Вирус

Модератор: YoungMax

Вирус

Сообщение D.Rash » 20 дек 2011 15:14

Доброго времени суток.
Хочу обратится снова за помощью в решении аналогичной(в этой теме viewtopic.php?f=154&t=10141) проблемы.
Комп.включается,начинает загрузку системы и виснет.ОСь Win7,x64,Домашняя расширенная,Лиц.
На компьютере нет никакого антивируса.NOD32 закончил свою
бесплатную работу и уже давно и даже удалён хозяином компа.Я поставил
в безопасном режиме AVZ ,поудалял около 30 заражений,но как и в прошлом случае комп после
перезагрузки завис.Поставил Virus Removal Tool,почистил(8 заражений,из них 4 кряка для игр-не
удалял),комп.заработал,прогнал AVZ(в безопасном и обычном )кое-что ещё поудалял,но
снова-перезагрузка и комп тупит.
На всякий случай переставил винт на свой комп и прогнал обновлённым каспером,но как и
ожидал-ни чего не найдено(система не активна).
Выполнил,в безопасном режиме,логи AVZ и hijackthis по инструкции-(viewtopic.php?f=154&t=8385)
HijackThis заработал только второй(переименованный),логи выложил.

И ещё вопрос:Есть ли возможность научиться писать скрипты(для AVZ,Virus Removal Tool,HijackThis)самому?
Вложения
virusinfo_syscure.zip
(21.13 Кб) Скачиваний: 505
virusinfo_syscheck.zip
(20.96 Кб) Скачиваний: 472
hijackthis.rar
(3.25 Кб) Скачиваний: 476
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Вирус

Сообщение qwert1qaz » 20 дек 2011 17:28

посмотреть в системном журнале события, каждую ошибку исправлять собтвенно
если уходит в синий экран (или какой он там теперь), также выяснить по какой причине, т.е. знакомимся с Debugging Tools)
проверить целостность системных файлов, сбросить права на дефолтные, на файлы и ветки реестра
ды много чего можно придумать
как раз многое и узнаешь чтобы писать скрипты)
как я понял скрипты для AVZ всего лишь правила как лечить комп, а дляэтого видимо надо знать как его лечить ручками) а потом уже и скриптами оформить можно
qwert1qaz
Ожидающий
Ожидающий
 
Сообщения: 51
Зарегистрирован:
06 ноя 2009 22:25

Re: Вирус

Сообщение D.Rash » 20 дек 2011 17:47

qwert1qaz-Спасибо :)Будем учится.(ещё бы ссылочку на учебник)
Только комп надо вылечить и отдать приятелю поскорей,а учёба времени займёт,как ни крути...
Поэтому если кто-нибудь уже умеющий поможет со скриптами-заранее огромное спасибо!
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Вирус

Сообщение qwert1qaz » 20 дек 2011 20:01

я же говорю скрипты лишь автоматизируют твои действия
а действия такие - найти заразу и удалить - это если вирусы
а может быть и такое что от всего этого многообразного лечения сломали систему...
PS: в справке к AVZ есть глава - Скрипты управления, кстати))
PPS: и Спасибо, сам весьма заинтересовался)
PPPS: книжку нашёл от автора AVZ, может пригодится) рутрекер/forum/viewtopic.php?t=1718302
qwert1qaz
Ожидающий
Ожидающий
 
Сообщения: 51
Зарегистрирован:
06 ноя 2009 22:25

Re: Вирус

Сообщение Diesel » 20 дек 2011 21:40

Выполнить скрипт в AVZ
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
QuarantineFile('D:\Fraps\fraps.exe','');
SetServiceStart('aswFW', 4);
StopService('aswFW');
DeleteService('aswNdis2');
SetServiceStart('aswNdis2', 4);
StopService('aswNdis2');
BC_DeleteSvc('aswFW');
DeleteFile('D:\Fraps\fraps.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пофиксить в HijackThis
Код: Выделить всё
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll
R3 - URLSearchHook: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~2\Office12\GR469A~1.DLL
O2 - BHO: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Визуальные Закладки - {C93F72A2-2162-4BBA-A07A-F13663C297A6} - C:\Program Files (x86)\Yandex\YandexBarIE\fastdial.dll
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll
O3 - Toolbar: DVDVideoSoftTB Toolbar - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Program Files (x86)\DVDVideoSoftTB\tbDVDV.dll
O3 - Toolbar: Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\YandexBarIE\yndbar.dll
O4 - HKLM\..\Run: [Guard.Mail.ru.gui] "C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe" /gui
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [VKSaver] C:\ProgramData\VKSaver\VKSaver.exe



P.S. Логи желательно собирать при выключенном браузере, отключенном CSS и так далее.
qwert1qaz http://www.z-oleg.com/secur/avz_se_doc/ залем лезть на рутрекер, если есть оффсайт разработчика.

