Решена Помогите пожалуйста полечит компьютер от вирусов.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем FreddikMerfi, 7 май 2011.

Статус темы:
Закрыта.
  1. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    Проблема заключается в следующем, не заходит на некоторые сайты и не качает с торрента.
    Вот собственно лог AVZ:
     

    Вложения:

  2. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    P.S. просьба не удалять файл System Observer, т.к. он является проверенным, это утилита заменяющая стандартный диспетчер задач. Да и ещё это всё получилось после того как на комп попал банер на рабочий стол.
     
    Последнее редактирование: 7 май 2011
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Смотрю логи скоро отвечу.

    Добавлено через 17 минут 26 секунд
    Очистите и создайте новую контрольную точку восстановления.
    1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

    Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли
    если вы используете Opera, нажмите Opera - Select All - Empty Selected
    нажмите No, если вы хотите оставить ваши сохраненные пароли

    Отключите компьютер от интернета, закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Администратор\application data\dwm.exe');
     TerminateProcessByName('c:\windows\temp\csrss.exe');
     TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\conhost.exe');
     TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\{f1a97ee8-a5ba-7b85-4cac-4088e26b0f7e}\.exe');
     QuarantineFile('C:\WINDOWS\Temp\KB5246794328.exe','');
     QuarantineFile('C:\WINDOWS\Temp\Bases-09_Russia_Setup-p.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\klmd.sys','');
     QuarantineFile('C:\WINDOWS\system32\GameMon.des','');
     QuarantineFile('c:\documents and settings\Администратор\application data\dwm.exe','');
     QuarantineFile('c:\windows\temp\csrss.exe','');
     QuarantineFile('c:\documents and settings\Администратор\application data\microsoft\conhost.exe','');
     QuarantineFile('c:\documents and settings\Администратор\local settings\application data\{f1a97ee8-a5ba-7b85-4cac-4088e26b0f7e}\.exe','');
     DeleteFile('c:\documents and settings\Администратор\local settings\application data\{f1a97ee8-a5ba-7b85-4cac-4088e26b0f7e}\.exe');
     DeleteFile('c:\documents and settings\Администратор\application data\dwm.exe');
     DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\conhost.exe');
     DeleteFile('C:\WINDOWS\Temp\KB5246794328.exe');
     DeleteFile('C:\WINDOWS\Temp\csrss.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Explorer');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте на quarantine<at>safezone.cc с указанной ссылкой на тему в теме сообщения. (at=@) с указанием пароля: virus в теле письма.

    После выполнения скриптов сделайте новые логи по правилам.

    А также:
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  4. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    FreddikMerfi, делай плиз и лог РСИТ
     
    2 пользователям это понравилось.
  5. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    Severnyj и Arbitr логи и всё остальное сделаю завтра, а то сегодня не получается, много работы.
     
  6. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    После выполнения первого скрипта, вообще ни на один сайт не выходит, даже на Яндекс.
    не понял на какой адрес загрузить карантин.
    новые логи будут чуть позднее.
     
  7. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    quarantine<at>safezone.cc (at=@)
     
    1 человеку нравится это.
  8. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    Да я понял что вместо <at> надо поставить @, но просто хотел уточнить, это как бы адрес ,,электронки,, и туда надо письмо отправить с архивом и паролем.
    И почему у меня теперь после выполнения первого скрипта не выходит ни на одну страницу???
     
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Да это адрес эл почты, в теме письма, укажите ссылку на эту тему, а в теле письма укажите пароль на архив: virus.

    По поводу второго вопроса, готовьте логи, посмотрим. Без логов мы не телепаты :)
     
    1 человеку нравится это.
  10. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    FreddikMerfi, выполните повторные логи АВЗ и РСИТ
    +

     
    1 человеку нравится это.
  11. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    А как поставить пароль на ахив???
    Да, кстати MBAM не запускается, выдаёт ошибку ,,Runtime Error 0,,
     
    Последнее редактирование: 8 май 2011
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Если делали архив скриптом, пароль поставится автоматически
     
  13. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    Делал то я его скриптом, приведённым в посте №3, но я его легко могу открыть и посмотреть файлы, и никакого пароля не нужно.
     
  14. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    Просьба не удалять вот это: "C:\Program Files\System Observer\SO.exe"
     

    Вложения:

  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Скопируйте следующий текст в Блокнот, сохраните как MBAM Fix.bat и запустите (В Windows Vista/7 запускать от имени администратора), затем попробуйте запустить MBAM:

    Код (Text):
    if exist "%programfiles(x86)%" regsvr32 "%programfiles(x86)%\Malwarebytes' Anti-Malware\mbamext.dll"
    if exist "%programfiles(x86)%" regsvr32 "%programfiles(x86)%\Malwarebytes' Anti-Malware\ssubtmr6.dll"
    if exist "%programfiles(x86)%" regsvr32 "%programfiles(x86)%\Malwarebytes' Anti-Malware\vbalsgrid6.ocx"
    if not exist "%programfiles(x86)%" regsvr32 "%programfiles%\Malwarebytes' Anti-Malware\mbamext.dll"
    if not exist "%programfiles(x86)%" regsvr32 "%programfiles%\Malwarebytes' Anti-Malware\ssubtmr6.dll"
    if not exist "%programfiles(x86)%" regsvr32 "%programfiles%\Malwarebytes' Anti-Malware\vbalsgrid6.ocx"
    Добавлено через 56 секунд
    Первый раз не удалили второй тоже не тронем, логи RSIT где?
     
    1 человеку нравится это.
  16. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    MBAM выдаёт тоже самое 0 и 440 ошибку.
    а как узнать к какой мне системе скачивать утилиту, на 32 или 64 бита???
    Так архив то карантина отсылать на ,,электронку,,???
     
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    32 bit, пароль не ставьте, с MBAM потом разберемся.
     
  18. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    Карантин отослал по ,,электронке,,.
    Вот логи RSIT:
     

    Вложения:

    • info.txt
      Размер файла:
      25,1 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      38,9 КБ
      Просмотров:
      2
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
  20. FreddikMerfi
    Оффлайн

    FreddikMerfi Активный пользователь

    Сообщения:
    91
    Симпатии:
    41
    MBAM восстановил, не хватало файла Regsvr32.exe. Сча буду делать сканирование!!!
     
Статус темы:
Закрыта.

Поделиться этой страницей