Лилия Опубликовано 10 января, 2011 Жалоба Поделиться Опубликовано 10 января, 2011 Здравствуйте! Не получается удалить вирус backdoor.Tdss.565. Точнее, и Dr.Web и AVPTool его находят, вроде бы обезвреживают или нейтрализуют, но при каждом новом запуске Windows, если запустить тот же сканер DrWeb или утилиту CureIt, все повторяется по-новой. процесс в памяти c:\windows\system32\svchost.exe:1060 backdoor.Tdss.565 Файл virusinfo_syscheck.zip почему-то не прикрепляется. Может быть, что-то не так сделала. :blush2: Попробую еще раз. Помогите, пожалуйста, справиться с этой проблемой. С уважением, Лилия virusinfo_syscure.zip info.txt log.txt virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 10 января, 2011 Автор Жалоба Поделиться Опубликовано 10 января, 2011 Прикрепляю файл virusinfo_syscheck.zip. virusinfo_syscheck.zip virusinfo_syscheck.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
icotonev Опубликовано 10 января, 2011 Жалоба Поделиться Опубликовано 10 января, 2011 (изменено) Добрый вечер..! Выполните проверку системы с Утилита TDSSKiller(Прикрепите лог) Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." Изменено 10 января, 2011 пользователем icotonev Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 10 января, 2011 Автор Жалоба Поделиться Опубликовано 10 января, 2011 Добрый вечер..! Добрый вечер. TDSSKiller проверку выполнила, лог не найду. Вот, что было в отчете: C:\WINDOWS\system32\DRIVERS\atapi.sys - скопирован в карантин C:\WINDOWS\system32\Drivers\sptd.sys - скопирован в карантин \HardDisk0 - будет вылечен при перезагрузке Комп перегрузился. Combofix запустила, но чего-то ему сразу не хватило, потребовалась загрузка какой-то программы с сайта Microsoft. Файл ComboFix.txt прикладываю. По-моему, там как-то все не весело ComboFix.txt ComboFix.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 11 января, 2011 Жалоба Поделиться Опубликовано 11 января, 2011 Здравствуйте, Лилия! Добрый вечер.TDSSKiller проверку выполнила, лог не найду. По умолчанию лог должен был сохраниться в корне системного диска, то есть C: Проверьте файлы на www.virustotal.com и дайте ссылки на результаты проверок. c:\windows\regedit.exec:\windows\explorer.exe Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. File::c:\windows\DUMP3847.tmpc:\windows\DUMP6d7f.tmpc:\windows\DUMP756e.tmpc:\windows\DUMP5311.tmpc:\windows\DUMP398e.tmpc:\windows\DUMP33a2.tmpc:\windows\DUMP39fb.tmpc:\windows\DUMP48d0.tmpc:\windows\DUMP2c30.tmpc:\windows\DUMP6292.tmpc:\windows\DUMP31ce.tmpc:\windows\DUMP4bdd.tmpc:\windows\DUMP3c8c.tmpc:\windows\DUMP6e89.tmpc:\windows\DUMP3bc0.tmpc:\windows\DUMP4f58.tmpc:\windows\DUMP6e88.tmpc:\windows\DUMP3846.tmpc:\windows\DUMP6d40.tmpc:\windows\DUMP2e82.tmpc:\windows\DUMP34fa.tmpc:\windows\DUMP4f29.tmpc:\windows\DUMP4bed.tmpc:\windows\DUMP2f5d.tmpc:\windows\DUMP2579.tmpc:\windows\DUMP2a5b.tmpFCopy::c:\windows\system32\dllcache\atapi.sys | c:\windows\system32\drivers\atapi.sys После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 11 января, 2011 Автор Жалоба Поделиться Опубликовано 11 января, 2011 Здравствуйте, Лилия! По умолчанию лог должен был сохраниться в корне системного диска, то есть C: Ура, нашла лог. :blush2: Прикладываю. TDSSKiller.2.4.12.0_10.01.2011_18.32.17_log.txt TDSSKiller.2.4.12.0_10.01.2011_18.32.17_log.txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 11 января, 2011 Автор Жалоба Поделиться Опубликовано 11 января, 2011 Проверьте файлы на www.virustotal.com и дайте ссылки на результаты проверок. File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: f8485fea89169d7bab5394aa661e9df5 Date first seen: 2009-05-26 00:35:22 (UTC) Date last seen: 2011-01-03 20:38:01 (UTC) Detection ratio: 6/43 What do you wish to do? я написала "View latest report" Вот, что мне выдал сайт: https://www.virustotal.com/file-scan/report.html?id=f15b0eebb917dfee2c791575a2592dd7d2119ba22d58e076d3884c1a3f2983c7-1294087081 