Перейти до вмісту

* * * * - 3 Голосів

Як позбавитись віруса?


Повідомлень в темі: 228

#121 @Zu

    Місцевий

  • Користувачі
  • PipPipPipPipPipPip
  • 264 повідомлень
  • Стать:Жінка
  • Місто:Київ

Відправлено 08.12.2008 – 04:28

така халепа.хочу вирубити комп з"являється синій екран на ньому написано STOP:C000021a потім каркозяблики windows Logon Process коли врубаю комп то каспер сигналізує про потенційно небезпечне пз invader: і шлях G:\Windows\system32\winlogon.exe правда антивірусника не було пару днів.за допомогою avz нічого небезпечного не було знайдено.невже це кінець??????
  • 0

#122 Evol

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1846 повідомлень
  • Стать:Чоловік

Відправлено 08.12.2008 – 10:37

Перегляд допису@Zu (8.12.2008 04:28) писав:

така халепа.хочу вирубити комп з"являється синій екран на ньому написано STOP:C000021a потім каркозяблики windows Logon Process коли врубаю комп то каспер сигналізує про потенційно небезпечне пз invader: і шлях G:\Windows\system32\winlogon.exe правда антивірусника не було пару днів.за допомогою avz нічого небезпечного не було знайдено.невже це кінець??????
попробуй зайти в безпечний режим і виконати "sfc /SCANNOW". можливо буде потрібно вставити диск з інсталяцією віндовса.
  • 0

#123 @Zu

    Місцевий

  • Користувачі
  • PipPipPipPipPipPip
  • 264 повідомлень
  • Стать:Жінка
  • Місто:Київ

Відправлено 08.12.2008 – 18:06

Evol а якщо я SP3 буду ставити хіба не будуть перевірятися файли?????
  • 0

#124 Evol

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1846 повідомлень
  • Стать:Чоловік

Відправлено 08.12.2008 – 19:20

Перегляд допису@Zu (8.12.2008 18:06) писав:

Evol а якщо я SP3 буду ставити хіба не будуть перевірятися файли?????
будуть.. тільки не перевірятися а замінюватися. якшо вірус (чи ше якась біда) дійсно в winlogon.exe то сервіс паком ти цей файл обновиш і можливо помилка зникне.

п.с.: яка версія каспера?
  • 0

#125 Panikovskiy

    Місцевий

  • Користувачі
  • PipPipPipPipPipPip
  • 238 повідомлень
  • Стать:Чоловік
  • Місто:Іберійський пів-острів

Відправлено 08.12.2008 – 20:25

Думаю можна звернутись сюди http://virusinfo.info/ сам недавно навідувався.
  • 0

#126 @Zu

    Місцевий

  • Користувачі
  • PipPipPipPipPipPip
  • 264 повідомлень
  • Стать:Жінка
  • Місто:Київ

Відправлено 11.12.2008 – 22:16

стояла КАV 7.0.1.325. поставила sp3 не допомогло, sfc /scannow також нічого не дало.ехе незапускало. dll заміняло.переставила ос відформатувала вінт. тепер все нормально.дякую всім за поради.
  • 0

#127 Pit

    Генеральний писар

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 723 повідомлень
  • Стать:Чоловік

Відправлено 18.12.2008 – 11:09

Мене Win32.Hidrag.a або win32,Jefo вже дістав. Кожного дня перевіряю і все одне і теж (дивіться скрін.сорі за якість. просто кращий не влізе) Як зробити так шоб він не множився? (повне форматування компа не підійде)))
Прикріплений файл  Virus.jpg   130.4К   20 Кількість завантажень:
  • 0

#128 Evol

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1846 повідомлень
  • Стать:Чоловік

Відправлено 18.12.2008 – 13:31

Перегляд дописуPit (18.12.2008 11:09) писав:

