63 / 1 / 3
Регистрация: 08.12.2010
Сообщений: 186
|
|
1 | |
Вирус ничем не определяется!15.03.2011, 17:37. Показов 7031. Ответов 13
Метки нет (Все метки)
Завелся странная зараза, касперский никак не реагирует, нод 32 тоже.
В чем собственно зараза, сижу се за компом, хожу по нормальным сайтам типа яндекс или почту проверяю (не по порно сайтам, там вирусы проще), потом бац AnVir Task Manager сообщяет о добавлении программы в автозагрузку. Проверил программу на вирус тотале, из 40 антивирусов тока 3 спалили, панда нод и еще чото. Вожу название проги (оно всегда разное) rgdrsettgsd.exe и такого названия вообще нет 0 результатов поиска!!! Еще подозрения что заражен фтп менеджер, иногда вирус просачивается на сайты.
0
|
15.03.2011, 17:37 | |
Ответы с готовыми решениями:
13
Вирус не могу ничем удалить Вирус пишется на флэшки и не определяется антивирусами Java-программа определяется как вирус Как определяется, вирус программа, или нет? |
Почетный модератор
|
|
16.03.2011, 00:16 | 2 |
1
|
63 / 1 / 3
Регистрация: 08.12.2010
Сообщений: 186
|
|
16.03.2011, 16:06 [ТС] | 3 |
Логи во вложениях!
Рекомендации выполнены
0
|
Заблокирован
|
|
17.03.2011, 15:41 | 4 |
1.Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код
Procedure SysFileRecoverFromDistrib (Path, Name : string); begin if MessageDLG('Для замены повреждённого системного файла ' + Name + ', который находится в папке ' + Path + ', вставьте дистрибутив Windows в CD\DVD-привод и нажмите "Да". Если же у вас нет дистрибутива или Вы хотите выполнить замену самостоятельно, нажмите "Нет"', mtConfirmation, mbYes+mbNo, 0) = 6 then begin ExecuteFile('sfc /scannow', '', 1, 0, true); AddToLog('Пользователь выполнил "sfc /scannow"'); SaveLog('Recover_' + Name + '.log'); end else begin AddToLog('Пользователь выбрал самостоятельный способ замены.'); SaveLog('Recover_' + Name + '.log'); end; end; Procedure CompleteFix(Path, Name : string); begin RenameFile('%windir%\system32\' + Name, '%windir%\system32\' + Name + '.bak'); CopyFile(Path + Name, '%windir%\system32\' + Name); DeleteFile('%windir%\system32\' + Name + '.bak'); end; Procedure SysFileRecoverFromBackup(Path, Name : string); begin if (FileExists('%windir%\system32\dllcache\' + Name) and FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) and ((CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name))) then begin AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - разные файлы в папках. Запрошен дистрибутив.'); SaveLog('Recover_' + Name + '.log'); SysFileRecoverFromDistrib(Path, Name); end else if FileExists('%windir%\system32\dllcache\' + Name) then begin if (CalkFileMD5('%windir%\system32\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then begin CompleteFix('%windir%\system32\dllcache\', Name); AddToLog('Замена ' + Name + ' успешно произведена из \system32\dllcache\'); SaveLog('Recover_' + Name + '.log'); end else if FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name) then begin if (CalkFileMD5('%windir%\ServicePackFiles\i386\dllcache\' + Name) <> CalkFileMD5(Path + Name)) then begin CompleteFix('%windir%\ServicePackFiles\i386\dllcache\', Name); AddToLog('Замена ' + Name + ' успешно произведена из \ServicePackFiles\i386\'); SaveLog('Recover_' + Name + '.log'); end end end; if (not FileExists('%windir%\system32\dllcache\' + Name)) and (not FileExists('%windir%\ServicePackFiles\i386\dllcache\' + Name)) then begin AddToLog('Замена из ServicePackFiles\i386\dllcache и dllcache не произведена - нет файлов. Запрошен дистрибутив.'); SaveLog('Recover_' + Name + '.log'); SysFileRecoverFromDistrib(Path, Name); end; end; var SourcePath : String; begin SysFileRecoverFromBackup('%windir%\system32\', 'sfcfiles.dll'); end. begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\xtgina.dll',''); QuarantineFile('%windir%\system32\drivers\sfc.sys',''); DeleteFile('%windir%\system32\drivers\sfc.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('sfc'); BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 2.Проверьте на virustotal.com: 3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 4.Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда. 5. Смените все пароли! 6. повторите логи avz. (также подготовьте логи rsit, предварительно скачав и установив higackthis) к следующему посту должны быть приложены логи: 1.virusinfo_syscheck.zip 2.virusinfo_syscure.zip 3.log.txt (если превышает допустимый размер - запакуйте) 4.info.txt 5.gmer 6.mbam 7.Recover_sfcfiles.log и не тяните время, зараза сидит серьёзная.
1
|
63 / 1 / 3
Регистрация: 08.12.2010
Сообщений: 186
|
|
18.03.2011, 02:08 [ТС] | 5 |
Какие пароли менять?