Про файл explorer он пишет то же самое... File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: 654cec4951d1b505c84abb294709a83c Date first seen: 2009-05-01 17:58:07 (UTC) Date last seen: 2009-05-01 17:58:07 (UTC) Detection ratio: 0/40 What do you wish to do? Отметила " Vew latest report/ Вот ссылка: http://www.virustotal.com/file-scan/report.html?id=a561eaae8c7716b9ebdd33b06e41122b9023d4c40546e12e41a9b99828a2a8be-1241193487 ФайлCFScript.txt на рабочий стол сохранила. Кошмар какой-то... :dontgetit: Остальное постараюсь сделать После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. сейчас отправлю СПАСИБО ВАМ огромное. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 12 января, 2011 Автор Жалоба Поделиться Опубликовано 12 января, 2011 Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Хорошо, что успела, ответить, а то после запуска этой программы, ComboFix, все и отключилось... Прикрепляю файл ComboFix, если найду его. Если это то.... Нашла!!! :rolleyes: Вообще, похоже, ято backdoor отвязался... Но, видимо он (или что-то еще) напакостил порядочно на компьютере. :mad: Еще раз спасибо!!! ComboFix.rar ComboFix.rar Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 12 января, 2011 Жалоба Поделиться Опубликовано 12 января, 2011 Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу. Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 14 января, 2011 Автор Жалоба Поделиться Опубликовано 14 января, 2011 Загрузите GMER по одной из указанных ссылок После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Спасибо большое. Вроде бы все сделала... Логи прилагаю. С уважением, Лилия Gmer_scan.log mbam-log-2011-01-14 (23-14-02).txt Gmer_scan.log mbam-log-2011-01-14 (23-14-02).txt Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 14 января, 2011 Жалоба Поделиться Опубликовано 14 января, 2011 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь. Лилия, нужно будет заменить эти файлы на "чистые" с установочного диска Windows или аналогичной системы.Как произвести замену системных файлов c:\windows\regedit.exec:\windows\system32\drivers\atapi.sys У вас есть установочный диск Windows? Вставьте установочный диск Windows XP. Загрузитесь в Консоли восстановления Введите: expand X:\i386\atapi.sy_ c:\windows\system32\dllcache\atapi.sys expand X:\i386\atapi.sy_ c:\windows\system32\drivers\atapi.sys expand X:\i386\regedit.ex_ c:\windows\system32\dllcache\regedit.exe expand X:\i386\regedit.ex_ c:\windows\regedit.exe где X:\ - буква CD/DVD-привода. Подтвердите переписывание файлов. Чтобы выйти из консоли восстановления введите exit и нажмите клавишу ВВОД (ENTER). Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 17 января, 2011 Автор Жалоба Поделиться Опубликовано 17 января, 2011 Деинсталлируйте ComboFix Скачайте OTCleanIt, запустите Обновите Internet Explorer до восьмой версии. Деинсталировала ComboFix Запустила OTCleanIt Explorer обновила. А вот дальше - проблемы. Мне устанавливали Windows в компьютерной фирме, но загрузочный диск не дали. Помню, что меня это тогда удивило, но почему не дали, я не помню. Теперь уж как есть. :dontgetit: Кроме того, он мне вообще не понравился, уж больно накрученный... Но сразу не переустановила, поэтому сейчас бы не хотелось. У меня есть загрузочный Windows, но не тот, что установлен. Как поступить??? С уважением, Лилия Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 17 января, 2011 Жалоба Поделиться Опубликовано 17 января, 2011 (изменено) У меня есть загрузочный Windows, но не тот, что установлен. Как поступить??? С уважением,Лилия Произведите замену файлов, загрузившись с этого диска (в BIOS необходимо выставить загрузку с CD-DVD привода). Необходимые файлы atapi.sys и regedit.exe находятся во вложении, в архиве файлы.zip Распакуйте архив с файлами в отдельную папку. 1.