Мене Win32.Hidrag.a або win32,Jefo вже дістав. Кожного дня перевіряю і все одне і теж (дивіться скрін.сорі за якість. просто кращий не влізе) Як зробити так шоб він не множився? (повне форматування компа не підійде)))
скачай Dr.Web LiveCD, загрузися з нього і проскануй систему.
  • 0

#129 Pit

    Генеральний писар

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 723 повідомлень
  • Стать:Чоловік

Відправлено 25.12.2008 – 22:35

Кожного разу,коли я в неті то в мене в папці c:\Documents and Settings\юзер\
з'являється файлик asdfsd.exe
З часом з'являється таке:
Прикріплений файл  _________1.jpg   52.2К   8 Кількість завантажень:
В підключенях з'являється з'єднання з назвою i-connect
Антивірус показує таке
Прикріплений файл  asd.jpg   49.58К   7 Кількість завантажень:
і вимикається нет. Як позбутися того лайна?

Також весьчас коли в неті, касперський пише, шо мій комп був атакований Intruusion.Win.MSSQL.worm.Helkern
  • 0

#130 Evol

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1846 повідомлень
  • Стать:Чоловік

Відправлено 25.12.2008 – 23:52

Pit, варіант вище не підійшов?
  • 0

#131 Pit

    Генеральний писар

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 723 повідомлень
  • Стать:Чоловік

Відправлено 26.12.2008 – 09:31

Перегляд дописуEvol (25.12.2008 23:52) писав:

Pit, варіант вище не підійшов?
З Win32.Hidrag.a - підійшов, а з цим - ні.
  • 0

#132 Pit

    Генеральний писар

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 723 повідомлень
  • Стать:Чоловік

Відправлено 26.12.2008 – 10:25

Знайшов, та не знаю як то зробити.

Цитата

elec12323.12.2008 22:18доброго времени суток!
намедни через флешку подцепил вот такую штуку , в результате чего обнаружил такие симптомы :
f:\autorun.inf не удаляется , его содержимое
[autorun]
open=SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe
shell\open\default=1
в папке f:\system тоже два ехе файла perfume.exe и usb.exe не удаляются.
по этому пути C:\Documents and Settings\username появляется файл asdfsds.exe который постоянно вызывает дебагера вижл студии , это окошко собсна напрягает больше всего , т.к очень сильно мешается и прерывает работу за компом . Антивирус Касперского 2009 всё это видит , но удаляя , помещая и блокируя их они появляются снова и снова .
вот нужные материалы .
Click to view attachment
Click to view attachment
Click to view attachment
Помогите обеззаражить флешку и вернуть нормальную работу компа
V_Bond23.12.2008 23:02выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX3C644241');
QuarantineFile('F:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe','');
QuarantineFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe','');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exe');
DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
ExecuteRepair(6);
ExecuteRepair(8);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
quarantine.zip - отправте на newvirus@kaspersky.com
повторите логи
elec12323.12.2008 23:28спасибо , проблема решена.
Click to view attachment
Click to view attachment
Click to view attachment
V_Bond23.12.2008 23:35выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-22CX3C644241');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи

Вроді все просто... але як ті скрипти виконувати? Якшо через паскаль, то воно хоче опису кожної команди, а я не знаю шо то за команди такі. якшо кидати в блокнот і там зберігати з розширенням exe, то при ввімкненні, прога просто ,,стоїть,,.
  • 0

#133 Evol

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1846 повідомлень
  • Стать:Чоловік

Відправлено 26.12.2008 – 13:40

Перегляд дописуPit (26.12.2008 10:25) писав:

Знайшов, та не знаю як то зробити.


