Вирусы.Ничего не помогает.

@к535 · Регистрация: 22.02.2012

Студворк — интернет-сервис помощи студентам

Здравствуйте. Помогите пожалуйста с небольшой проблемкой. Началось с того, что вирус начал делать файлы и папки невидимыми, потом заблокировал диспетчер задач, и установку антивирусов. Я переустановил систему в надежде что поможет хоть что то предпринять. Не помогло! Нашел ваш форум, скачал все утилиты, чтобы подготовить логи. AVZ не запускается , в том числе и с помощью того метода, который указан на форуме. Переустановил еще раз систему-результат тот же. А сейчас еще и HijackThis перестал запускаться. Подскажите что делать!

@Techno · 22.02.2012, 11:10

Здравствуйте!!! У Вас файловый вирус.

Как лечить файловый вирус
Пролечитесь c LiveCD, потом сделайте логи АВЗ и РСИТ.

@к535 · 22.02.2012, 11:47 **[ТС]**

спасибо! Буду пробовать. Вот только одна проблемка-комп не запускается в безопасном режиме.!

@Katharsis · 22.02.2012, 12:13

Сообщение от к535

комп не запускается в безопасном режиме.!

и не запускайте. сканируйтесь с LiveCD

@к535 · 22.02.2012, 14:12 **[ТС]**

спасибо. По результатам отпишусь

@к535 · 23.02.2012, 18:02 **[ТС]**

Вот логи. Правда RSIT так и не запустился

@Techno · 23.02.2012, 19:38

Это логи с зараженной системы или с LiveCD?

@к535 · 23.02.2012, 19:54 **[ТС]**

лог HijackThis- с зараженной системы, остальные с диска WinPE

@Katharsis · 23.02.2012, 19:55

с жесткого диска АВЗ не запускается?

Сообщение от к535

лог HijackThis- с зараженной системы

тоже с Live CD

@Techno · 23.02.2012, 19:57

Логи нужны с зараженной системы...

Вы пролечились с LiveCD?

@к535 · 23.02.2012, 20:09 **[ТС]**

да, AVZ запускается только из под WinPE. С этого диска просканировал Dr.Web-он ничего не обнаружил, запустил Касперского- он вроде бы полечил.

@Katharsis · 23.02.2012, 20:16

с жесткого диска запустите salitykiller (ссылка в инструкции "как лечить файловый..."), после скана скачайте авз и рсит заново и попробуйте сделать логи ещё раз

@к535 · 23.02.2012, 20:17 **[ТС]**

хорошо. Буду пробовать.

@к535 · 23.02.2012, 23:33 **[ТС]**

Все сделал как Вы и сказали. AVZ и RSIT запустились нормально. Вот новые логи.

@к535 · 24.02.2012, 00:07 **[ТС]**

и еще подскажите пожалуйста по такому вопросу. На ноутбуке жены по всей видимости была такая же проблемма как и у меня, т.к. постоянный обмен флешками ну и т.д. Я так же запустил у нее salitykiller, просканировал все. Подготовил логи. Скажите, мне можно их выложить в этой же теме, или создать нужно новую?

@Katharsis · 24.02.2012, 00:41

нужно создавать новую

Добавлено через 28 минут
1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('E:\ujwcr.pif'); 
 DeleteFile('E:\fyhr.exe');
 DeleteFile('D:\aapxai.pif');
 DeleteFile('D:\hphe.pif');
 DeleteFile('D:\kjmt.exe');
 DeleteFile('C:\kovhwx.exe');
 DeleteFile('D:\cajh.exe');
 DeleteFile('E:\yprhs.pif');
 DeleteFile('D:\yludoh.exe');
 DeleteFile('D:\ypmcmu.pif');
 DeleteFile('C:\xary.pif'); 
 DeleteFile('c:\windows\system32\drivers\pedrq.sys');
 DeleteFile('C:\autorun.inf');
 DeleteFile('D:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFileMask('%userprofile%\Local Settings\Temp', '*.exe', true);
 DeleteService('amsint32');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10); 
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится.

2. скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\антивирус\\ATF-Cleaner.exe"="D:\\антивирус\\ATF-Cleaner.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\wuauclt.exe"="C:\\WINDOWS\\system32\\wuauclt.exe:*:Enabled:ipsec"
"D:\\антивирус\\HiJackThis.exe"="D:\\антивирус\\HiJackThis.exe:*:Enabled:ipsec"
"D:\\антивирус\\RSIT.exe"="D:\\антивирус\\RSIT.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe:*:Enabled:ipsec"
"C:\\Program Files\\7-Zip\\7zG.exe"="C:\\Program Files\\7-Zip\\7zG.exe:*:Enabled:ipsec"

3. В целях безопасности скачайте и установите Internet Explorer 8

обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. сделайте повторные логи avz (стандартный скрипт 2) и rsit в нормальном режиме.

6. смените все пароли

@к535 · 24.02.2012, 10:10 **[ТС]**

вот логи, но кажется, что то не донца очистилось.

@shestale · 24.02.2012, 12:01

к535, с какого LiveCD вы лечились? Для его изготовления вы использовали компьютер вашей жены из этой темы?

@к535 · 24.02.2012, 12:11 **[ТС]**

сборка WinPE, на ней утилитки Dr.Web и Касперский. При сканировании Dr.Web ничего не обнаружил. При сканировании Касперским-вроде бы находил и удалял что-то. Просто на тот момент не было LiveCD, который вы рекомендовали на сайте. Сейчас нашел его. Может быть повторить лечение с этого диска? И повторить все остальные процедуры?

