PDA

Показать полную графическую версию : Антивирусники не видят вируса! как его убить?


Страниц : [1] 2 3

Лина
16-05-2008, 15:26
Хапускала на компе и cureit и Avast показывает, что вирусов не обнаружено , а по логам они есть. Что это за бяка и как ее убить

Pili
16-05-2008, 16:36
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Qwc38');
StopService('Cin62');
StopService('Agl85');
SetServiceStart('Qwc38', 4);
SetServiceStart('Cin62', 4);
SetServiceStart('Agl85', 4);
QuarantineFile('C:\Program Files\Anti Trojan Elite\TJEnder.exe','');
QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\FileDisk.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Secdrv.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwc38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cin62.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agl85.sys','');
QuarantineFile('C:\Program Files\Winamp\winampa.exe','');
DeleteService('Qwc38');
DeleteService('Cin62');
DeleteService('Agl85');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Agl85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cin62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwc38.sys');
ExecuteSysClean;
BC_ImportALL;
BC_DeleteSvc('Qwc38 ');
BC_DeleteSvc('Cin62');
BC_DeleteSvc('Agl85');
BC_Activate;
RebootWindows(true);
end.
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
F2 - REG:system.ini: UserInit=userinit.exe,
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
Anti Trojan Elite - деинсталлируйте через установку/удаление программ
Повторите логи virusinfo_syscheck.zip и hijackthis

Лина
16-05-2008, 16:40
Pili, спасибо. Делаю

Pili, Anti Trojan Elite нет в списке программ, почему это может быть и можно ли ее уудалить просто папку св корзину или тогда она удалися не полностью?

В AVZ - файл - выполнить скрипт – выделить и скопировать текст »

выделила, вставила пишет, что скрипт выполнен без ошибки.
Сейчас я обновляла базу для Avira и после обновления выловила еще 3 вируса. Может гадость эту уже цбила или просто что-то не так сделала?

Pili
16-05-2008, 17:18
Anti Trojan Elite нет в списке программ, »
тогда пока не удаляйте, позже скриптом удалим
обновляла базу для Avira и после обновления выловила еще 3 вируса »
какие файлы?
пока карантина и новых логов не вижу

Лина
16-05-2008, 18:03
Я этот код копирую в В AVZ - файл - выполнить скрипт ?
Он пишет скрипт выполнен без ошибок? и компьютер не перегружается.
Дальше просто выполнять скрипты как и раньше?
А первый код в Вашем сообщении это что?

F2 - REG:system.ini: UserInit=userinit.exe,
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
во этот код я хотела написать

Severny
16-05-2008, 18:04
Сейчас я обновляла базу для Avira и после обновления выловила еще 3 вируса. »
Наверное в карантине AVZ.

Лина
16-05-2008, 18:10
Severny, и что дальше делать посоветуешь?

И еще вопрос не совсем в тему, конечно. Посоветуйте какой-нибудь Firewall с русским интерфейсом желательно или в DrWeb,который я хочу установить он встроенный?

Severny
16-05-2008, 18:28
Я этот код копирую в В AVZ - файл - выполнить скрипт ?
Он пишет скрипт выполнен без ошибок? и компьютер не перегружается.
Дальше просто выполнять скрипты как и раньше?
А первый код в Вашем сообщении это что? »
В AVZ нужно выполнить сначала первый код скрипта, компьютер перезагрузится. После перезагрузки второй.
А третий код Fix checked в программе HijackThis.
Пожалуйста, почитай внимательнее. Выполни все до конца.

Посоветуйте какой-нибудь Firewall »
В Dr.Web нет встроенного файрволла. Если не тайна, почему этот выбор?
Может быть Comodo (http://download.comodo.com/cpf/download/setups/release/languages/CFP_Setup_English_Russian_2.4.16.174.exe)?
Прямая ссылка на русскую версию.
Устанавливай только после того, как полностью будет вылечена система.

З.Ы. Подожди пока устанавливать антивирусы и файрволлы один за одним. Дождись окончания лечения. Иначе рискуешь привести систему в неудовлетворительное состояние, попросту говоря бардак.

Лина
16-05-2008, 18:41
Severny, выбор в смысл DrWeb? да я вообщем еще и не решила. скачала Avira? пока ей проверяюсь но отсутствия русского интерыейса напряггает. Хорошо буду лечить систему, сейчас логи вышл.

Pili, Вы адрес почты правильно указали? Пытаюсь выслать пишет не корректный адрес.....