Вроді все просто... але як ті скрипти виконувати? Якшо через паскаль, то воно хоче опису кожної команди, а я не знаю шо то за команди такі. якшо кидати в блокнот і там зберігати з розширенням exe, то при ввімкненні, прога просто ,,стоїть,,.
скрипти тре писати в Kaspersky Virus Removal Tool чи в AVZ. можеш до речі їм відправити свій звіт і вони пришлють тобі скрипт для твого випадку B)

Повідомлення відредагував Evol: 26.12.2008 – 21:38

  • 0

#134 Pit

    Генеральний писар

  • Користувачі
  • PipPipPipPipPipPipPipPipPip
  • 723 повідомлень
  • Стать:Чоловік

Відправлено 27.12.2008 – 18:46

Перегляд дописуPit (25.12.2008 22:35) писав:

Кожного разу,коли я в неті то в мене в папці c:\Documents and Settings\юзер\
з'являється файлик asdfsd.exe
З часом з'являється таке:
Прикріплений файл _________1.jpg
В підключенях з'являється з'єднання з назвою i-connect
Антивірус показує таке
Прикріплений файл asd.jpg
і вимикається нет. Як позбутися того лайна?
Також весьчас коли в неті, касперський пише, шо мій комп був атакований Intruusion.Win.MSSQL.worm.Helkern
Помітив цікаву річ... скриптами, шо вище стоять я ше не користувався. Вирішив переставити антивірус, так, для профілактики і помітив дещо. До того, коли вискакували оці всі таблички і в папці c:\Documents and Settings\юзер\
з'являвся якийсь лівий файл, то я користувався Kaspersky Internet Security. Сьогодні поставив звичайного касперського і нічого нема. Так, звичайно, зараз скажете шо я тормоз, бо там може бази старіші бла,бла,бла. Але ні. Сам файлик в папці документів юзера вже не з'являється і табличка ,,відправляти не відправляти звіт,, також не вискакує. Може я і не правий, але мені здається, шо то сам KIS робить таке западло. Але перевіряючи сам інсталятор KIS на віруси нічого нема.
Так шо я не знаю. Пишіть, чи таке можливо. Повторюю, шо я ше нічого не лікував а просто переставив антивірус.
  • 0

#135 Evol

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1846 повідомлень
  • Стать:Чоловік

Відправлено 27.12.2008 – 19:15

Перегляд дописуPit (27.12.2008 18:46) писав:

Помітив цікаву річ... скриптами, шо вище стоять я ше не користувався. Вирішив переставити антивірус, так, для профілактики і помітив дещо. До того, коли вискакували оці всі таблички і в папці c:\Documents and Settings\юзер\
з'являвся якийсь лівий файл, то я користувався Kaspersky Internet Security. Сьогодні поставив звичайного касперського і нічого нема. Так, звичайно, зараз скажете шо я тормоз, бо там може бази старіші бла,бла,бла. Але ні. Сам файлик в папці документів юзера вже не з'являється і табличка ,,відправляти не відправляти звіт,, також не вискакує. Може я і не правий, але мені здається, шо то сам KIS робить таке западло. Але перевіряючи сам інсталятор KIS на віруси нічого нема.
Так шо я не знаю. Пишіть, чи таке можливо. Повторюю, шо я ше нічого не лікував а просто переставив антивірус.
хм.. то значить тої проги нема вже шо під аську маскувалася? якшо так то тут є два варіанти:
1) ти качав KIS не з сайту касперського і в установку вже був вмонтований троян (завжди качай дистрибутиви з офіційного сайту)
2) прога маскується і так просто ти її не бачиш. можливо KIS якось пробував "протидіяти" тому маскуванню і того прога вилітала.

ось так :rolleyes:
  • 0

#136 Airo

    Профі

  • Користувачі
  • PipPipPipPipPipPipPip
  • 300 повідомлень
  • Стать:Чоловік
  • Місто:Шполяндія

Відправлено 02.01.2009 – 11:41

Така от проблемка в мене. Вірус причепився і не відстає я вже і диск Ц форматував і з лів диска лікував його, а йому хоть би хни. Вірус має такі 2 файлика: NTDETECT.COM і ntldr(без розширення). Ви мабуть скажете що ntldr це системний файл - але спочатку коли диск отформатував я і вінду поставив його не було.
  • 0

#137 Evol

    Старійшина

  • Користувачі
  • PipPipPipPipPipPipPipPipPipPip
  • 1846 повідомлень
  • Стать:Чоловік

