Перестали работать программы-эмуляторы(alcahol,daemon tools иим подобные

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Перестали работать программы-эмуляторы(alcahol,daemon tools иим подобные (http://forum.oszone.net/showthread.php?t=144898)

anarh74

12-07-2009 17:24 1165599

Перестали работать программы-эмуляторы(alcahol,daemon tools иим подобные

Вложений: 1

Программы alcahol,daemon tools и другие ,не монтируют образы на устройства.Раньше эти проги работали безупречно!4 раза проверялся(dr web,каспером и avz)Проги-нужные,неужели всю систему из-за этой мелочи гробить?Помогите пожалуйста!http://forum.oszone.net/images/attac...attach/zip.gif

akok	13-07-2009 11:13 1166149

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 SearchRootkit(true, true);

 SetAVZGuardStatus(true);

 SetServiceStart('KwinzySearch Service', 4);

 QuarantineFile('C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll','');

 QuarantineFile('C:\WINDOWS\\SystemRoot\System32\drivers\vidstub.sys','');

 QuarantineFile('c:\program files\microsoft\search enhancement pack\seaport\seaport.exe','');

 QuarantineFile('c:\documents and settings\all users\application data\kwinzysearch\kwinzy125.exe','');

 QuarantineFile('c:\program files\kwinzysearch\kwinzy.exe','');

 DeleteFile('c:\program files\kwinzysearch\kwinzy.exe');

 DeleteFile('c:\documents and settings\all users\application data\kwinzysearch\kwinzy125.exe');

 DeleteFile('C:\Program Files\KwinzySearch\kwinzy.exe');

 DeleteFile('C:\Program Files\KwinzySearch\kwinzy.dll');

 DeleteService('KwinzySearch Service');

 BC_ImportALL;

 ExecuteSysClean;

 BC_Activate;

 RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Пофиксить в HijackThis следующие строчки

Код:

 

O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)

O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

O24 - Desktop Component 1: (no name) - http://www.youlike.ru/

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

И повторите логи.

anarh74

13-07-2009 12:50 1166255

Можно поподробнее,как отправить архив на указанный адрес?

iskander-k

13-07-2009 12:58 1166260

Цитата:

Цитата anarh74

Можно поподробнее,как отправить архив на указанный адрес? »

В папке с АВЗ найдёте указанный архив ( quarantine.zip) его и отправляете на адрес.

Цитата:

Цитата akok

akok<at>pisem.net с указанной ссылкой на тему. (at=@) »

anarh74

13-07-2009 13:13 1166281

Да архив то на месте,не отправляется тока! Пишет:Не удается найти akok<at>pisem.net

iskander-k

13-07-2009 13:18 1166286

Цитата:

Цитата anarh74

Не удается найти akok<at>pisem.net »

Вместо знаков " <at> " в адресе пишете знак " @ " -- без кавычек.

Код:

akok@pisem.net

anarh74

13-07-2009 15:33 1166434

Вложений: 2

Всё проделал,как указано выше,попробовал запустить файл образа-всё бесполезно!http://forum.oszone.net/images/attach/zip.gif

iskander-k

13-07-2009 18:11 1166592

Цитата:

Цитата anarh74

попробовал запустить файл образа »

Какой файл образа ?

anarh74

13-07-2009 18:32 1166607

смонтировать ораз mds !!!

akok	14-07-2009 12:04 1167203

Попробуйте перекачать эмуляторы. Возможно "левая" сборка.

Код:

127.0.0.1 serial.alcohol-soft.com

127.0.0.1 www.alcohol-soft.com

127.0.0.1 images.alcohol-soft.com

127.0.0.1 trial.alcohol-soft.com

127.0.0.1 alcohol-soft.com

iskander-k

14-07-2009 13:48 1167301

Попробуйте эмулятор от Неро (неро имаже драйв) или Daemon - эти проги ещё не подводили.

anarh74

14-07-2009 13:53 1167312

Спасибо.Но всё по прежнему.Образы,не запускаются.Раньше же всёнормально было!Автозапуск dvd-привода,тоже почемуто перестал работать .В чём же тут проблемма то???

anarh74

14-07-2009 14:13 1167338

Может тут проблемма какая то с автозапуском?

akok	14-07-2009 14:25 1167351

Автозапуск отключали?

anarh74

14-07-2009 14:30 1167361

Не помню,а где он находится-то?Пардон, за такое вопиющее невежество!

thyrex

14-07-2009 14:45 1167372

Цитата:

Цитата anarh74

Не помню,а где он находится-то? »