Добавлено через 2 минуты
нет. Компьютер использовал другой. На нем записывал этот самый WinPE, и сейчас записал LiveCD,рекомендованный Вами. На том компе стоит NOD32

@shestale · 24.02.2012, 12:13

Да необходимо еще раз пролечиться с LiveCD + SalityKiller.
А так же необходимо скачать Sality_RegKeys это набор твиков реестра, который позволит восстановить безопасный режим.
После лечения повторите логи МВАМ, avz (стандартный скрипт 2) и rsit в нормальном режиме.

Новые блоги и статьи Все статьи Все блоги /
Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .	модель ЗдравоСохранения 8. Подготовка к разному выполнению заданий anaschu 08.04.2026 https:/ / github. com/ shumilovas/ med2. git main ветка * содержимое блока дэлэй из старой модели теперь внутри зайца новой модели 8ATzM_2aurI	Блокировка документа от изменений, если он открыт у другого пользователя Maks 08.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в конфигурации КА2. Задача: запретить редактирование документа, если он открыт у другого пользователя. / / . . .
Система безопасности+живучести для сервера-слоя интернета (сети). Двойная привязка. Hrethgir 08.04.2026 Далее были размышления о системе безопасности. Сообщения с наклонным текстом - мои. А как нам будет можно проверить, что ссылка наша, а не подделана хулиганами, которая выбросит на другую ветку и. . .	Модель ЗдрввоСохранения 7: больше работников, больше ресурсов. anaschu 08.04.2026 работников и заданий может быть сколько угодно, но настроено всё так, что используется пока что только 20% kYBz3eJf3jQ	Дальние перспективы сервера - слоя сети с космологическим дизайном интефейса карты и логики. Hrethgir 07.04.2026 Дальнейшее ближайшее планирование вывело к размышлениям над дальними перспективами. И вот тут может быть даже будут нужны оценки специалистов, так как в дальних перспективах всё может очень сильно. . .	Горе от ума kumehtar 07.04.2026 Эта мне ментальная установка, что вот прямо сейчас, мол, мне для полного счастья не хватает (нужное вписать), и когда я этого достигну - тогда и полный кайф. Одна из самых сильных ловушек на пути. . . .

@Techno 318 / 120 / 2 Регистрация: 15.07.2011 Сообщений: 293
	22.02.2012, 11:10
	Здравствуйте!!! У Вас файловый вирус. Как лечить файловый вирус Пролечитесь c LiveCD, потом сделайте логи АВЗ и РСИТ. 1

@к535 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 27
	22.02.2012, 11:47 [ТС]
	спасибо! Буду пробовать. Вот только одна проблемка-комп не запускается в безопасном режиме.! 0

@к535 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 27
	22.02.2012, 14:12 [ТС]
	спасибо. По результатам отпишусь 0

@Techno 318 / 120 / 2 Регистрация: 15.07.2011 Сообщений: 293
	23.02.2012, 19:38
	Это логи с зараженной системы или с LiveCD? 1

@к535 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 27
	23.02.2012, 19:54 [ТС]
	лог HijackThis- с зараженной системы, остальные с диска WinPE 0

@Techno 318 / 120 / 2 Регистрация: 15.07.2011 Сообщений: 293
	23.02.2012, 19:57
	Логи нужны с зараженной системы... Вы пролечились с LiveCD? 0

@к535 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 27
	23.02.2012, 20:09 [ТС]
	да, AVZ запускается только из под WinPE. С этого диска просканировал Dr.Web-он ничего не обнаружил, запустил Касперского- он вроде бы полечил. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	23.02.2012, 20:16
	с жесткого диска запустите salitykiller (ссылка в инструкции "как лечить файловый..."), после скана скачайте авз и рсит заново и попробуйте сделать логи ещё раз 1

@к535 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 27
	23.02.2012, 20:17 [ТС]
	хорошо. Буду пробовать. 0

@к535 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 27
	24.02.2012, 00:07 [ТС]
	и еще подскажите пожалуйста по такому вопросу. На ноутбуке жены по всей видимости была такая же проблемма как и у меня, т.к. постоянный обмен флешками ну и т.д. Я так же запустил у нее salitykiller, просканировал все. Подготовил логи. Скажите, мне можно их выложить в этой же теме, или создать нужно новую? 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.02.2012, 12:01
	к535, с какого LiveCD вы лечились? Для его изготовления вы использовали компьютер вашей жены из этой темы? 2

@к535 0 / 0 / 0 Регистрация: 22.02.2012 Сообщений: 27
	24.02.2012, 12:11 [ТС]
	сборка WinPE, на ней утилитки Dr.Web и Касперский. При сканировании Dr.Web ничего не обнаружил. При сканировании Касперским-вроде бы находил и удалял что-то. Просто на тот момент не было LiveCD, который вы рекомендовали на сайте. Сейчас нашел его. Может быть повторить лечение с этого диска? И повторить все остальные процедуры? Добавлено через 2 минуты нет. Компьютер использовал другой. На нем записывал этот самый WinPE, и сейчас записал LiveCD,рекомендованный Вами. На том компе стоит NOD32 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	24.02.2012, 12:13
	Да необходимо еще раз пролечиться с LiveCD + SalityKiller. А так же необходимо скачать Sality_RegKeys это набор твиков реестра, который позволит восстановить безопасный режим. После лечения повторите логи МВАМ, avz (стандартный скрипт 2) и rsit в нормальном режиме. 1