Відправлено 02.01.2009 – 14:27

Перегляд дописуSparkX (2.01.2009 11:41) писав:

Така от проблемка в мене. Вірус причепився і не відстає я вже і диск Ц форматував і з лів диска лікував його, а йому хоть би хни. Вірус має такі 2 файлика: NTDETECT.COM і ntldr(без розширення). Ви мабуть скажете що ntldr це системний файл - але спочатку коли диск отформатував я і вінду поставив його не було.
бугага)) ntldr і ntdetect.com то таки дійсно системні файли :) і вони були після встановлення вінди, може ти їх просто не бачив спочатку) інша справа шо під ntdetect.com часто маскуються всякі віруси, особливо авторани (часто в них імена типу ntdetec1 чи шось таке :)).
  • 0

#138 Airo

    Профі

  • Користувачі
  • PipPipPipPipPipPipPip
  • 300 повідомлень
  • Стать:Чоловік
  • Місто:Шполяндія

Відправлено 02.01.2009 – 15:05

Перегляд дописуEvol (2.01.2009 14:27) писав:

бугага)) ntldr і ntdetect.com то таки дійсно системні файли :) і вони були після встановлення вінди, може ти їх просто не бачив спочатку) інша справа шо під ntdetect.com часто маскуються всякі віруси, особливо авторани (часто в них імена типу ntdetec1 чи шось таке :)).
Я про це й кажу. Я записав ntldr на флешку вставив в інший комп тепер там теж саме.
  • 0

#139 coloback

    Частий гість

  • Користувачі
  • PipPipPip
  • 42 повідомлень

Відправлено 04.01.2009 – 21:24

Перегляд дописуSparkX (2.01.2009 11:41) писав:

Ви мабуть скажете що ntldr це системний файл - але спочатку коли диск отформатував я і вінду поставив його не було.
Можливо, форматування було надмірним :happytwo: Бо у мене і ntldr і NTDETECT.COM живуть на HDD від моменту встановлення вінди і донині. А вірусів немає. Інша справа, що знаходяться вони в завантажувальному розділі диску, а не в системному (конфігурація у мене така: кілька системних розділів з одним завантажувальним). А щодо вірусу - може бути те, про що писав Evol, або й ще простіше - вірус дописався до цих файлів (заразив їх). А дослід з флешкою та чужим комп'ютером мені сподобався <_< . Хазяїн компа в курсі, звідки в нього тепер ті глюки? Взагалі, я спочатку спробував би антивірус(и).
  • 0

#140 Ігорь

    Частий гість

  • Користувачі
  • PipPipPip
  • 50 повідомлень
  • Стать:Чоловік
  • Місто:Київ

Відправлено 04.01.2009 – 22:48

Перегляд дописуSparkX (2.01.2009 11:41) писав:

Вірус причепився і не відстає
Що за вірус та що він робить?

Перегляд дописуSparkX (2.01.2009 11:41) писав:

Вірус має такі 2 файлика: NTDETECT.COM і ntldr(без розширення). Ви мабуть скажете що ntldr це системний файл - але спочатку коли диск отформатував я і вінду поставив його не було.
NTLDR - це загрузчик для операційної системи(NT Loader).
NTDETECT.COM - це також системний файл, взаємодіє безпосередньо с NTLDR.
Так що це не віруси, хоча NTDETECT.COM можуть і заразити.

Перегляд дописуSparkX (2.01.2009 15:05) писав:

Я про це й кажу. Я записав ntldr на флешку вставив в інший комп тепер там теж саме.
Ти бачив тільки те що ти скопіював. А скоріш за все в тебе просто авторун вірус, який і автоматом записався на флешку коли ти її вставив.

Повідомлення відредагував Ігорь: 04.01.2009 – 22:51

  • 0



Кількість користувачів, що читають цю тему: 1

0 користувачів, 1 гостей, 0 анонімних