|
комп в организации
куча специализированных программ."написанные" для каждого региона, для каждого ведомства отдельно... для восстановления надо связываться с "центром", что чревато "разборками".
система заражена по самое нехочу..но пока работает. с чего начать? дабы не задеть эти преславутые программы... понятное дело ни диспетчер , ни реестр не работает. запуск программ(утилит антивирей) невозможен ни в каком режиме(безопасный и.т.д)(скрипты и утилиты для восстановления "безопасника" запустить невозможно) с лайва тоже не "грузит". жесткий перекидывал на другой комп(компы).... бесполезно. "вешает" тот комп или уходит в "невидимку".(проверен в дос режимах- бэдов нет.) avz даже при положительном исходе запускать боюсь(имел случаи при которых он полностью удалял папки с инфой.... а это как бы не ахти...) из всех мною испробованных утилит(на других машинах) с самыми минимальными потерями справлялся только DR.WEB CURELT!(в режиме повышенной защиты) итак.... что посоветуют спецы? ....(логи выложить не могу по причине невозможности запуска авз и хчтака,ну и даже если б была такая возможность по причине боязни за утрату данных) вот такая вот делема....... |
Цитата:
Без выполнения правил помочь будет трудно. Попробуйте полиморфный AVZ (ссылка в моей подписи) |
полиморфный AVZ попробовал. как и остальные утилиты при попытке их "включения" компьютер "уходит" в выключение.
|
yarcev20071, не пробовали CureIt!.exe (бета версия)?
|
пробовал. тоже самое.
Цитата:
если на флэшке в папке - то просмотреть флэшку дает. как заходишь в папку может сразу "рубануть", а может "подождать" попытки задействовать утилитку..... а потом выключается. |
yarcev20071, Проверьте компьютер этой утилитой - NoVirusThanks Malware Remover
В дополнение ещё сделайте лог SDFix. • Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь. • Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. |
Drongo,
Цитата:
yarcev20071, скажите, У Вас никаких порнолокеров с просьбой отправит СМС на номер 3381 нет (не было) случайно? |
thyrex, Всё верно. Читал бегло. :( Но лог RSIT сделать можно. :)
|
Цитата:
стандартного кода для разблокировки не существует..(перепробЫвал варианты с каспера,веба и езета) ни один не подошел, да еще и проверка кода по несколько минут идет..... в общем утилитки не работают в этой среде. ни NoVirusThanks Malware Remover ни SDFix. извиняюсь, но до RSIT не дошел. удалось "подвязать" жесткий к другой системе. прошелся по нему, чем только мог. единственное не знаю , как бы до реестра добраться....., т.к как понимаю от вирусочервяков избавился, но система все равно не хотит работать....так как надо. (почему лайвы не грузятся? штук 6 испробовал.....) |
Цитата:
ERD Commander пробовали? Он на базе Windows |
Цитата:
а так. пока этим http://forum.oszone.net/thread-176382.html займемся. |
к сожалению приходиться продолжать решение этой проблемы раньше. возникла еще одна.
при загрузке системы начало выходить окно о необходимости активации системы(обычное окно , как при .....на самом деле не лицензионной оси. при нажатии кнопки да происходит перекидывание на начальное "меню", где предлагается ввести пароль пользователя.операционная система windows xp sp1 - 100% лицензионная! знаю, что на форуме запрещены обсуждения кряков, взломов и.т.д , но мне кажется, что это все таки проделки зловреда. если нет возможности решения именно этого аспекта вопроса попробую разобраться сам...... а так.... что имеем... смог загрузиться в erd.выкладываю снимки автозагрузки и реестра(winlogon). (видно что shell вроде не в порядке) посмотрите пожалуйста. (снимки с мобильника. качество не очень...) |
Проверьте, как и в прошлой теме, параметр AppInit_DLLs
|
Цитата:
|
в систему вошел(пришлось воспользоваться....ну вы поняли)
к сожалению не успел "стянуть" флэшку из компьютера..... почти всю "снесло". как бы восстановить безопасный режим. реестр заблокирован. (на рабочем компьютере на флэшке нод детектирует салити......) если будет возможность запуска SalityKiller - насколько велика вероятность...удаления "нужных" файлов? |
Цитата:
Файлы тем же антивирусом удаляются только при невозможности лечения |
- прошелся SalityKiller - куча сдетектированных файлов
- разблокировался реестр и диспетчер задач - запустил avz - не дойдя немного до момента скрипт выполнен - компьютер выключается. -запускаю компьютер - заметно заражение. - прошелся еще раз SalityKiller - заражения меньше раз в 10 но есть. - с avz та же история - прошелся SalityKiller - заражение есть.правда еще меньше. -вроде удалось сделать логи avz- только в обратном порядке.2 а потом 3. HiJackThis запустить не удалось. |
Отключите восстановление системы!