Скопируйте оба файла из вложения (atapi.sys и regedit.exe) с заменой в папку c:\windows\system32\dllcache\ 2.Файл atapi.sys скопируйте в папку c:\windows\system32\drivers\ 3.Файл regedit.exe скопируйте в папку c:\windows\ файлы.zip файлы.zip Изменено 17 января, 2011 пользователем zirreX Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 18 января, 2011 Автор Жалоба Поделиться Опубликовано 18 января, 2011 Произведите замену файлов, загрузившись с этого диска (в BIOS необходимо выставить загрузку с CD-DVD привода). Необходимые файлы atapi.sys и regedit.exe находятся во вложении, в архиве файлы.zip Распакуйте архив с файлами в отдельную папку. 1.Скопируйте оба файла из вложения (atapi.sys и regedit.exe) с заменой в папку c:\windows\system32\dllcache\ 2.Файл atapi.sys скопируйте в папку c:\windows\system32\drivers\ 3.Файл regedit.exe скопируйте в папку c:\windows\ Вроде бы сделала. Но папки c:\windows\system32\dllcache\ я не нашла, даже в скрытых. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
zirreX Опубликовано 18 января, 2011 Жалоба Поделиться Опубликовано 18 января, 2011 Вроде бы сделала. Но папки c:\windows\system32\dllcache\ я не нашла, даже в скрытых. В "cборках" Windows часто отсутствует папка dllcache. Главное это: 2.Файл atapi.sys скопируйте в папку c:\windows\system32\drivers\3.Файл regedit.exe скопируйте в папку c:\windows\ Как работает система? Проблемы еще есть? Создайте новую контрольную точку восстановления и удалите зараженную: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы: Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 1 февраля, 2011 Автор Жалоба Поделиться Опубликовано 1 февраля, 2011 Как работает система? Проблемы еще есть? Здравствуйте! Простите, пожалуйста, раньше не было никакой возможности добраться до чистки компьютера. Вроде бы все сделала. Файлы заменила, ATF Cleaner запустила. Точку восстановления тоже создала, старые уничтожила. Но компьютер продолжает как-то не очень адекватно работать. Прежних проблем, конечно, нет. Но тормозит почему-то ужасно, например, почта на Яндексе, долго открываются окна, из панели задач не открывается Эксплорер (вообще не открывается). Примерно так... С уважением, Лилия Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edde Опубликовано 2 февраля, 2011 Жалоба Поделиться Опубликовано 2 февраля, 2011 Сделайте комплект логов. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 2 февраля, 2011 Автор Жалоба Поделиться Опубликовано 2 февраля, 2011 Сделайте комплект логов. Вы имеете в виду повторить все с самого начала? CureIT -- AVZ -- HijackThis и так далее??? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Yezhishe Опубликовано 3 февраля, 2011 Жалоба Поделиться Опубликовано 3 февраля, 2011 Не повторить, а сделать согласно правил. Не более того... Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sfera Опубликовано 3 февраля, 2011 Жалоба Поделиться Опубликовано 3 февраля, 2011 Вы имеете в виду повторить все с самого начала? CureIT -- AVZ -- HijackThis и так далее??? нужны логи AVZ, RSIT и HijackThis Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 12 февраля, 2011 Автор Жалоба Поделиться Опубликовано 12 февраля, 2011 нужны логи AVZ, RSIT и HijackThis Выкладываю логи. СПАСИБО! С уважением, Лилия info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 27 февраля, 2011 Жалоба Поделиться Опубликовано 27 февраля, 2011 Выполните скрипт в AVZ beginBC_DeleteSvc('sfc');BC_DeleteSvcReg('sfc');BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Больше придраться не к чему Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Лилия Опубликовано 18 марта, 2011 Автор Жалоба Поделиться Опубликовано 18 марта, 2011 thyrex Выполните скрипт в AVZ Больше придраться не к чему Простите за задержку с ответом. Наконец-то была в долгожданном отпуске :D Огромное спасибо за помощь!!! С уважением, Лилия Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.