|
Я у себя обнаружил вирус не помню каой имено ,win32......., он заразил все файлы .exe DrWeb вылечил, но в результате лечения были испорчено половина дистриба!
Кто знает подскажите пожалумста как востановить??? |
|
Да канечно это всё я знаю , с виндой у меня всё нормально-переставлял,проверял!!!
НАВЕРНО МНЕ ПРИДЁТСЯ ПОПРОЩАТСЯ С МОИМ ДИСТПРИБОМ!!! |
Система Windows XP Pro Rus. У меня немного другая проблема. Есть симптомы заражения вирусом ("Сетевой червь W32.Blaster.Worm"). Однако Dr.Web 4.29 ничего не находит. Спец. утилиты от Каспеского (Clrav.com) и аналогичная от Symantec тоже ничего не находят. Что еще можно предпринять? Можно ли избавиться от этой гадости, если полностью переустановить систему? И есть ли вероятность заражения при сохранении перед этой процедурой своих документов Word, избранного IE и Opera 7.11, сейвов от игр, Outlook (адресная книга, папки)? Буду благодарен за любую информацию или ссылку на ее источник.
|
Тема перемещена сюда
|
amigo-64, здесь не все логи, выложите логи по правилам,
Цитата:
Прикрепите 3 файла : virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip, желательно также сделать 2 дополнительных лог файла сформированные с помощью DSS: main.txt и extra.txt |
Pili, всё сделал по "правилам..", архивчик влагаю :).. только что такое DSS - не ведаю, а потому main.txt и extra.txt нету. Ну, давайте, помогайте мне! :)
|
amigo-64, удалил ваше вложение, в нем есть virusinfo_cure.zip!
почитайте внимательно п. 4.2 правил, в нем есть предупреждене о файле virusinfo_cure.zip и о DSS тоже |
amigo-64, На что жалобы? Логи в принципе чистые, можно конечно проверить некоторые файлы
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» Код:
beginКод:
beginЗапустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked". Код:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) |
Цитата:
Всё остальное - в ПС. Цитата:
|
amigo-64, присланные файлы чистые, WINIO.sys в карантин не попал, поищите вручную (через AVZ), если не найдете, выполните скрипт
Код:
beginЗапустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера". Цитата:
|
Цитата:
Скрипт выполнил: мельком увидел, что найден вирус (какой-то червь, название не запомнил) и комп сразу перезагрузился. "Мастер поиска и устранения проблем" в браузере и системе не нашёл ничего подозрительного, - обычные настройки. USB мышь и клава так и не работают. Ну, что ж, видимо, придётся откатываться. Спасибо за помощь! |
amigo-64, если ничего из служб не надо, выполните скрипт
Код:
beginЦитата:
|
Вложений: 1
Pili, выполню чуть позже, - сейчас машина занята. А DSS я скачал (не знал, что это сканер), запустил и прилагаю лог.
|
amigo-64, нет ещё лога extra.txt
траффик инспектор установлен? Диск J это у вас что? выполните скрипт из поста 13 и скрипт Код:
procedure DisableAutorun;найдите, заархивируйте с паролем virus и пришлите файлы, указанные ниже, на адрес user15802[at]mail.ru или выложите на ifolder.ru или slil.ru или другой файлообменник и дайте ссылку на него в ПМ, в теле письма указать ссылку на тему 2ifetri.cmd - на всех дисках J:\m1t8ta.com J:\juok3st.bat J:\d.com J:\nideiect.com Внимание, не открывайте диск J двойным щелчком мыши - включите показ скрытых файлов. Рекомендую воспользоваться альтернативным файловым менеджером far или total commander) После того как заархивируете и вышлите, удалите эти файлы. Проверьте диск J антивирусом со свежими базами, не отключайте пока диск J Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. Если вы ранее скачивали Combofix, скачайте новую версию. Сохраните Combofix на рабочий стол 1. Не переименовывайте Combofix 2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt в сообщение. Прикрепите также новые логи AVZ virusinfo_syscheck.zip и hijackthis (c вкл. диском J) |
Вложений: 3
Pili, всё сделал в такой последовательности, как было написано.