Выполните скрипт в AVZ Код:
beginВыполните скрипт в AVZ Код:
beginСделайте новые логи |
Вложений: 1
выкладываю..
|
yarcev20071, Архивы логов не открываются, пишет, не соответствует формату архива ???
|
я как понял avz-шные не открывает.
при выполнении скрипта видел что ,что то там писало про невозможность создания архива(не придал этому значения) ладно. попробую еще раз. |
при запуске с флэшки сохраняет нормально. с жесткого - с ошибкой.
|
yarcev20071, Вот ваш скрипт.
• Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. Код:
beginКод:
beginПовторите логи + сделайте лог HiJackThis |
Вложений: 1
Drongo, выкладываю.
|
Ответ из вирлаба приходил?
На время выполнения скрипта Internet Explorer выгрузите из памяти Выполните скрипт в AVZ Код:
beginСделайте новые логи |
Цитата:
сейчас сделаю скрипты..... ой блин! я же обратный адрес вписать забыл на вирлаб! сейчас исправлю.... |
Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. dp1.fne exmlrpc.fne Вредоносный код в файлах не обнаружен. krnln.fne - Trojan.Win32.Pasta.ipb Other.exe - IM-Worm.Win32.VB.ln В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами. С уважением, Лаборатория Касперского |
Вложений: 1
логи выкладываю..
|
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe |
Вложений: 1
выкладываю.....
блин.... а hosts то очистился.... а там к програмке адрес подвязан был... а я его не помню... и налогоплательщик не запускается.... |
c:\windows\system32\Wecuenscc.dll проверьте на virustotal
Ссылку на результат проверки сообщите Вот это содержимое Вашего hosts Цитата:
Цитата:
Сделайте еще раз логи AVZ Вопрос: а система почему такая древняя? Цитата:
|
Цитата:
Цитата:
логи сейчас сделаю... Цитата:
вырубил антивирус... - вот http://www.virustotal.com/ru/analisi...941-1274989575 |
|
логи "подошли"
|
Цитата:
а вот рядышком - тот самый....(который....."убитый") Цитата:
|
Цитата:
Цитата:
Нажмите Смайлики над окном для набора сообщений :cool: Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол. Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора) временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C) Код:
:ProcessesКомпьютер перезагрузится. После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), прикрепите его к следующему сообщению. |
Цитата:
не факт ,что обновление благосклонно на них повлияет.. пошел делать логи..... лог не создается... но все 4 файла в той папке. |
|
Цитата:
с лайва сегодня уже не "долечусь", а завтра комп нужен в организации.. пока просто поставлю антивирус( поставил - сразу сдетектировал resetservice в system 32), завтра посмотрю как там с программным обеспечением( пусть специалист на них поработает... все ли в порядке( я в этих узконаправленных программах не знаток) а вечерком наверное обратно к себе возьму.... там и продолжим. thyrex, ОГРОМНОЕ СПАСИБО ЗА ПОМОЩЬ! :good: :laiel: :hi: |
ОК, продолжим завтра. А вы за день скачаете образ LiveCD и запишете его на болванку.
|
p.s после установки nod32 во всю стал ругаться на заражение памяти Wecuenscc.dll
удалить не может, после перезагрузки то же самое. загрузившись в erd нашел файлы Wecuenscc.dll и Wecuenscc.exe , на которые др веб не реагирует, но учитывая вирустотал( там он их тоже не детектирует, а каспер детектирует - качну лайв каспера. файлы удалил вручную. nod больше не жалуется) |
Закончите проверку с помощью Live CD от Касперского, делайте логи
|
Вложений: 1
по ряду причин поработать(полечить) с этим компьютером сегодня не удалось.(причины озвучу , когда выложу логи на этот компьютер)
и если можно ради профилактики (и чтоб не создавать отдельную тему) давайте проверим мой компьютер, через который за последнее время прошло куча зараженных флэшек из этой темы и из идентичной темы-2. |
Ничего необычного в этих логах
|
Цитата:
thyrex, у меня пару раз, после вчерашней темы после включения,перезагрузки моего компьютера выскакивало окно с извлечением архива virusinfo_syscure.. потом пропадало.... что бы это могло быть? |
Цитата:
|
yarcev20071, Может в автозагрузке помещён?
|
Drongo, в "прямой" автозагрузке все чисто.
видимо где то уже здесь... |
| Время: 09:48. |
Время: 09:48.
© OSzone.net 2001-