Severny
16-05-2008, 18:53
Вы адрес почты правильно указали? »
Вместо [at] подставь собачку.

Лина
16-05-2008, 18:56
Severny, вот дурында, действительно там собачка должна быть, а я просто скопировала и втавила. Выслала, толко не пойму файл прикрепился или нет. больно быстро как-то отправил

Pili, выполнила 2 срипта, потом запустила hijackthis.exe, после нажатия Fix Checked". компьютер опять перегрузился, а третий код получается я не использовала. Что сделала не так?

Лина
16-05-2008, 19:20
Попыталась повторить запуск hijackthis.exe, после нажатия Fix Checked". выдает такую картну.


http://keep4u.ru/full/080516/a3be2d8570f5c9637f/jpg

Не знаю правильно я делала или нет я при запуске AVZ и hijackthis.exe тоже отключала восстановления системы и все программы

Лина
16-05-2008, 19:39
И еще вопрос DrWeb, который сканер, он не обновляет базу, а при обновлении просто его нужно заменять на более свежую версию так?

Pili, письмо пришло? или продублировать в личку еще, что-то я не уверена прикрепился файл или нет

Severny
16-05-2008, 20:41
Не знаю правильно я делала »
Почему у тебя в HijackThis галочки перед всеми значениями стоят?
Их нужно поставить только перед теми двумя, которые Pili указал!
(даже смайлика такого нет весь ужас выразить).

И еще вопрос DrWeb, который сканер, он не обновляет базу, »
Да, он не обновляет базы, а только скачивает новую версию.
Это только сканер, тебе нужен полноценный антивирус.
Рекомендую поставить для ознакомления Касперский KIS. Там и антивирус, и файрволл. Ссылку я давал.

Pili
16-05-2008, 21:02
Лина, Карантин пришел, в нем только один файл winampa.exe - чистый, судя по ini, остальных файлов, затребованных в карантин, нет на диске.
Антивирусы перед выполнением скрипта отключали?
не вижу повторных логов virusinfo_syscheck, hijackthis
судя по картинке вы пытались фиксить в Hijackthis все строчки, не надо этого делать, иначе вам придется переустанавливать windows, фиксить надо только те строчки, которые были указаны.
DrWeb, который сканер, он не обновляет базу, »
если хотите актуальных баз - ставьте полноценный drweb, иначе надо каждый раз скачивть cureit заново

Лина
17-05-2008, 07:54
Severny, ужас в том что видимо я уже накосячила, сейчас переделала все занова, первый скрипт выполнила, второй запустила-сразу выдал скрипт выполнен без ошибок, дальше запустила hijackthis там таких строк не нашла уже, блин, идиотка.... вообщем вот что там есть
http://keep4u.ru/full/080517/82bef0763193306f07/jpg
. Сильно я все испаганила а????
сейчас еще раз вышлю карантин

Чет блин сама перпугалась...

Лина
17-05-2008, 08:40
Вот новые логи, надеюсь я еще не все испортила.................

Severny
17-05-2008, 18:56
надеюсь я еще не все испортила »
Чистая автозагрузка -- это даже хорошо.

Чтобы отключить потенциально опасные службы, можешь выполнить этот код в AVZ.

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

Теперь тебе нужно определиться, какой антивирус поставить или оставить. Он должен быть один. Сейчас у тебя два.

Лина
17-05-2008, 18:58
Теперь буду по десять раз все переспрашивать, этот код в AVZ запускаем выполнить скрипт?

Яб оставила Avira только настроить толком не могу с английским меню на автозапуск, автообнавления и пр. , а Касперского я как-то устанавливала пробную версия, потом решила его удалить,а он зараза никак удалятся не хотел, только вручную с реестра убрали, теперь как-то настороженно к нему отношусь, а Авест свой сегодня уберу, надежды как вижу на него никакой..

Drongo
17-05-2008, 19:55
Лина, Теперь буду по десять раз все переспрашивать, этот код в AVZ запускаем выполнить скрипт? »Да.

http://i030.radikal.ru/0805/4b/f947570d5045t.jpg (http://radikal.ru/F/i030.radikal.ru/0805/4b/f947570d5045.jpg.html)

http://i046.radikal.ru/0805/d5/df3ac3a1ec7bt.jpg (http://radikal.ru/F/i046.radikal.ru/0805/d5/df3ac3a1ec7b.jpg.html)




© OSzone.net 2001-2012