Пуск - Выполнить - msconfig

anarh74

14-07-2009 15:28 1167400

В автозагрузке то всё понятно!В (устройство со съёмными носителями-свойства-автозапуск)меняю "музыкальные файлы"на "смешанное содержимое"- не хочет,зараза меняться!и в свойствах экрана заставка не устанавливается!Не слушается меня комп!!!

akok	14-07-2009 17:06 1167497

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Drongo

14-07-2009 17:33 1167524

anarh74, ассоциации файлов образов на какую программу задействованы?

anarh74

14-07-2009 17:55 1167549

С ассоциациями я уже пробовал,и в алкаголе,и с демоном.

anarh74

14-07-2009 18:10 1167560

Вложений: 2

проверка за последние 3 месяца

anarh74

15-07-2009 09:08 1167965

Всё понятно!Проги тут не причём,образы то монтируются,но автонезапускаются!И автозапуск cd/dvd не работает.Чёто с автораном.Наверное.Экран-заставка,тоже не запускается!Комп не слушается!!!

Drongo

15-07-2009 10:03 1168009

Проверьте следующие файлы:

Цитата:

C:\WINDOWS\system32\drivers\a0rija3d.sys
C:\WINDOWS\system32\drivers\axo3ujkr.sys

на http://www.virustotal.com/ru/ ссылки на результат проверки укажите в теме в ввиде ссылок.

Файлы найдите с помощь программы FileFind или другим удобным вам способом.

akok	15-07-2009 10:22 1168021

Ознакомтесь и попробуйте востановить автозапуск.

anarh74

15-07-2009 18:19 1168586

Спасибо огромное!!!Автозапуск заработал!Но заставку не могу включить почемуто...Файлы: C:\WINDOWS\system32\drivers\a0rija3d.sys
C:\WINDOWS\system32\drivers\axo3ujkr.sys ,как только не искал.Нету их у меня,почему?

Drongo

15-07-2009 18:30 1168599

anarh74, ТОгда давайте так попробуем, создадим карантин и попробуем поместить эти файлы в карантин.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

 SearchRootkit(true, true);

 SetAVZGuardStatus(true);

 ClearQuarantine;

 QuarantineFile('C:\WINDOWS\system32\drivers\a0rija3d.sys','');

 QuarantineFile('C:\WINDOWS\system32\drivers\axo3ujkr.sys','');

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.

anarh74

15-07-2009 20:13 1168685

Результат quarantine.zip

Вредоносный код в файле не обнаружен.

>
>
С уважением, Татаринов Иван
Вирусный аналитик
-такие дела.Что же делать?

akok	16-07-2009 22:04 1169858

эх была не была.

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes

explorer.exe



:Services

axo3ujkr

a0rija3d

:Files

C:\WINDOWS\system32\drivers\a0rija3d.sys

C:\WINDOWS\system32\drivers\axo3ujkr.sys

:Reg



:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

anarh74

17-07-2009 09:40 1170216

Всё вроде в порядке!========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service axo3ujkr .
Unable to stop service a0rija3d .
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\a0rija3d.sys not found.
File/Folder C:\WINDOWS\system32\drivers\axo3ujkr.sys not found.
========== REGISTRY ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 07172009_085136
Malwarebytes' Anti-Malware 1.39
Версия базы данных: 2421
Windows 5.1.2600 Service Pack 3

17.07.2009 9:28:40
mbam-log-2009-07-17 (09-28-40).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 159706
Прошло времени: 25 minute(s), 57 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 0

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
(Вредоносные программы не обнаружены)

Drongo

17-07-2009 10:51 1170295

Цитата:

Цитата akok

эх была не была. »

Рисковый. ;) Хоть риск оправдался. :up: А я побоялся давать команду на удаление в OTMoveIt.

anarh74

17-07-2009 11:07 1170320

Вы жути нагоняете на меня,что это было?...и что мне делать теперь?

akok	17-07-2009 11:10 1170326

Лог RSIT повторите.

Drongo, а таки пронесло :)

Логи AVZ необходимы.

anarh74

17-07-2009 12:12 1170399

Вложений: 3

Вот

akok	20-07-2009 21:35 1173096

В логах чисто.

anarh74

20-07-2009 21:44 1173098

Спасибо, что делать теперь?

akok	20-07-2009 21:57 1173105

Что с проблемами?

anarh74

21-07-2009 10:51 1173442

Проблем то нет,всё в порядке.

akok	21-07-2009 13:13 1173553

anarh74, тогда ничего не нужно делать.

Время: 10:39.