:\Program Files\XPSecurityCenter\XPSecurityCenter.exe" /hideO4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe" Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries2.zip','');QuarantineFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries1.zip','');QuarantineFile('C:\Program Files\Save\Save.exe','');QuarantineFile('C:\WINDOWS\system32\02FE.tmp','');DeleteService('piammcc');DeleteFile('C:\WINDOWS\system32\02FE.tmp');DeleteFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries1.zip');DeleteFile('C:\Documents and Settings\Макс\Local Settings\Temp\Binaries2.zip');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('piammcc');BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи. Логи AVZ делать полиморфной версией из моей подписи Edited May 30, 2009 by thyrex Link to comment Share on other sites More sharing options...
NOD_32 Posted May 30, 2009 Author Report Share Posted May 30, 2009 хорошо сказали, я всё понял xD особенно про полиморфную подпись..=) XP секьюрите центр?честно говоря- не помню Link to comment Share on other sites More sharing options...
thyrex Posted May 30, 2009 Report Share Posted May 30, 2009 Хорошо сказали - полиморфная подпись :blush2: Подпись - это все, что ниже "--------------------" Там есть строка Полиморфный AVZ и две ссылки на него Link to comment Share on other sites More sharing options...
Dr.Freid Posted June 17, 2009 Report Share Posted June 17, 2009 :bleh: Там есть строка Полиморфный AVZ и две ссылки на него Беда в том, что любая попытка перейти на сайт со ссылкой для скачивания антивируса ведёт к сбою IE. Иными словами, "Невозможно отобразить страницу"... Что делать??? Link to comment Share on other sites More sharing options...
thyrex Posted June 17, 2009 Report Share Posted June 17, 2009 Попробовать скачаить в другом браузере Link to comment Share on other sites More sharing options...
ТроПа Posted June 18, 2009 Report Share Posted June 18, 2009 вообщето ссылка на файлообменники, они что тоже блокируются? Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now