Вопрос к ТС - на компьютере опять следы от AVAST, он у вас там был?
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Вирус

Сообщение D.Rash » 21 дек 2011 09:45

Diesel-cпасибо.Надеюсь научусь скоро сам и не буду больше беспокоить по таким пустякам :)
Чуда не произошло...
Комп снова перестал загружаться в обычном режиме.
В безопасном режиме при попытке запустить скрипты в AVZ,прог выдаёт сообщение:
1.2 Поиск перехватчиков API,работающих в KernelMode
Ошибка загрузки драйвера-проверка прервана[C000035F]
1.4 Поиск маскировки процессов и драйверов.
Проверка не производится,так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера-проверка прервана[C000035F]
После чего программа закрывается.
HijackThis запустился и отработал без проблем.
AVAST оказывается действительно есть,установлен,но ярлыков на рабочем столе нет и я нашёл его в панели "Пуск".В диспетчере задач(менеджер процессов :) )он остановлен.Сообщение прог avast!:"Антивирусная программа avast!остановлена или пребывает в противоречивом состоянии.Перезапустите программу".
(конфликт с AVZ ?не запускается же AVZ,Может снести nod ?)
При первых проверках я собственноручно удалял завалявшуюся dll от NOD32.Т.е.и NOD стоял раньше.
Вот такое положение дел на сегодня...
Что порекомендуете?
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Вирус

Сообщение qwert1qaz » 21 дек 2011 17:23

а просто переставить ось ?)
qwert1qaz
Ожидающий
Ожидающий
 
Сообщения: 51
Зарегистрирован:
06 ноя 2009 22:25

Re: Вирус

Сообщение D.Rash » 21 дек 2011 18:28

qwert1qaz писал(а):а просто переставить ось ?)

Всё есть-установочный диск родной,код продукта на системнике.Но крайний вариант.
Да собственно и "из любви к искусству" :)
(книгу Зайцева скачал с рутрекера,там почти с нуля объяснение :good:,уже глаза от монитора болят :umnik: )
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Вирус

Сообщение qwert1qaz » 21 дек 2011 20:47

1 есть утилитки которые покажут код винды (именно тот который вводится при установке)
2 я не знаю как в семерке но в xp можно реестр восстановить в таких случаях, то есть получить либо чистый реестр который был на момент инсталяции винды, либо если включено восстановление системы - на любую точку восстановления
http://support.microsoft.com/kb/307545/ru
то есть программы многие работать перестанут, да и драйверы заново надо будет поставить, но винда получается как после установки)
ну и файлы нужные и не нужные останутся, но эт не так страшно
в семерке чтото подобное тоже наверное можно сделать..
qwert1qaz
Ожидающий
Ожидающий
 
Сообщения: 51
Зарегистрирован:
06 ноя 2009 22:25

Re: Вирус

Сообщение D.Rash » 21 дек 2011 21:21

Да не хотелось бы восстанавливать-переустанавливать...
Есть может у кого варианты-почему каспер дохнет в безопасном режиме ,в заражённой машине,при старте выполнения логов?
З.Ы: Восстановление отключено на компе,да эт -похрен...
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Вирус

Сообщение D.Rash » 22 дек 2011 11:39

Что-то тишина...
Уже готов систему переставлять... :(
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Вирус

Сообщение Diesel » 22 дек 2011 13:13

http://professional.avira-update.com/pa ... mon-en.iso записать этот образ на болванку или флешку и прогнать с помошью этого антивирусника систему.
Также почистить корзину, временные файлы интернета и темп
Изощренный садизм: кормить дятла сухариками с чугунной сковородки!

IRC Чат FReeDoM
irc://irc.freedom-vrn.ru
Работает даже в Опере!

Я, конечно, понимаю, что у Иисуса прав больше
но для пересборки мира нужен аккаунт Бога-отца
Аватара пользователя
Diesel
IRC администратор
 
Сообщения: 1534
Зарегистрирован:
13 окт 2007 23:21
Откуда: с того берега моря

Re: Вирус

Сообщение D.Rash » 22 дек 2011 16:17

Записал на болванку,прогнал систему,лог прикрепил.Авира нашла и удалила 1 файл .
Папку Temp почистил,временные файлы интернета в безопасном режиме удалить не удалось,
(нет папки "Свойства обозревателя",по пути:Пуск > Панель управления > Сеть и Интернет)
Комп один хрен виснет...Правда один раз(в ходе многократных перезагрузок)в обычном режиме успел показать рабочий стол и опять завис.
Вложения
rescue-system_scan.rar
(1.05 Кб) Скачиваний: 462
101.ru — Персональная станция «Радио "Rash"»
"И всё-таки виден свет в конце тоннеля,
но тоннель,сука,не кончается."
Аватара пользователя
D.Rash
На борту
На борту
 
Сообщения: 167
Зарегистрирован:
09 апр 2010 00:17
Откуда: Север

Re: Вирус

Сообщение qwert1qaz » 22 дек 2011 17:20

ещё вариант - создать в безопасном режиме ещё одного пользователя и в обычном режиме зайти под ним
если уж "успел показать рабочий стол", значит до загрузки профиля система не виснет?

и вообще: убрать всё из автозагрузки, в т.ч. и из реестра, восстановить дефолтное состояние всех служб, лишнии отключить
qwert1qaz
Ожидающий
Ожидающий
 
Сообщения: 51
Зарегистрирован:
06 ноя 2009 22:25

Re: Вирус

Сообщение YoungMax » 22 дек 2011 18:04

D.Rash
GMER'ом аккуратно посмотрите.
Может все таки это дело рук руткита? :)
Don't feed a troll
RTFM
YoungMax
Штурман
Штурман
 
Сообщения: 913
Зарегистрирован:
27 фев 2009 19:00

След.

Вернуться в Помогите!!

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron