Jump to content
СофтФорум - всё о компьютерах и не только

лечение систем от компьютерных вирусов


Recommended Posts

Хотела просканировать на вирусы в безопасном режиме,но не смогла зайти,на синем экране пишет:Stop:0*0000007в,нашла на этом сайте инструкцию,все сделала,получила логи,подскажите,пожалуйста,что это значит и что делать дальше?

info.txt

log.txt

hijackthis.log

info.txt

log.txt

hijackthis.log

Link to comment
Share on other sites

Проверьте систему с помощью http://www.freedrweb.com/livecd/

Повторите логи по правилам

выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');QuarantineFile('C:\WINDOWS\system32\21.exe','');QuarantineFile('C:\WINDOWS\system32\30.exe','');QuarantineFile('C:\WINDOWS\system32\76.exe','');QuarantineFile('C:\WINDOWS\system32\23.exe','');QuarantineFile('C:\WINDOWS\nigzss.txt','');QuarantineFile('C:\WINDOWS\system32\01.exe','');QuarantineFile('C:\WINDOWS\ggdrive32.exe','');QuarantineFile('C:\WINDOWS\system32\70.exe','');QuarantineFile('C:\WINDOWS\system32\58.exe','');QuarantineFile('C:\WINDOWS\system32\78.exe','');DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');DeleteFile('C:\WINDOWS\system32\21.exe');DeleteFile('C:\WINDOWS\system32\30.exe');DeleteFile('C:\WINDOWS\system32\76.exe');DeleteFile('C:\WINDOWS\system32\23.exe');DeleteFile('C:\WINDOWS\nigzss.txt');DeleteFile('C:\WINDOWS\system32\01.exe');DeleteFile('C:\WINDOWS\system32\70.exe');DeleteFile('C:\WINDOWS\system32\58.exe');DeleteFile('C:\WINDOWS\system32\78.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Коипьютер перезагрузится

После перезагрузки выполните второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Отправьте полученный файл quarantine.zip из папки AVZ с помощью этой формы копию карантина отправьте на myedde@mail.ru

Повторите логи

Проверьте систему с помощью http://www.freedrweb.com/livecd/

Повторите логи по правилам

Link to comment
Share on other sites

+ дополнительно выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\606152.exe');TerminateProcessByName('c:\docume~1\9335~1\locals~1\temp\725584.exe');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\606152.exe','');QuarantineFile('c:\docume~1\9335~1\locals~1\temp\725584.exe','');QuarantineFile('c:\windows\system32\drivers\knnqtl.sys','');QuarantineFile('c:\documents and settings\администратор\application data\bowcav.exe','');QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-1457\system.exe','');QuarantineFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');QuarantineFile('c:\recycler\s-1-5-21-4798872382-1618739266-062057287-1552\csisf.exe','');DeleteFile('c:\docume~1\9335~1\locals~1\temp\606152.exe');DeleteFile('c:\docume~1\9335~1\locals~1\temp\725584.exe');DeleteFile('c:\windows\system32\drivers\knnqtl.sys');DeleteFile('c:\documents and settings\администратор\application data\bowcav.exe');DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781863308-1457\system.exe');DeleteFile('c:\recycler\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');DeleteFile('c:\recycler\s-1-5-21-4798872382-1618739266-062057287-1552\csisf.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced EHTAL Enable');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Teswf');RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Taskman');DeleteService('abp470n5');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(11);ExecuteRepair(17);RebootWindows(true);end.

Компьютер будет перезагружен

Link to comment
Share on other sites

логи повторите, будем разбираться +

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Link to comment
Share on other sites

Тему нашел в присланном карантине обнаружен Backdoor.Win32.IRCBot.rsl

Систему dr web live-cd вы проверяли как вам было рекомендовано?

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Link to comment
Share on other sites

Спасибо за помощь,в безопасный режим теперь заходит,только почему-то все равно обнаруживаются вирусы при сканировании.Подскажите,надо еще что-нибудь делать?

Link to comment
Share on other sites

Вставьте диск с дистрибутивом windows в привод cd-dvd, в командной строке выполните

sfc /scannow

Дождитесь окончания проверки файлов системы

В авз выполните

beginExecuteRepair(20); ExecuteRepair(21);RebootWindows(true);end.

попробуйте все-же укачать dr.web live-cd выполнить проверку

Повторите сканирование мбам и обязательно удалите найденное.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

combofix-uninstall.jpg

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Link to comment
Share on other sites

Все сделала,как Вы написали,только не смогла dr.web live-cd выполнить проверку,т.к. не получается записать образ на СD.Затем просканировала на сканере доктор веб,получила такой результат:pkey.#xe C:\WINDOWS\system32 Tool.ProductKey.2 Неизлечим.Перемещен.

avz00001.dta D:\проверка на вирусы\avz4\Infected\2011-01-14 Trojan.Click1.18983 Неизлечим.Перемещен.

avz00002.dta D:\проверка на вирусы\avz4\Infected\2011-01-14 Trojan.Click1.18983 Неизлечим.Перемещен.

avz00003.dta D:\проверка на вирусы\avz4\Infected\2011-01-14 Trojan.Click1.18983 Неизлечим.Перемещен.

Link to comment
Share on other sites

Господи, для кого было написано удалить в мбам найденное? Вы постоянно пере-само-заражаетесь Удалите в мбам всё найденное , найдите способ записать болванку drweb live-cd проведите полное сканирование системы. Доложитесь о проделанной работе.

Link to comment
Share on other sites

Не могу скачать Doctor Web LivCD ни с одного сайта,когда нажимаю на ссылку-скачать,появляется окно:Запрашиваемая страница не существует.Другие программы скачиваются.

Link to comment
Share on other sites

Попробуйте эти ссылки

http://download.geo.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.3.iso

ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.3.iso

не поможет выполните скрипт

beginExecuteRepair(20);ExecuteRepair(21);RebootWindows(true);end.

компьютер перезагрузится, после этого попробуйте скачать по лссылкам

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.



×
×
  • Create New...