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 удалил. Цитата:
J:\m1t8ta.com, J:\juok3st.bat, J:\d.com и J:\nideiect.com - удалил. архивы в с этими файлами, а также новыми логами AVZ, combofix и hijackthis прикрепляю к посланию. Ссылки на архивы systemscanner и J - в ПМ. J:\ - это один из разделов на 5-м массиве, на нём хранятся, в основном, аудио файлы. Traffic Inspector Agent установлен, - я по нему получаю доступ к локальной сети. |
amigo-64, судя по логу avz скрипт из 13 не выполнялся - выполните. Содержимое файла Combofix (и логи DSS) лучше было скопировать в сообщение (исп-ся BB-коды)
удалите из реестра HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8fce4f2d-b352-11dc-ba17-a0a390a71836} Поищите файл autorun.inf в корне всех дисков, что найдете в архиве в паролем virus Вопрос - вы с помощью AVPTool проверялись? Если проверялись, то ставили на сканирование все диски? Если нет - рекомендую посканировать все диски. На диск (в корень диска) J кроме вас ещё иммет кто-то право на запись? Предыдущие файлы пока анализируются (по VT они чистые) Соберем ещё файлы на анализ, выполните скрипт В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью прав. кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить» Код:
beginКод:
beginComboFix можно деинсталлировать, нажмите пуск-выполнить, введите ComboFix /u зы. кстати usb устройства могут не работать, если не разрешены в биосе. |
Вложений: 1
Pili, выполнил скрипты начиная с поста #12 (13-й - это мой получается).
{8fce4f2d-b352-11dc-ba17-a0a390a71836} не нашёл, удалил всю ветку mountpoints2. Цитата:
Цитата:
сейчас нашёл файлы autorun.inf , заархивировал, прилагаю к сообщению под паролем virus; сами файлы потом удалять или нет? ComboFix деинсталлировал. архив здесь: http://slil.ru/25560694 на счёт AVPTool: у меня же avast! стоит, его удалять, что-ли? не хотелось бы, - лицензия.. :) |
amigo-64, я не просил найходить все autorun.inf
Цитата:
Цитата:
скачайте AVPTool и проверьте все диски. жду карантина |
Цитата:
Цитата:
сейчас делаю полную проверку всех дисков AVZ (базы свежие). Цитата:
вот новый карантин: Предупреждение:Карантин в общий доступ не выкладывать, в нем могут быть вирусы! См. правила |
Проверьте диски с помошью AVPTool
Файлы xo8wr9.exe, ylr.exe и h.cmd в карантин не попали (их видимо и нет на диске), rm.exe и ms.config`.exe также нулевого размера, остальные чистые по VT, отправлены на анализ. Цитата:
|
Pili, проверил в конце концов диски AVPTool. Ничего не найдено. Но, всё же, что-то изменилось в системе: позавчера во время ребилда моего 5-го иассива из 4-х дисков странным образом зависла мышь, подключенная через переходник к ps\2. Управлял окнами только при помощи клавиатуры (тоже ps\2, без переходника). Когда контроллер массива закончил свои грязные делишки, я перезагрузился в safe mode, но мышь и там зависла! Потом я перезагрузился в обычный режим, но мышь по-прежнему висела. Тогда я воткнул её куда надо (т.е. в USB порт) и (о чудо!) она заработала!
НО в автозагрузке я обнаружил вирь avmo.exe, от которого не так давно с трудом избавился. Как думаете, есть ли связь между мышью и вирусом avmo (ещё паровозом загружается служба avma)? И ещё теперь не показываются скрытые папки и файлы и никак это не включить из "вида". |
amigo-64, выполните скрипт
Код:
beginПо прошлым логам система была чистой, только на диске J были остатки вируса (судя по названию это Trojan-PSW.Win32.OnLineGames или Worm.Win32.AutoRun, но файлы сами были битые), Если выполняли рекомендации из поста 15, то автозапуск д.б. отключится (скрипт защищает от автозапуска со сьемных носителей через autorun.inf), если не выполняли - значит вставили флешку и заразились. Рекомендую не открывать диски проводником, использовать far или total commander |
Pili, большое Вам спасибо за то, что уделяете мне столько времени! :beer:
Скрипт я, конечно выполню, но нельзя ли ещё раз написать какими программами, в каком порядке и в каком режиме сканировать? И куда выкладывать? А то я уже запутался.. :) И какие ещё скрипты выполнить? Цитата:
|
amigo-64, пожалуйста :)
AVPTool можно деинсталлировать (разовую проверку вы уже выполнили) Логи выложить по правилам, или там же ниже есть краткие правила, если время есть, можете логи DSS (main.txt, extra.txt) выложить (лучше скопировать содержимое этих файлов в сообщение). Скрипты выполнять в том порядке, в котором они выкладываются в эту тему. От проводника, имхо, лучше постепенно совсем отказываться и переходить на альтернативные файловые менеджеры (FAR, total commaner), постепенно убедитесь, что они удобнее, во-первых отображаются скрытые файлы, во-вторых автозапуск не сработает (если autorun.inf будет... и много прочего полезного) :) Кстати, по проблеме клавиатуры, по логам dss (лог at 19:46:29, on 07.03.2008) видно, что у вас отключены некоторый устройства, из них Цитата:
можно так (сохраните как файл с расширением bat и запустите) Код:
devcon enable USB\VID_045E |
| Время: 16:42. |
Время: 16:42.
© OSzone.net 2001-