И еще, при выключении компа, синий экран 0x0000008E
0
|
Заблокирован
|
|
18.03.2011, 08:05 | 6 |
от учетных записей, e-mail, электронных денег, соц сетей и тд.
Включите запись дампов памяти. Для этого нажмите клавиши win+pause ("+" нажимать не нужно), откройте вкладку "дополнительно" - "загрузка и восстановление" в разделе "отказ системы " отметьте "записать событие в системный журнал" в поле "запись отладочной информации " выберите "малый дамп памяти" в следующем поле - укажите папку для сохранения (по умолчанию это C:\windows\minidump). При включении записи минидампов в случае перезагрузок/отключений/синих экранов будет создана папка C:\windows\minidump, в которой появятся файлы с расширением .dmp Их также нужно будет приложить к теме. + логи 1-7
0
|
63 / 1 / 3
Регистрация: 08.12.2010
Сообщений: 186
|
|
18.03.2011, 18:38 [ТС] | 7 |
После выполнения скрипта авз, появилась ошибка
"Невозможно загрузить DLL пользовательского интерфейса входа и чуть ниже кнопка перезагрузка" В безопасный режим зайти невозможно, тока с лайва, но после лайв сиди, комп вообще даже до ошибки пользовательского интерфейса не доходит, и сразу в ребутЮ бесконечно. Сейчас с другого компа
0
|
Заблокирован
|
|
18.03.2011, 19:31 | 8 |
должно быть указано имя dll, которая вызвала проблему.
случайно не C:\WINDOWS\system32\xtgina.dll там? Установочный диск с windows у вас есть? Если да, то ее нужно будет заменить. Как произвести замену системных файлов лог Recover_sfcfiles.log не сформировался? Ручную замену sfcfiles не делали?
0
|
63 / 1 / 3
Регистрация: 08.12.2010
Сообщений: 186
|
|
18.03.2011, 20:46 [ТС] | 9 |
Dll не указан, но эта проблема уже менее важна, система падает в ребут, даже не успев загрущзится даже до ошипки с пользовательским входом, у меня есть уст. диск. попытаюсь востновить винду с него
0
|
63 / 1 / 3
Регистрация: 08.12.2010
Сообщений: 186
|
|
18.03.2011, 22:07 [ТС] | 11 |
"Невозможно загрузить DLL" но на xtgina.dll не указывает, вообще не указывает какую длл не может загрузить.
xtgina.dll файла в установочном диске моей версии винды нет xp pro sp 2 ru! соответственно и востановить немогу. М вообще файла xtgina.dll в интернете особо нет, следовательно его в системе и не должно быть, просто вирус чет поменял в системе и сменил чегото с чемто, для того чтобы через специально разработаную уязвимость прокрастся в систему.
0
|
Заблокирован
|
|
18.03.2011, 22:32 | 12 |
В вашем логе он есть, соответственно возник не из воздуха. Но может дело и не в нем. По единственному логу, который вы выложили информации очень мало, видно только присутствие kido или tdss и sfc.sys
Вопрос про минидампы остается в силе. Кроме этого, если система по прежнему не грузится - через меню F8 отключите автоматическую перезагрузку. При появлении синего экрана запишите то, что написано после слова STOP и приведите сюда
0
|
63 / 1 / 3
Регистрация: 08.12.2010
Сообщений: 186
|
|
18.03.2011, 23:37 [ТС] | 13 |
Вопросы 1) загрузки ребута, невозможность войти в безопасный режим 2) синего экрана при выключении и 3)ошибки пользовательского входа решил,
1 невозможность войти в безопасный режим и ребут ошибка при загрузки системы, решил так, загрузился с установочного диска винды, дошел до выбора директории установки, и мне было предложено попытаться востановить уже существующий xp (важно при таком раскладе теряется лицуха и уст. диск должен быть точно тот же что и система) 2 синий экран ущел после махинаций связанных с зараженными файлами в директории системс 32 (можно выяснить, при сортировке по дате недавно появившиеся или изменены могут быть либо инфицированы либо прямо вирусами) 3 ошибка была устранена после того как защел через безопасный режим (см 1) и в реестре HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon На правой панели щелкните правой кнопкой мыши параметр GinaDLL и выберите команду Удалить. см http://support.microsoft.com/kb/817142/ru xtgina.dll удалил (он был я не знал) все вроде работает Еще не в курсе, удалил ли все хвосты вируса?
0
|
Заблокирован
|
|
18.03.2011, 23:54 | 14 |
какую то часть могли и удалить, но основное, то что у вас сидит, вручную не удаляется. sfc.sys должен быть удален скриптом.
сделайте логи: 1.virusinfo_syscheck.zip 2.virusinfo_syscure.zip 3.log.txt (если превышает допустимый размер - запакуйте) 4.info.txt 5.gmer 6.mbam 7.Recover_sfcfiles.log - должен быть уже готов после скрипта, находится в папке с avz
1
|
18.03.2011, 23:54 | |
18.03.2011, 23:54 | |
Помогаю со студенческими работами здесь
14
Что делать если ваше ПО определяется, как вирус? HDD ничем не форматируется Украинцы - ничем не сдерживаемые потребители Ubuntu ничем не отличается от Android?) Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |