guestt — 29.11.2008 08:44:59

simplix
Спасибо за проделанную работу! Вчера поставил ОС, решил еще проверить через hijackthis и обнаружил в автозагрузке такой ключ
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NetworkService"="C:\\WINDOWS\\TEMP\\IXP000.TMP\\svchost.exe"

Для чего он нужен? Можно ли его отключить?

simplix — 29.11.2008 09:02:50

guestt
Отключить не только можно, но и нужно - вы подхватили троян.

WerHoveR — 19.01.2009 18:10:08

simplix
у меня такая проблема, не могу включить диспетчер задач, пробовал 2 способами! И Еще такая проблема, устанавливаю антивирус ( касперски, аваст, др.веб) и не запускается он!! Что такое можно узнать? :unknown:

simplix — 19.01.2009 21:48:37

WerHoveR
Возможно как раз вирус и не даёт им запуститься. Проверьте все жёсткие диски из WinPE (буква P при загрузке с диска) с помощью Kaspersky Virus Removal Tool.

idler — 11.03.2009 19:01:18

diligence52
fixmapi.exe - системный файл, лень в гугль сходить?

diligence52 сообщает:

IDimm Lite нашёл то - же самое, но удалился без проблем и  последствий.

ну-ну... :D

ничего удивительного в этом нет, это утилита для восстановления библиотеки Mapi32.dll :cool:
а то что у вас не получилось удалить системный файл в сборке симпликса, но получилось в IDimm Lite, говорит лишь о том, что в последней системные файлы выведены из-под защиты, что не есть гуд ;)

nsf — 16.06.2009 17:29:19

Пропатчил прежний образ до 15.06, аваст орет об обнаружении трояна, что это :unknown:

pavlocool — 16.06.2009 19:29:18

nsf у меня KIS2009 смолчал. Может просто какой-то безвредный но "сложной конструкции" файл не определил, вот и пишет чо вирусняк. А его определение можно в студию!

nsf — 16.06.2009 20:56:22

pavlocool
Скачал с первоисточника (NNM-Clab) c целью перепроверить, да, есть. Называется "Win32:Trojan - gen{Other}.
Путь....\WNPE\SYSTEM32\Regeditpe.exe

simplix — 16.06.2009 22:48:27

nsf
Ложное срабатывание.

Shpuntic — 17.06.2009 02:42:15

nsf сообщает:

Пропатчил прежний образ до 15.06, аваст орет об обнаружении трояна, что это :unknown:

Simplix уже отвечал на этот вопрос, пост №628:
http://s42.radikal.ru/i097/0906/93/be5c5466bb93t.jpg
читайте внимательно форум. :)

u-82 — 17.06.2009 07:25:03

simplix спасибо за твои работы.твоей сборкой пользуюсь с мая 2008.panda 2009 никаких троянов в  последней сборке не нашЁл.
:)

Andrey-A — 10.08.2009 12:43:02

Подскажите, пожалуйста!
Вставил в компьютер чужую флешку и... сразу тревога: Нод32 обнаружил червь Win32/Conficker (букву не помню).
После удаления червя из флешки и её форматирования проверил компьютер на вирусы: результат - вирусы не обнаружены. Однако, после перезагрузи компа (и последующих включений) до сегодняшнего дня изменился процесс загрузки Виндоуз. Такое впечатление, что с включением компа "что-то" подгружается автоматически, и только в последнюю очередь появляется автозагрузка, так как сам процесс загрузки увеличился по времени, а поведение экрана стало каким-то визуально неадекватным...
В работе системы пока проблем не обнаружил.

Вопрос: как восстановить повреждённые (заражённые вирусом) системные файлы без переустановки Виндоуз?
(к сожалению, я не силён в этом, так что заранее благодарен за помощь!)

grind78 — 10.08.2009 12:52:30

Выполнить команду sfc /scannow

+ еще информация: http://support.microsoft.com/kb/962007

mvk2000 — 10.08.2009 13:27:11

Andrey-A
также может быть полезна информация:
http://www.esetnod32.ru/company/news.ph … NT_ID=6327
http://support.kaspersky.ru/kis2009/error?qid=208636215

Andrey-A — 10.08.2009 13:28:10

grind78
mvk2000
спасибо! :drinks:

Light-XP — 10.08.2009 14:30:36

Andrey-A
После

поведение экрана стало каким-то визуально неадекватным

невольно возникает куча вопросов))) Скрины уж тогда выложи или уточни, что конкретно стало хуже. По поводу Conficker: визуальный интерфейс он не трогает, и если нод сказал, что грохнул его - так и есть. На счёт автозагрузки, действительно, может грузиться что-то не то, и причин может быть миллион. Далее, если хочешь посмотреть что у тебя грузится, нажми пуск->выполнить и набери msconfig , запустится окошко, в нём на вкладке "автозагрузка" можешь посмотреть, что у тебя запускается. Для теста можешь снять пару-тройку ненужных тебе галочек, перезагрузиться и посмотреть, что из этого получится. Можешь просто вопрос задать по непонятным вещам в инете. (Но трогаешь ТОЛЬКО вкладку "Автозагрузка", изменишь другие, винда не запустится)

Andrey-A — 10.08.2009 15:24:23

Light-XP

если хочешь посмотреть что у тебя грузится, нажми пуск->выполнить и набери msconfig

посмотрел, но там только то, что я и в CCleaner вижу )))
Andrey-A

поведение экрана стало каким-то визуально неадекватным

имеется в виду, что загрузка стала дольше по времени, а визуально это отражается примерно так:
пробегает полоса загрузки 4 раза, потом чёрный экран секунд 5, после экран темно-серый секунд на 5, и на его фоне огромный курсор (как-будто дров на видюху нет), потом голубой экран с надписью "Загрузка Windows", после окно "Приветствие" секунд на 10 (с крутящимся колёсиком), и только потом появляется рабочий стол, а на панели задач начинается автозагрузка из "списка автозагрузок".
Раньше было проще и быстрее:
полоса загрузки - 8 раз, после окно "Приветствия" секунд на 5-7, а потом рабочий стол с УЖЕ загруженным списком автозагрузок.
Waterclo

В ФАК-е даны ссылки для решения подобных проблем.

возможно, я невнимательный, но я не нашёл там ничего для решения этой проблемы

simplix — 10.08.2009 15:37:20

Andrey-A
В FAQ пункт 1.12, часть 2.

Waterclo — 10.08.2009 15:58:16

Andrey-A
В ФАК-е, в моём посте, ссылок слегка побольше (на любителя). Есть и ссылки на сайты, соответствующей тематики. Будь внимательнее!

Andrey-A — 11.08.2009 06:16:24

simplix
Waterclo
Ещё раз спасибо.

http://pic.ipicture.ru/uploads/090811/thumbs/oK1PyAcAGd.png

Сегодня посмотрю что можно сделать с автозагрузкой.
Надо найти полный список того, что загружается автоматически, а потом вычислить лишнее и удалить...
:drinks:

Sergikaz — 11.08.2009 08:48:36

Andrey-A
Чтобы "найти полный список того, что загружается автоматически, а потом вычислить лишнее и удалить.." рекомендую утилиту Зайцева "AVZ Antiviral Toolkit". Покажет автозагрузку всю, и программы, и службы, и драйвера, и т.д. Но с этой утилитой надо очень осторожно работать, надо делать всё очень обдумано!

Andrey-A — 11.08.2009 10:21:54

Sergikaz
спасибо за совет )

Waterclo — 11.08.2009 11:13:26

Andrey-A
Для контроля автозагрузки можешь воспользоваться Startup.cpl. Скопируй в C:\WINDOWS\system32 и можешь запускать из панели управления. Ссылка на AVZ в FAQ Пункт 5.2.

Shpuntic — 11.08.2009 11:53:43

Waterclo

Startup.cpl хрошая вещь. :good:  Спасибо, я про это не знал. :drinks:

Waterclo — 11.08.2009 12:09:54

Shpuntic
Глянь здесь, может ещё, чё пригодится.

Shpuntic — 11.08.2009 12:11:20

OFFTOPIC

Waterclo

Я там есть, ;)  просто это прозевал. :unknown:

Andrey-A — 11.08.2009 23:24:48

Спасибо всем! :drinks:
Конечно, проще переустановить Винду, но просто азарт берёт вверх.
Уже сейчас система стала грузиться чуточку быстрее, а главное, что проблем в работе не испытываю.
Только в таких ситуациях можно многому научиться и приобрести опыт в решении подобных вопросов в будущем.
Буду очень рад, если удастся всё привести в порядок.
Отдельное спасибо за Windows XP Pro SP3 VLK Rus (x86)!

http://pic.ipicture.ru/uploads/090812/thumbs/XRqk7CmIh1.jpg

На скрине видно, что отключить "Службу терминалов" не удаётся, так как она продолжает работать даже после отключения, а опция "стоп" в свойствах службы не активна.
Вопрос: как остановить "службу терминалов"?
Это значит, что кто-то удалённо получил доступ к моему компьютеру?

Waterclo — 12.08.2009 03:12:32

Andrey-A
Попробуй через реестр см. здесь.
Или создай reg файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
"Start"=dword:00000004

и перезагрузись.
Подробнее в FAQ, Пункт 5.7.
Загляни пожалуйста в FAQ Пункт 2, прочти и осмысли.

Andrey-A — 12.08.2009 07:03:55

Waterclo
"Служба терминалов" после перезагрузки отключилась нормально.

Загляни пожалуйста в FAQ Пункт 2, прочти и осмысли.

Вчера понял.

Waterclo — 12.08.2009 12:12:18

Andrey-A
Чудненько! Если Система всё ещё медленно грузится, в FAQ, Пункт 5.5. Да, кстати, лог можно было выложить текстом:

http://savepic.ru/755417m.png

Ещё проверься на Rootkit-ы и обрати внимание, что к ПК разрешён доступ анонимного пользователя. Подробнее в FAQ, 4.3 Вопрос.

Andrey-A — 12.08.2009 18:36:15

http://pic.ipicture.ru/uploads/090812/thumbs/g6OhKQa4rs.png

Waterclo
Что мне надо сделать?

Waterclo — 12.08.2009 20:31:08

Andrey-A
System оставь в покое. Зайди В Администрирование -> Локальная политика безопасности -> Параметры безопасности и потключай весь анонимный доступ.

http://savepic.ru/775915m.png  http://savepic.ru/762603m.png  http://savepic.ru/769771m.png


Пункт 2, вижу, осмыслил плохо. Посмотри, как я оформляю скрины. Там был дан наглядный пример. Не надо торпиться - будь внимательнее! Отредактируй посты в соответствии с приличиями. Сервис хранения изображений.

Andrey-A — 12.08.2009 20:56:20

Waterclo
спасибо, сделал!
а скрины я просто удалил (главное, что показал)

Waterclo — 13.08.2009 09:46:34

Andrey-A
Зря удалил. Подумай - тему будут просматривать другие, попавшие в аналогичную ситуацию, так не поймут о чём речь велась.

Andrey-A — 13.08.2009 11:17:03

Сделал превью.
В общем, полёт нормальный, спасибо ещё раз за помощь!
Буду ждать появления Windows 7 RTM от simplix :)

Waterclo — 13.08.2009 12:10:17

Andrey-A
Молодец!
А Windows 7 RTM от simplix в ближайшие несколько лет не дождёшься - см. в ФАК-е 2.37. Вопрос и Моё мнение о "Вистанутостях". Не будь "торопыгой", внимательное изучение FAQ, всегда окупается знаниями, которые никто у тебя не отнимет.
Как когда-то говорила моя Бабушка - имея знания, всегда заработаешь на кусок хлеба (Пузырь пива и кусок колбасы :lol: )

Andrey-A — 13.08.2009 12:54:22

Waterclo
Мнение о Win-7 прочитал.
Логично, согласен! :good:

Luks — 26.09.2009 15:00:38

Помогите, беда!!! Играл в игру, и она зависла. Вышел через сtrl+alt+del в окно и хотел через диспечер задач снять игру, но путем правой мыши в трее диспечер не открылся. Зделал просто \пуск\перегрузка... После этого винда не загрузилась, а появилось окно с моим именем и внизу ввести пароль. Попробовал в безопасном режиме - тоже самое :(

Выручайте, только сутки прошли как поставил другую сборку от 15.06.09. До этого стояла 20.02.08 вроди подобного не замечал.

Попробовал через k (key): Я в англ. не силен. Там пять пользователей, нашол среди них свой, но что-то не получилось. Может как-нибудь подробней проясниш.

Waterclo — 26.09.2009 16:09:08

Luks
Вообще-то, диспетчер задач вытаскивается из трэя левой кнопкой мыши. Поделись, в какую игру играл, кто создавал пользователей и как они обзываются. Создание учетных записей пользователя и группы, Что делать, если вы забыли пароль Администратора?

Luks — 26.09.2009 16:29:46

Waterclo
На нижней панели правой мышей открывается окно, там по мимо прочего есть диспечер задач.
Игра Divinity 2 и играю не по сети, если я правильно понял. Я уже запутался, наверное нервы.
Как мне ввойти в вынду, если выводит окно с моим логином и просит пароль, которого я при установке операционки не вводил?

Waterclo — 26.09.2009 16:42:55

Luks
Отставить нервы! Загрузи WinPE и проверься на вирусы Пункт 5.2 (антивирус грузим с флэшки). Что не получается через k? Перечисли пользователей.

Luks — 26.09.2009 17:12:32

Waterclo
Давай через к? Благо что у меня два компа дома.
Пользователи:
1.Admin
2.Guest
3.HelpAssistant
4.Luks (Это Я)
5.ASPNET

Waterclo — 26.09.2009 17:58:53

Luks
Если через k, то начнёт грузиться установка Windows, после загрузки драйверов устройств на чёрном фоне появится сообщение - ключи найдены в разделе и каталоге (C:\WINDOWS), дальше: 1 - продолжить; 0 - выйти. Нажмёшь 1, высветятся пользователи и запрос кому сбрасывать пароль - нажимаем цифру нужного пользователя. Дальше появится сообщение хотите ли сбросить (Y/N) - жмём Y. Дальше спросит хотите ли сбросить ещё пользователя (Y/N) и т.д.
1.Admin - понятно.
2.Guest - понятно.
3.HelpAssistant - Удаленный помощник, а он тебе нужен? См. http://security-advisory.ru/
4.Luks - если ты единственный пользователь, зачем создавал? Admin-а мало?
5.ASPNET - 2.31. Вопрос.
Если у Admin-а пароля не было, попробуй войти через него. Зря я ссылку давал, что-ли? Вообще, такие чудеса вдруг не происходят - проверься на вирусы.

Luks — 26.09.2009 19:51:11

Waterclo
Такс... Проверил я флешкой через WinPe прогой DrWeb и у меня все exe-ники заражены на системном диске. Применил лечение, вроди вылечил. Перегрузил и входил под своим ником без пароля. Открылось окно под музыку, но без ничего, только мыш работала. В безопасном режиме то-же самое. Что теперь винду переустанавливать?

Waterclo — 26.09.2009 19:51:25

Luks
Ну, чё я говорил... Переустановка - лучший выход, с полным формативованием, лучше с пересозданием раздела. Не знаю, чё ты там подхватил, но лечение и восстановление информации (если необходимо) может отнять больше времени, чем переустановка. Чтоб не подхватывать, читай по данной мной ссылке, прочти FAQ. Защищатья надо от путей доставки дерьма, а антивирус - информатор, не более. Будь осторожнее с игровыми серверами - наивернейший путь доставки. Вообще, чтоб не тратить время на переустановку - создавай резервную копию системы.

Luks — 26.09.2009 20:21:47

Waterclo
Cпасиьо тебе за помощь в вопросах. Если бы я знал что в этом причина, то за это время можна было-бы переустановить 10-windows. Ну что поделаеш, чайник я. На последок, у меня стоял NOD32, нужно-ли к нему что-то добавлять?

Waterclo — 26.09.2009 20:57:48

Luks
Чайник, говоришь - эт со временем проходит... Читай ФАК, там для начала информации досыть. Оновное - http://security-advisory.ru/, а к NOD-у стоит добавить AVZ или Spybot - Search & Destroy с включенными резидентами - AVZGuard или TeaTimer у Spybot + иммунизация. Фаер должен быть хороший. Я много лет пользуюсь Sygate Personal Firewall и горя не знаю, раньше был ATGuard, оба были скуплены Symantec (Нортоном) и ликвидированы, как опасные конкуренты. Один недостаток, для незнающих буржуйского - англ. фэйс.

diligence52 — 22.10.2009 07:14:04

Уважаемый simplix во всех полных сборках (в Вашей тоже) присутствует ЭТО: http://pic.ipicture.ru/uploads/091022/s9zGEjxYgt.jpg , но ЭТО находит только ЭТА программа. Будет время, отпишитесь пожалуйста. С уважением - немолодой "чайник".

Waterclo — 22.10.2009 07:41:12

diligence52
Есть стойкое подозрение, что ЭТО косяк именно ЭТОй разрекламированной программы. Как провериться, для обретения уверенности, в FAQ Пункт 5.2 и https://forum.simplix.info/viewtopic.php?pid=2656#p2656.

diligence52 — 22.10.2009 08:15:30

Waterclo
Moderator _ Я тоже подозреваю, что это "косяк" этой программы. Но это всего - лишь подозрения. Она находит эти трояны на чистой ОС. А комп у меня защищён довольно неплохо: Sygate Personal Firewall Pro, отключены все лазейки по рекомендации avz, антивирусами пользуюсь только portable. Сканирую все архивы и файлы после скачивания Dr.Web и X-ClamWin. Изредка запускаю KAV8Portable, nod32portable, SpyHunter, Malwarebytes Anti-Malware. Они не "видят", то что увидел Spyware Cease.___ Ставил урезанную Windows XP SP3 Professional х86 RUS DM Maximum Edition v.9.9.7, в которой было удалено:
Скрытый текст (раскрыть): (Устаревшие и не используемые компоненты, отчасти забытые Microsoft при создании русской версии ОС)
1. Знакомство с Windows XP - это то, что раздражает после первого запуска системы и занимает непомерное кол-во места.
2. Возможность обновления до Windows XP с более ранних версий, например с MSDOS
3. Удалена поддержка пиринговой сети Microsoft, которая видимо использовалась когда то внутри сети Microsoft
4. Поддержка голосовых сообщений - английский бормочащий без интонации голос с ужастным битрейтом
5. Удален Мастер переноса файлов и параметров
6. Windows Messenger
7. MSN Explorer
8. Специальные возможности схем курсоров (огромные и крупные)
9. Портфель Windows XP
10. Урок обучения использования мыши
11. Видео и звук, проигрываемые при первом запуске
12. Устаревший парсер MSMXL 2.0.
13. Удален помощник по поиску - картинка с ее функцией мельтишащая внизу поисковой строки
14. Звуковой схемы "Утопия"
15. Неиспользуемые, редкие азиатские шрифты были заменены новыми на кирилице (см.ниже)
16. Все стандартные, идущие в комплекте игры заменены более качественными и интересными
17. Цветовые Схемы Классического стиля оформления (не путать со стилем по дефолту)
18. Центр безопасности Windows XP навязывающий использование нелепого файервола от Microsoft.
19. Cлужба Автоматического обновления. Теперь сами решаем когда и что обновлять с центра обновления Microsoft.
 
Этих троянов Spyware Cease не обнаружил.

Waterclo — 22.10.2009 08:49:16

diligence52
Freecell.exe - это игрушка пасьянс, rundll32.exe - компонент системы. Вижу, компьютер защищён неплохо. Получается ЭТОй spyware cease доверия больше, чем проверенным программам? В таком случае это уже паранойя! Не проще ли проверить чистую ОС чем-то другим, более заслуживающим доверия (Dr.Web CureIt!®)?

diligence52 — 22.10.2009 09:39:44

Waterclo
Moderator _ Я обратился не по адресу.

Waterclo — 22.10.2009 10:25:38

diligence52
Ну, раз не по адресу, на моём мнении свет клином не сошёлся. Подождём что скажет simplix... И все, кто имеет мнение по этому вопросу.

simplix — 22.10.2009 12:04:49

diligence52
Сделайте проще - закачайте подозрительные файлы на http://virustotal.com и сразу всё увидите.

Waterclo — 24.10.2009 05:48:56

simplix
В этом случае всё не проще, а гораздо сложнее. Товарищ diligence52 хронически не доверяет этой сборке: https://forum.simplix.info/viewtopic.php?pid=747#p747. После этого сообщения он удалил содержимое всех своих постов и оставил их пустыми. Зато доверяет "зоркой и бдительной", старательно разрекламированной и "многократно награждённой" Spyware Cease, кстати её сайт занесён в чёрный список PeerGuardian и ipfilter.dat uTorrent, т.к. собирает информацию об IP посетителей. Можно сделать вывод, что при сканировании эта хрень также передаёт какую-то информацию заказчику, т.е. является скрытой Spyware. Подробнее разбираться не испытываю желания. Как доказать человеку, что его подозрения относительно сборки беспочвенны?

diligence52
Единственное, что могу посоветовать - обратиться за разъяснениями на форум сайта СПАЙВАРЕ ру, это будет по адресу. С уважением - пока ещё не очень старый "умник".

deniskapoops — 28.12.2009 20:50:56

simplix
спасибо,ну начнём,сейчас часто встречаю компьютеры с таким вирусом,на весь экран окно,никак не убирается и никак фактически не удалятся,где надпись.пришлите смс и всё удалится... лохотрон в общем
на компьютерах стояли разные антивирусные продукты,каспер,нод,авира,др.веб и все они это дело пропустили,как избежать данный вариант и как это дело лечить,с лайв сиди грузится и лечить не всегда помогает.
буду рад,что вами поднята такая тебя,ну а я поднял один из проблемных вариантов.
спасибо ещё раз!

ЕВГЕН — 30.12.2009 07:51:03

deniskapoops
Сегодня знакомые попросили посмотреть компьютер. Говорят "что-то про активацию пишет и смс". Думаю, дело неладное, собрал свой "боекомплект", выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
"Windows заблокирован.
Для разблокировки отправьте смс 4119785996 на номер 3649.
Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные."


Давным давно сталкивался с такой бякой. В уже упомянутый "боекомплект" у меня входит LiveCD от DrWeb (curit). Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.

В нашей сети сообщают, что случай знакомых не единичный. Наши пользователи уже стали жертвами вируса. И если первый "вылечился" как и я, то второй пошел другим, оригинальным путем.

Резюме: Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше

Возможно подойдет код активации 3893879 (пробуйте)

Специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://news.drweb.com/show/?i=304&c=5, вводите цифры с сообщения ВАШЕГО компьютера - получаете разблокировачный код.

Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 если пожелаете,не замедлимо выполните. Этот пак сам установит все обновления до ноября месяца.
Буду держать вас в курсе событий...

Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!

Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.
Если после удаления вируса пропал рабочий стол
В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол.


Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать - если уже случилась беда - качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы ставьте PreSP4 и IE8, если пользуетесь эксплорером.

Помимо сканирования антивирусом рекомендуется проверить ветку в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

Информация предоставлена http://www.polyakov.net.ru/blog/

deniskapoops — 30.12.2009 18:42:08

ЕВГЕН
меня на сегодняшний день спасает сборка алкида,гружу её с флэшки(за это спасибо MBTY ) плюс там антивирей достаточно,но спасает авз+нод32,каспер с др.вебом пропускают эту гадость...
но я всё таки хочу узнать,как эта гадость попадает к простым чайникам,так как эта бяка встречается-у школьников,школьниц,взрослых людей,не все лазают в инете по зловредным сайтам...
хочется людей просто оберечь от этого!))

siva — 30.12.2009 18:50:10

deniskapoops
ЕВГЕН

А как насчет этого https://forum.simplix.info/viewtopic.php?pid=3381#p3381

deniskapoops — 30.12.2009 19:40:42

siva
не пробовал её,чтобы что-то запустить на больном компе.нужно освободить видимое место,а все окна с этой болячкой не двигаются.не сворачиваются,не убираются,чтобы даже кликнуть с флэхи этот файл,надо на него навести и подтвердить и видеть что и куда вводить.а не получится,потому что бяка по верх всех окон.вот так вот!

Andrej — 01.01.2010 12:38:29

Этот вирус убирается за несколько минут с помощью программы AnVir Task Manager ( http://www.anvir.net ) Вам нужно взять portable-версию программы и записать желательно на диск (флешку в работе с чужими компами стараюсь не использовать)

Как правило, рекламное окно занимает не весь экран, а оставляет по краям рабочие области (думаю это сделано для счастливых обладателей мониторов 800х600). Окно проводника можно сдвинуть в сторону, получить доступ к диску и запустить AnVir, который перекроет окно вируса. На вкладке "Автозагрузка" удаляем подозрительные пункты с завершением процессов и удалением файлов их породивших.

Вдобавок бывает полезным загрузиться с LiveCD (любого) и почистить папку Temp.

Luks — 12.01.2010 10:58:06

Ребята, хочу спросить. Пару дней назад хапонул троян после которого у меня в винде все время сидело окно о перечислении каких то денег за программу. Ну с этим трояном я разобрался при помощи "AVZ". Теперь по сути, у меня теперь правой мышей кликая на панели  инструментов не активируется функция "диспетчер задач" Это можно как-то исправить?

Sergikaz — 12.01.2010 11:46:35

Luks
Не запускается "диспетчер задач" и по Ctr+Alt+Del, заблокирован запуск? У "AVZ" есть "Файл" --> "Восстановление системы". Ставишь галочку на "Разблокировка диспетча задач" и жмёшь на "Выполнить отмеченные операции".

Luks — 12.01.2010 15:23:52

Sergikaz
Спасибо, получилось.:)

НатаZ — 19.02.2010 20:07:54

Здравствуйте! Меня уже почти 2 месяца мучает следующая проблема, и никак не получается что-то изменить.:crazy:

В середине декабря я дважды подхватывала порно-банер, блокирующий Windows. Назывался он plugin.exe и располагался 1ый раз на диске С:, а 2ой - в С:/Program Files. 1ый раз разблокироваться удалось только переименованием с помощью DrWeb-а. Просто удалить или вылечить не удавалось. 1ый раз я отправила этот вирус в DrWeb и они внесли его в базу вирусов. 2ой раз DrWeb на новую версию вируса даже не среагировал (проверялась в безопасном режиме). Я сама его углядела и переименовала.

В первом случае после переименования комп стал требовать перезагрузку. Когда я от него отошла, перезагрузился сам. С тех пор я не могу попасть практически ни на один сайт антивирусов, проверка ссылок для FireFox от  DrWeb не рабоает. Удалось зайти только на казахский  DrWeb и Panda. FireFox стал подвисать почти каждую минуту на короткое время. Перед появлением сообщения о том, что антивирусные базы обновлены, подвисает весь комп. И возникли еще  проблемы с антивирусной проверкой. Теперь проверяюсь всегда только в безопасном режиме Windows DrWeb-ом (лицензия) и CureIt. Если выбрать полную проверку, то она проходит минут за 20, быстрее на несколько минут, чем быстрая. Вижу, что проверяется только 1 папка на диске С: (винт - 300 Гб, свободно 15 Гб, разделен на 2 части). Если выбрать диск С:, то тоже только 1 директория проверяется. Многочасовая проверка начинается только тогда, когда проверяешь каждую папку по отдельности. А вот диск Z: нормально проверяется, если его выбрать.

Ума не приложу, как это исправить. Больше всего напрягает то, что не могу попасть на сайты антивирусов, а от бесконечных зависаний браузера у меня скоро начнутся нервные припадки.   http://www.kolobok.us/smiles/madhouse/gamer3.gif   Пробовала переустанавливать FF, Opera, IE. Результатов нет. Что делать? Переустанавливать Windows? Можно ли обойтись без форматирования С:, установив поверх прежней сборки, а то диск забит под завязку и копировать некуда? И можно ли в моей ситуации быть уверенной в том, что Windows скачается, прожжется и установится нормально? Ну и еще один вопрос, хотя и не совсем к месту: насколько легко устанавливается ваша сборка, а то я никогда сама не устанавливала, только читала об этом у Левина в "Самоучителе работы на компьютере"? Может можно обойтись менее радикальными способами?

Буду очень признательна, если кто-нибудь может чем-то помочь.

mvk2000 писал(а):
Пройдись одной из программ
MalwareBytes Anti-malware
Super Anti Spyware
SpyBot – Search&Destroy

Спасибо. Попробую. Доступна только 3я, на первые 2 не могу попасть. :(

попробуй загружаться с LiveCD.

Я не могу его скачать по той же причине.  http://www.kolobok.us/smiles/standart/cray2.gif

А вообще-то эта тема несколько для иных вопросов, более подходящее место мне кажется здесь

Упс, я его не нашла.  :unknown:   Вы правы.


maximum писал(а):
попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.

Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно.   http://www.kolobok.us/smiles/madhouse/gamer3.gif  А качать с каких-то других сайтов... Теперь боюсь всего.  http://www.kolobok.us/smiles/artists/fool/aaa.gif

mvk2000 — 19.02.2010 21:10:31

В личку заглядывала?
А из советов, что-то пробовала?
Если не получается скачать с сайтов, попробуй отсюда:
MAM
AVZ
Прежде чем переустанавливать, советую побороться..

maximum — 20.02.2010 05:49:08

Попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.
Скрытый текст (раскрыть):
Рекламная рассылка от AdSubscribe
В AVZ выполнить данный скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Windows\system32\mssrv32.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

***
Удаляем рекламу секс шопа

В AVZ выполнить данный скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
RebootWindows(true);
end.


НатаZ сообщает:

Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно. А качать с каких-то других сайтов... Теперь боюсь всего.

а что непонятно :)  я привел два скрипта, в вашем случае надо использовать второй скрипт ну и описал, куда надо вставить скрипт в AVZ что непонятного :) скачать - AVZ

deniskapoops — 20.02.2010 08:06:22

НатаZ
вот ещё avz  с осзона с обновлениями по февраль,поможет вам во многом и вернуть комп к жизни!) :oops:
http://turbobit.net/arma5r94d8oe.html
http://depositfiles.com/ru/files/9zyuaf2gu

mitmash — 29.03.2010 12:59:43

Очень уважаю эту талантливую сборку, особенно за возможность обновления (а часто при этом и исправления) плохо работающей Оси.
Однако, сегодня столкнулся с такой проблемой - работает система WinXP SP2, запускаю диск в режиме обновления, начинают загружаться вспомогательные файлы и когда загрузка подходит примерно к 95% выскакивает сообщение о невозможности загрузки файла ayiooojcl.sys (или a3avdlar.sys или a3og1et7.sys). Такое впечатление, что эти названия несуществующих файлов формируются случайным образом из 8-ми символов, причем первый из них обязательно "a" :( .
Проверил этот эксперимент на двух версиях (разные CD) от 20.12.2009 и 20.02.2010 - результат аналогичный. Я в полном ступоре :oops: Если есть какие-то мысли, то ради бога помогите из него (СТУПОРА :rolleyes:) выйти. Антивирусом (DrWeb с последними обновлениями) проверял диск - всё чисто.
                                      Заранее благодарен.........................Дмитрий

P.S. Если вдруг не по теме подскажите куда обратиться ( В Microsoft не посылать!)

hal — 29.03.2010 13:52:12

mitmash
Судя по названиям файлов и неспособности обновиться, система заражена вирусами. Загрузись в WinPE, найди и удали указанные файлы (если они есть), там же пройди по реестру утилитой REGEDITPE.EXE и удали на них ссылки. Удачи!

Waterclo — 29.03.2010 16:18:34

mitmash
Возможны два варианта:
1. При обновлении рабочей системы программа установки не может скопировать некий *.sys-файл в случае, когда драйвер какой-то программы присутствует в установленной системе, не может быть удалён без нарушения функций обновляемой системы, а в составе дитрибутива отсутствует и не может быть перезаписан (FAQ, 1.2. Вопрос).
Действие:
Пуск->Поиск->Забиваем название файла, находим, в свойствах файла смотрим, какой программе принадлежит драйвер. Деинсталлируем её перед обновлением системы. Так же, увидеть какой программой заблокирован файл можно Unlocker-ом.
2. Более вероятно, наличие трояна в установленной системе, раз "названия "несуществующих" файлов формируются случайным образом". Антивирусом, инсталлированым в инфицированной системе, проверять бесполезно - он может быть заблокирован, или вирус (руткит, троян) защищён от обнаружения.
Действие:
Качаем (FAQ, Пункт 5.2) AVPTool или Dr.Web CureIt!® и AVZ (внимательно смотрим скриншот). Устанавливаем их на флэшку и проверяем из-под WinPE старую систему. AVZ запускаем для контроля после удаления вирусов из-под установленой системы, перед её обновлением.

Saten — 15.05.2010 16:30:27

вот какая проблема при обновлении из под самой операционке возникла.
1ый раз обновлял показало то же самое токо с другим названием файла
2й и 3й раз то что на скрине
обновляю 15.03.10 на 15.05.10
Скрытый текст (раскрыть):

http://savepic.ru/1141419m.jpg

подскажите как решить проблему или ваще просто как обновить тогда.

и кстати еще 1 вопрос.
почему при установки операционки на диск "С"  boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот

Лёшка_К — 15.05.2010 16:38:27

Saten,
IMHO: два варианта - ошибка в записи образа или все дело в обновляемой ОС.
Это была сборка.....? ;)

Saten — 15.05.2010 16:44:31

мд5 совпадает, в загрузщике тоже проверял все нормально.
В смысле сборка??? этой же виндой обновлял (15.03 была (и есть) обновлял 15.05
щас просто даже завиртуалил все версии которые были 05.05 05.05 фикс и 15.05 с правыльными мд5, и выдает все время такие же ошибки

Sergikaz — 15.05.2010 17:28:18

Saten сообщает:

подскажите как решить проблему или ваще просто как обновить тогда.

Для начало провериться на вирусы (файлик подозрительный), а потом бегом на  FAQ.

Waterclo — 15.05.2010 17:47:02

Saten
Итого: aws0u2ke.sys - такой в дистрибутиве отсутствует, как класс и скопирован быть не может. Особенно если, каждый раз с "токо с другим названием файла". Sergikaz тебе всё правильно сказал - проверяйся на вирусы.
Одного не пойму - зачем обновлять систему установкой "поверху"? Это делается в случае крайней необходимости, в остальных случаях есть Microsoft Update.
А что касается:

почему при установки операционки на диск "С"  boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот

Они записываются на активный диск или активный раздел диска. При автоматической установке системы и одновременном наличии "старой", она будет устанавливаться не поверху, а на следующий раздел жесткого диска, даже если он неактивный.

Abret — 23.10.2010 06:35:47

у кого проблемы с окнами типа "отправте SMS" ВСЁ очень просто вот 3 официальных сайта добавте себе в избранное
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index
http://www.esetnod32.ru/.support/winlock/
и не надо изобретать велосипед:drinks:

happywanderer — 13.11.2010 19:47:35

Появилась вот такая хрень, Process Explorer отображает два процесса:safesurf.exe и surfguard.exe от "производителя" JetSwap. "Ноги растут" из c:\Program Files\config\. Убиваю процессы и удаляю всё с помощью Revo Uninstaller, через минуту или две всё восстанавливается, и папка и процессы. Пытался заблокировать выход бредмауэром, но после перезагрузки она стоит опять в исключениях. По сети нашёл скрипт AVZ для удаления этой шняги, после его выполнения и  перезагрузки - таже история. Кто что посоветует? Заранее спасибо.

svoit — 13.11.2010 21:45:44

ну может если сборка симплекса будет проще восстановить реестр 2-3 -х дневной давности, когда вируса не было ещё.

Waterclo — 13.11.2010 22:02:24

svoit
:rolleyes: Разумная мысль, но этого мало.

happywanderer
1. Убедительная просьба, внимательно прочитать комментарий под плакатиком, во избежание недоразумений.
2. Это Trojan.safesurf - Stubborn (неподдатливое) malware.
С помощью Unlocker-а  удаляем из C:\Windows\system32\drivers\safesurf.exe, surfguard.exe и up.exe, а из C:\Program Files\Common Files\ удаляем каталог Surf со всем его содержимым, удаляем из реестра каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\, а в каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run удаляем ключи "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe.
3. Проверимся с помощью Malwarebytes Anti-Malware.
4. Относительно скрипта для AVZ - подробности от Каспера. :shock::crazy:

happywanderer — 14.11.2010 18:30:31

Waterclo, спасибо за то, что так всё подробно описал, но к сожелению эти советы не прокатили. Опишу как было и как действовал, может кому поможет. Перво наперво эта хрень устанавливалась в: c:\Program Files\config\, в C:\Program Files\Common Files\ каталога Surf не было. Каталог JetSwap в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\ существовал(удалил, больше не появлялся). В каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключей "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe. и чтото похожего небыло. Удалял и  Unlockerом и Revo Uninstaller Pro папку: c:\Program Files\config\ с этой заразой, после перезагрузки всё появлялось вновь, включая исключения в бредмауэре: Updater Service и Updater Service Tools. Проверка, попытка лечения и удаления с помощью  Malwarebytes, DrWeb и AVZ тоже не дала не каких результатов. После всех этих танцев, меня привлёк процесс отображаемый в ProcessExplorer как: Radeon.exe.-графический ускоритель т.д и т. п., точно не помню, "домашний" путь этого exe-шника:C:\Windows\system32\drivers\Radeon.exe, в автозагрузке он тоже сидел. После удаления с автозагрузки и переименованием этого exe-шника, убийством процессов:safesurf.exe.  и surfguard.exe. c последующим удалением папки c:\Program Files\config\ всё чисто, даже при перезагрузке и дальнейшей работе. По возвращению истенного имени exe-шнику-Radeon.exe. всё повторяется заново. Отсылал его на Virustotal.com. ответ один на всех-found nothing. Так что вот как получилось, может это кому-нибудь поможет.

Waterclo — 14.11.2010 19:13:02

happywanderer
Суть этого трояна в том, что подцепивший его помогает зарабатывать распространителю на просмотре рекламы. Троян втихую лазит на ранее просмотренные сайты, но уже под логином распространителя и зарабатывает пойнты у SafeSurf. У меня дочка знакомого летом такую гадость подхватила на каком-то сайте, по ссылке "скачать с высокой скоростью".
Не помнишь, откуда подцепил это хозяйство? Тут что-то усовершенствованное. А что было в каталогах C:\Program Files\config\ и C:\Program Files\Common Files\? Возможно, этот Radeon.exe - контейнер, упакованный таким образом, чтобы затруднить обнаружение антивирусами его активность (разновидность rootkit-а). После запуска он должен распаковывать куда-то своё содержимое, а установки в реестр. Хитрость в том, что его содержимое не считают вирусом, а относят к категории трудноустранимых вредоносных программ.

happywanderer — 14.11.2010 21:56:52

Подцеплять есть кому(супруга и двое детей) да и себя безгрешным не считаю, поэтому-Х.З. Специально ради Вас:
1. Переименовал обратно exe-шник в Radeon.exe
2. Перезагружаться не стал, в ручную запустил.
3. Через полминуты запускается процесс-safesurf.exe, следом процесс-up.exe, следом-jet.exe. потом-surfguard.exe. В конечном итоге всё выглядит вот так:
Скрытый текст (раскрыть):

http://i12.fastpic.ru/thumb/2010/1115/f7/d95015c474684fa2092336e7745b73f7.jpeg

, при этом в брадмауэре прописываются два пункта в исключения:
Скрытый текст (раскрыть):
http://i12.fastpic.ru/thumb/2010/1114/fc/38e5dcbb771382da04da31bee59e5dfc.jpeg

Прописывается в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключём, как - ATI Radeon., и каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\:
Скрытый текст (раскрыть):
http://i12.fastpic.ru/thumb/2010/1115/7c/b93020b311830f6bb7dfae86bb1e417c.jpeg

C:\Program Files\Common Files\ - по этому пути ничего нет.
Содержание  c:\Program Files\config\ и C:\Windows\system32\drivers\:
Скрытый текст (раскрыть):
http://i12.fastpic.ru/thumb/2010/1115/45/e4f350acb1dc9a240db44aaf04506845.jpeg

Кому ради экспериментов надо, могу прислать этот exe-шничек.:D

Waterclo — 14.11.2010 22:41:41

happywanderer
Страмота! Контейнер замаскирован яко-бы под ATI-шные дрова. Можешь прислать, попробую распаковать контейнер на досуге, для общего развития. Вообще-то, его надо не переименовывать, а безжалостно сносить, где бы оно не находилось. Кстати, для большей защищённости могу порекомендовать вместо виндового фаера установить полноценный (если понадобится ДП - в РМ).

happywanderer — 15.11.2010 07:16:42

Waterclo Мне не жалко: http://narod.ru/disk/27485569000/Radeon.xexex.html, расширение переименовано.

af_pro — 15.11.2010 13:47:04

Случай с happywanderer весьма поучителен. Хорошо, что  человек грамотный и сам быстро разобрался, а вот подавляющее большинство пользователей, так бы и не поняло в чем дело. Бродить по интернету , все равно , что босиком в грязной луже, никогда не знаешь на что наступишь или какая пиявка к тебе присосется. Броузеры тоже лукавы и доверия им, даже в портативном варианте, на чем настаивает модератор, особого нету. Статьи, приведенные в заголовке темы , весьма хороши , но постоянно держать в памяти все эти подробности , просто невозможно. Хотя на эту тему много чего писалось и у каждого есть свои предпочтения, предлагаю сформулировать основные правила безопасной работы в сети. Кому есть ,что сказать отпишитесь.

Waterclo — 15.11.2010 17:20:48

happywanderer
Контейнер скомпилирован в Borland Delphi и упакован PE, что я и подозревал. Какой-то хахер очень неплохо поработал. :shock::crazy::crazy:

af_pro

...на чем настаивает модератор...

Я ни на чём не настаиваю, всё что советую каждый волен пропустить между ушей. Портативками пользоваться проще только по причине их независимости друг от друга и от встроенного в систему IE. А тема о безопасной работе в сети на форуме присутствует и о безопасности обозревателей я говорил здесь и в бестолковом FAQ, с к-рым не знаю что делать. Что-нибудь изменишь и получишь в очередной раз абзац (пароксизм) неудовлетворения. Планировалось перетащить FAQ на wiki, но тот движок очень тормозной. Вот возьми и посоветуй как FAQ преобразовать для удобства использования, да ещё с таким "лёгким" форумным движком (PunBB).

Предупреждаю ВСЕХ!!! Доведите до тех, кто пользуется вашим агрегатом!!!
Не покупайтесь на ссылки - "скачать с высокой скоростью" и подобное. Отуда скачивается контейнер (ящик Пандоры) -
*.exe файл, после запуска которого, вместо скоростной закачки рискуете получить неприятностей под завязку, в т.ч. и проблемы с окнами типа "отправьте SMS"...

happywanderer — 06.12.2010 20:58:34

Сегодня родня притащила нетбук, с "голыми титьками" на весь экран и требованием отправить через платёжный терминал на номер или 360 или 390(не обратил на это пристального внимания, но то что денег хотят - это точно) "деревянных", в чеке будет указан код для разблокировки. Эта "вафля" мало того что на весь экран, но и блокирует ДЗ и меню Пуск. Загрузился в WinPE, поискал в реестре ничего не нашёл, проверил сканером DrWeb-глухо, AVZ из под WinPE  с флехи не arbeiten :unknown: , начал рыть руками: в корне диска С. имелся файлик по названием temp_sys.exe - сначала переименовал - в систему защел без "эротики", переименовал обратно в exe. проверил Webом и AVZом - тишина(другими средствами - времени не было проверять - торопился из дома) - удалил окончательно с машины - система работает.
Может кому эта инфа поможет.

AVZ из под WinPE  с флехи не arbeiten(не работает)

Кто подскажет в чём причина и как его запустить? Очень нужно! Знакомые подхватили СМС-вымогатель, пришёл, нашел, удалил, но он гад, отключил и ДЗ и Explorer и RegEdit, правка реестра из под WinPE не дала никаких результатов. С работой уже голова не варит в этом направление, завтра после работы опять переключу извилины на этот гемморой, но если кому не в лом - прошу совета. :oops:

Waterclo — 07.09.2011 23:26:08

happywanderer
AVZ из под WinPE с установленной на винт системой работать не будет - оно мониторит рабочую систему из-под к-рой запускается, т.е. будет анализировать уязвимости и процессы самой WinPE, а на разделах винта оно отслеживает только активность их уже обнаруженых, типа: "поднимите мне веки".

happywanderer — 08.09.2011 12:20:04

Waterclo спасибо.
Вчера "воевал" с "хреновиной"-на заблокированном Р.С. экран голубого фона, с
белым текстом - что-то типа: комп заблокирован за распространение порно-материалов, Вам надо заплатить штраф, номер телефона не запоминал. "Вкусняшку" нашёл в c:\Documents and Settings\All Users\Application Data\22сс6с32.exe в реестре Shell вместо Explorer прописывает на себя. Удалил, исправил реестр - после перезагрузки всё без изменений. Из под WinPE стал проверять сканером DrWeb - нашёл "заражённые" userinit.exe в \WINDOWS\system32\ и в\WINDOWS\system32\dllcache\, после заменил на "чистый" userinit.exe, опять поправил Shell в реестре, удалил 22сс6с32.exe, пререзагрузился - всё заработало, но!!! при вызове Д.З. всё опять встало "на свои места". Опять пришлось грузится из по WinPE, но теперь заменил не только userinit.exe, но и taskmgr.exe, исправлял  в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell на Explorer вместо 22сс6с32.exe, и опять удалял 22сс6с32.exe из \Documents and Settings\All Users\Application Data\. Только после этих манипуляций машина заработала, после проверял DrWeb - показал чисто!  Так что будте внимательны!

hal — 08.09.2011 14:34:05

Угу, в последнее время именно с этим сталкиваюсь - помимо левых exe файлов в автозагрузке, еще подменяются taskmgr и userinit, уже таскаю их в отдельной папке, чтобы далеко не ходить:)
А вместо AVZ под WinPE использую UVS, шикарная утилитка, настоятельно рекомендую.

http://dsrt.dyndns.org/

af_pro — 08.09.2011 15:20:05

happywanderer
Однако твой способ помог, да и у hal полезное предложение.
Спасибо. :good:

XaHyMaH — 18.11.2011 05:25:49

Есть брендовый комп Fujitsu Siemens Scaleo P
На ём стояла виста. Её сожрал вирус. Восстановить из систем-ресторе не удалось. Нужно переставлять систему, но не с чего. На винте есть скрытый раздел Конфигурация EISA. Нутром чую, что там образ винды, но как с его помощью восстановить систему не понимаю.

Пааамааагииитеееее!:shock:

Shpuntic — 18.11.2011 07:35:07

XaHyMaH

Какой размер раздела ?
Если где-то 200-500мб, то этот раздел создает винда для своих потребностей ( как в Win 7 ), там загрузочные данные и все такое.
А если попробовать загрузится с дистрибутива и выполнить не установку а восстановление ?

MBTY — 18.11.2011 08:18:05

XaHyMaH
Обычно при загрузке нажатие F4 приводит к загрузке с таких вот скрытых разделов и там уже раскатка образа происходит. Тока же система не восстановится, а установится заново. Тоесть все документы и личные файлы потрутся нафиг. Об этом стоит помнить. Может не F4 ну чаще она, а там может быть и какая то своя комбинация. Отключай в биосе логотип производителя при загрузке ПК и гляди, что тебе пк на момент включения/поиска HDD/проверка RAM пишет внизу экрана. Должна же быть подсказулька

XaHyMaH — 18.11.2011 08:39:38

Размер - 12 гиг, занято 6.
Дистрибутива нет :`-(
Попробовал сделать его активным, не помогло. Предлагает вставить диск.
Подсказулек не нашел. Попробовал все кнопки Ф — пусто.

Если попробовать качнуть установочный диск висты и "восстановить" с него?

Shpuntic — 18.11.2011 09:46:24

XaHyMaH сообщает:

Если попробовать качнуть установочный диск висты и "восстановить" с него?

Так я про это и написал в последнем предложении. ;)  Только редакции ОС не перепутай. :D

Sergikaz — 18.11.2011 10:26:05

С этими "recovery" разделами не всё так просто. Если он есть и его не "портили", то это уже хорошо. Как там устроено на Fujitsu, я не знаю. Не сталкивался. Расскажу про своё нетбук Acer. Сейчас никакой производитель не делает восстановление из простого образа системного раздела. Это не выгодно, делать под каждый аппарат отдельный образ. Всё там уже давно унифицировано. Образа конкретного раздела нет. Есть очень много разных файлов и папок, которые дают возможность восстанавливать на начальное состояние, согласно спецификации и его серийного номера, для конкретного аппарата. Если на моём нетбуке запустить BOOTICE и посмотреть состояние разделов, то видно, что раздел "PQSERVICE" является "скрытым". Смело делаю в этой утилите раздел "нескрытым" и тут же получаю новый доступный раздел с кучей папок и файлов. Очень примечательно, что в корне этого раздела есть файл BOOTMGR. У вас может быть состояние разделов другое. У меня не эталон и разделы, уже возможно, давно потеряли первоначальное состояние из-за моих экспериментов. Теперь почему не загружается "recovery" по нажатию F4 или другой клавиши. Раздел для восстановления скрытый и не является "активным", переход на его загрузчик BOOTMGR прописан в MBR винта. Очень часто, люди пытаются самостоятельно переустановить систему с загрузочного диска, установить ХР второй системой и этими действиями они переписывают MBR винта на стандартный.
XaHyMaH
Мой тебе совет. Загрузись с WinPE, убедись в целости раздела восстановления, посмотри где на винте он располагается физически. Потом создай загрузочную флешку утилитой MBTY (образ можно использовать любой, он нужен только для создания флешки) и в файле MENU.LST добавь строку загрузки с раздела "recovery". Что написать в эту строку конкретно для твоего случая, зависит от физического расположения раздела "recovery". Здесь я уже не очень силён. Здест уже больше сможет подсказать MBTY.

MBTY — 18.11.2011 11:33:39

Подсказываю. Если была 7ка то всё вообще просто.
Допустим ты нашел свои файлики скрытого раздела этого (Открыть или скриыть разделы можно с помощью Acronis Disk Director из Simplix Wnpe). Создаешь моей DirecGrub-утилиткой загрузочную флешку. Образ правда можно взять любой - нам он нафиг не понадобится - нам нужна загрузочная GRUB флешка.
Сделал ты ее.
СТИРАЕШЬ С НЕЕ ВСЁ
То, что валяется на разделе Recovery копируешь на эту флешку.
Если ты там нашел файл bootmgr, то его переименуй в файл MBTY - флешки сделаные моим DirectGrubом ищут любой файл с таким именем на флешке и загружают его. Там хоть груб, хоть линуксовый загрузчки - флешке всё равно.
Скопировал, переименовал ты значит файл Bootmgr -> MBTY
В биосе укажи загрзку с флешки и грузись. Получишь свой аналог запуска восстановления ОС. И восстанавливай наздоровье, но думаю как всё скопируешь - лучше этот Recovery раздел опять запрятать. Ловлю себя на мысли, что всё это можно сделать одним шагом из Wnpe simplix. Скачал своим компом Direct Grub - сделал флешку. Затер. Потом уже из Wnpe, открыл раздел, скопировал, закрыл.

Sergikaz — 18.11.2011 12:41:19

MBTY
Идея, сделать такую резервную флешку, просто :good::good: С учётом того, что на моём нетбуке нет CDRomа, то обязательно опробую и, в случае положительного результата, я его (нетбук) тогда вообще "заэкспериментирую". :D

XaHyMaH — 21.11.2011 09:46:56

Sergikaz сообщает:

и в файле MENU.LST добавь строку загрузки с раздела "recovery". Что написать в эту строку конкретно для твоего случая, зависит от физического расположения раздела "recovery".

Получилось то же самое, что было, когда я делал WinRE активным и грузился с него:
Windows failed to start.
1. Insert your Windows Installation Disc and reboot
2. Choose your language settings, and then click "Next"
3. Click "Repair your computer"

Failed to read Boot Configuration Data

MBTY сообщает:

нам нужна загрузочная GRUB флешка.

А можно как-нить без флешки?
На этом разделе лежит шестигиговый FACTORY.WIM :oops: а у меня таких флех пока нет.:unknown:

Shpuntic сообщает:

Так я про это и написал в последнем предложении. ;)  Только редакции ОС не перепутай. :D

Кстати, насчет редакций. Добрые люди подарили диск с Vista Ultimate. Попробую с ним что-нибудь сделать. На крайняк - поставлю крякнутую Висту:crazy:

ЗЫ Седня привели этот "вирус". Кнопка мелкая — от горшка два вершка, ещё говорить толком не умеет, зато умеет юзать мышъ, знает как включать комп, открывать трей сидюка и т.п. Пока возился с компом, сцапала мышь от ноута и стала чёта там делать, отключил мышу, думал успокоится. Нифига, через две минуты она научилась пользоваться тачпадом :shock:
В общем, как сказали на баше: "Дети это прекрасно! Куда ни сядешь — в жопе кубик":D

Waterclo — 21.11.2011 13:41:25

XaHyMaH
А можно и без флешки: Восстановление из WIM. Разделы Recovery и System должны быть основные, а активным должен быть раздел с WIM образом (Recovery). FSC Recovery Utility.
Восстановление загрузчика Windows 7 без дистрибутива и создание двойной загрузки с помощью программы MultiBoot.

XaHyMaH — 23.11.2011 05:53:51

Урраааа! Заработало!!!:good:
Сделал по написанному.
1. Скачал GImageX
2. Сделал дополнительный раздел D:
3. Закинул на него FACTORY.WIM и GImageX
4. Отформатировал диск C:
5. Распаковал GImageX'ом содержимое FACTORY.WIM
6. Загрузился с установочного диска Висты
7. Выбрал язык, потом "Восстановление системы" и что-то там про "Устранение проблем с загрузкой" (самый первый пункт)

Спасибо всем, кто откликнулся, моим родителям и да будет мир во всём мире!:drinks:

Waterclo — 23.11.2011 10:20:53

XaHyMaH
Ну, молодец. Правда, думал догадаешься, что раздел с FACTORY.WIM можно было не трогать - он должен быть основным, активным и скрытым. Достаточно было восстановить на нём загрузочную запись с помощью MultiBoot. Тогда после нажатия F8 (при загрузке), по команде из расширенного Boot Menu, образ распаковался бы сам куда надо.
Там же должна была быть утилита FSC Recovery. Посмотри на С:\Program Files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecovery.exe или FSCRecoveryReminder.exe. Это должен был распаковаться инсталлер FSC Recovery Utility. Его сейчас хрен где найдёшь, т.к. фирма Fujitsu Siemens прекратила существование. Сохрани, да выложи куда-нить на обменник - ещё может понадобиться.
Ещё в тему, для общего развития:
Улучшенные инструменты восстановления в Windows 7
10 вещей, которые надо знать о развертывании Windows Vista
Windows Vista Recovery Environment.

XaHyMaH — 01.12.2011 09:42:58

Я скопировал FACTORY.WIM на всякий случай.:oops: Потому что раздел на самом деле не скрыт. У него вместо типа НТФС стоит тип 0x27.
Насчет FSC Recovery посмотрю как только доберусь до того компа. Сейчас занят перездом.:crazy:

Waterclo — 01.12.2011 18:10:16

XaHyMaH
Для ОС семейства Windows есть разделы таких типов:
0x07 - если раздел основной (primary) и с файловой системой NTFS
0x0B - если раздел основной (primary) и с файловой системой FAT32
0x05 - если раздел логический (logical)
0х12 или 0x27 - скрытые разделы, невидимые для обозревателя операционной системы.
Кроме FACTORY.WIM там могут быть утилиты для восстановления системы.
Рекомендуемые конфигурации разделов дисков в системах на базе BIOS.

GenAleks — 18.06.2012 17:27:24

Здравствуйте!
Товарищ поймал блокировщик ОС (скриншот позже). Я скачал AntiSMS 2.3, записал на диск.
На инфицированном ПК WXP Pro:
1. Запустился с СД диска, запустил с рабочего стола AntiSMS;
2. Перезагрузился в рабочую систему и выполнил быструю проверку последним cureit Dr.Web, вирусов не обнаружил ??? (в прошлые разы в корне диска находил MBR_LocK);
3. Через msconfig открыл Настройки системы, зашел в автозагрузку, там было отключено пару программ, подозрение вызвал netprotocol.ехе, я его оставил не включенным, зашел на вкладку Общие поставил Обычный запуск, потом еще раз в автозапуске отключил netprotocol.ехе – перегрузился;
4. После перезагрузки Система загрузилась снова в Выборочном запуске, я снова повторил п. 3, результат тот же;
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/3vp4FZWt.jpg

Я повторно повторил пункты 1, 2, 3, 4, результат тот же.
Погуглил по поводу netprotocol.ехе:
Скрытый текст (раскрыть):
Что такое netprotocol.exe:
http://pulsepc.ru/itnews/virus-netproto … henie.html
Вредоносный код, позволяющий хакеру получать доступ к зараженному компьютеру. Представляет собой обычное приложение ОС Windows (PE-EXE файл). Размер 89088 байт и 181 КБ в распакованном виде. Упакован неизвестным упаковщиком. Написан на языке программирования C++.

Как удалить netprotocol.exe на Windows XP:
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим»
Нажимаем Пуск / выполнить / regedit /
Идём по ветке HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Удаляем строки conime32.exe и netprotocol.exe
Идём по ветке HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, нажимаем в верхней строке «сервис» / «свойства папки» / «вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» / «ок»
Идём в папку С: / Documents and settings / *Имя пользователя* (чаще всего Admin) / Application Data
Там удаляем файлы system.exe , netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся

Как удалить netprotocol.exe на Windows Vista и Windows 7:
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим»
Нажимаем Пуск / выполнить / regedit /
Идём по ветке HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 
Удаляем строки conime32.exe и netprotocol.exe
Идём по ветке HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, в верхнем левом углу «Упорядочить» / «параметры папок и поиска» / «вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» / «ок»
Идём в папку C: / Пользователи / *Имя пользователя* / AppData / Roaming
Там удаляем файлы system.exe , netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся

С выше описанного, я нашел только HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ netprotocol.exe, остальное, в реестре и в папках отсутствовало, я прогонял несколько раз весь диск, хотя в автозапуске четко было видно С: / Documents and settings / *Имя пользователя* / Application Data / netprotocol.ехе.
После операций с netprotocol.ехе слетел модуль SpIDer Gate Dr.Web (пришлось переустанавливать Dr.Web) и пропал интернет (запустил AntiSMS в рабочей системе и выполнил сброс настроек сети), интернет появился.
После этого Dr.Web постоянно стал оповещать о заблокированном адресе (адрес один и тот же, сообщение не закрывается даже принудительно и висит поверх всех окон).
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/DiRW4W7L.jpg

и не запускается Internet Explorer 8.0 (я в свойствах обозревателя, через панель управления сделал домашнюю страницу Пустой, обычно about:Tabs, а стало что-то другое, я уже не могу вспомнить, потому что последние разы вообще до этого места не доходило, повисит и выдает ошибку).
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/dozY4SyZ.jpg
http://s2.ipicture.ru/uploads/20120618/So3UWg0v.jpg

Opera и Mozilla Firefox открываются нормально.
Еще после перезагрузки выскакивало сообщение:
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/yCVTs0qU.jpg

Снес каталист АТИ-пропало.
Рассказываю на пальцах, потому что не знаю, что необходимо предоставить для анализа. Думал весь реестр, так надо было это сделать до манипуляций, да и весит он что-то за 40 метров (раньше пару раз без заморочок было).
Есть какие-то предположения, как избавиться, от того что, что-то лезет в интернет, не работает IE 8.0 и почему не нашелся вирус.

Всем спасибо.

С ув. Gennadiy

P.S.
Не помешал бы, какой ни будь FAQ для таких случаев, а то я так и не могу понять, что делать, кроме как запустить значок AntiSMS на рабочем столе.
Попутно, как пользоваться uVS утилитой.
---
С uVS кажется понял с поста #475:

В этой версии решено включить базу хэшей в состав диска, это немного ускорит работу программы и предотвратит отключение некоторых проверенных, но неподписанных файлов.

art9 — 18.06.2012 17:34:55

GenAleks
один зловред не включили, но включили второй.
если вообще не включать ничего через msconfig, то система работает нормально?

GenAleks — 18.06.2012 17:40:34

art9
Да она и сейчас работает (после удаления netprotocol.ехе-недавал запуститься в Обычном запуске), только не работает ИЭ и выскакивает сообщение Dr.Web (все остальное оставил как было в Выборочном запуске Настройки системы)

art9 — 18.06.2012 17:44:19

GenAleks
Если вы еще раз прогоните через АнтиСМС, и не будете включать ничего через msconfig, то проверьте будет ли ругаться drweb?

А чтобы понять что конкретно в вашем случае нужен лог uVS:
Скачайте программу Universal Virus Sniffer: http://dsrt.dyndns.org/uvs.htm
Разархивируйте скачанный архив.
Запустите файл start.exe (в Windows Vista/Seven запускать с правами администратора: правой кнопкой по файлу, выбрать "Запустить от имени администратора").
Появится меню, где выберите "Запустить под текущем пользователем".
Выберите: "Файл" -> "Сохранить полный образ автозапуска",
полученный файл заархивируйте (если он не за-архивировался автоматически) и разместите на одном из файлообменников, ссылку сюда

GenAleks — 18.06.2012 17:46:34

Это сделать сложнее, комп не рядом
Я все выставлял как до включения msconfig, не помогло

А что на счет Ie8

А чтобы понять что конкретно в вашем случае нужен лог uVS

Это сейчас попробую удаленно сделать
-----
Сделал: http://files.mail.ru/77WMRZ

art9 — 18.06.2012 20:29:36

GenAleks
скрипт лечения:


Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; C:\PROGRAM FILES\CHROME\CHROME.EXE
addsgn A7679B19919A1FCA0746FCB18CBB9CE8DA2BAC90DAFA947805BBF1BC24C6D01C4544C3DC3EBD4726D37F005F321AE8AA1B8CE8F95551A0D37F4F2F2273607173 32 v1

zoo %SystemDrive%\PROGRAM FILES\CHROME\CHROME.EXE
; C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
addsgn 79132211B9E9317E0AA1AB59E8EC1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EABA83EB99FB58E64E185CFEB117393253FA 64 v2

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
chklst
delvir
delnfr
restart
GenAleks — 19.06.2012 16:53:07

art9 сообщает:

скрипт лечения:

Спасибо огромное за труды art9, но если Вас не затруднит, напишите подробней, чем и как этот скрипт хотя бы запустить и что он будет делать. Или где об этом можно почитать.
Насколько я так понял, это надо сделать посредством uVS v3.75, но как?

Нашел некоторые ответы на свои вопросы, что не так подправьте.
---
Кое-что нашел по открытию скрипта
Скрытый текст (раскрыть):

http://pchelpforum.ru/f26/t24207/#post543010

---
Сейчас ищу Справку по uVS v3.75, буду изучать.
Скрытый текст (раскрыть):

полная документация по uVS в каталоге doc в папке с uVS (да блин, вчера листал)

http://pchelpforum.ru/f26/t94635/#post828890

А на что в первую очередь обратить внимание

---
И если можно, в двух словах, об анализе, предоставленного мною лога uVS: как его посмотреть и на что обратить внимание.

Пока все.

Еще раз спасибо.

С ув. Gennadiy

art9 — 19.06.2012 16:56:25

GenAleks
Выполнение скрипта лечения:

Запустите программу Universal Virus Sniffer по аналогии из сообщения выше.

Выполнить скрипт лечения можно способами:
1) скопируйте в буфер обмена код скрипта, затем в главном меню программы Universal Virus Sniffer выберите "Скрипт" -> "Выполнить скрипт находящийся в буфере обмена..."
2) Скрипт лечения скопировать в буфер, открыть Блокнот, вставить из буфера скрипт лечения, сохранить в файл под любым именем, далее в программе Universal Virus Sniffer выбрать "Скрипт" -> "Выполнить скрипт из файла..." и указать файл со скриптом лечения.
3) Если скрипт получен в виде файла, то в программе Universal Virus Sniffer выбрать "Скрипт" -> "Выполнить скрипт из файла..." и указать файл со скриптом лечения.

Что делает:
Зловред в C:\PROGRAM FILES\CHROME\CHROME.EXE (залейте его на вирустотал - посмотрите)
- удаляет его +  плюс еще одну гадость.

---------
про удаленный - не знаю, не пробовал.

про отчет - это новый лог, посмотреть что стало после скрипта

GenAleks — 19.06.2012 17:16:35

art9 сообщает:

(залейте его на вирустотал - посмотрите)

вирустотал?

Нашел:
Скрытый текст (раскрыть):
VirusTotal-это бесплатный сервис, который анализирует подозрительные файлы и URL-адресов и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ.

---
Сейчас ищу хелп, как это правильно сделать удаленно (что бы свою систему не уложить) (частень использую AMMYY_Admin, но так понимаю, это не тот случай)

Вот что-то нашел:
Удаленный доступ, его варианты и проблемы:
Скрытый текст (раскрыть):

http://defendium.info/entry.php/75-


Я так понял что можно использовать и AMMYY_Admin, только почему-то о нем ничего не упоминается в статье
---
Так же нашел:
ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ
Скрытый текст (раскрыть):

http://pchelpforum.ru/f26/t6442/

Интерестно!!!

===============================================
art9
Завтра попробую Ваш код через AMMYY_Admin на инфицированном ПК (Хотелось бы услышать Ваше мнение, по поводу моей удаленной затеи, или лучше это сделать на месте инфицированного ПК).

Какой нужно снять отчет, что бы убедиться, что все прошло нормально?

Спасибо.

С ув. Gennadiy

Алекс — 24.06.2012 13:04:54

Sergikaz сообщает:

Я понимаю, что главное результат, но всё же хочется "знать врага в лицо" и как он запускается.

Поддерживаю! вражину надо знать в лицо! :D
а тому человеку ,который с нодом сидит - посоветуйте AVG free например,лучше..
он гораздо эффективнее на мой взгляд,и бесплатная версия Home есть.

al7eks — 24.06.2012 13:34:47

а тому человеку ,который с нодом сидит - посоветуйте AVG free например,лучше..

чушь полная
. АВГно точно не лучше. С банерами сталкиваюсь часто, и любой антивирус не панацея. Однако у Noda 5 последнего есть - Система предотвращения вторжений на узел (HIPS)
Система предотвращения вторжений на узел защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра, активно блокируются и предотвращаются любые такие попытки.
Если с помощью ее защитить автозагрузку, системные папки, MBR будет очень сложно подцепить заразу

Алекс — 24.06.2012 14:00:29

al7eks сообщает:

и любой антивирус не панацея. Однако у Noda 5 последнего есть - Система предотвращения вторжений на узел (HIPS)

я и не утверждаю что АВГ- это идеальная панацея от всего! :crazy:идеальных антивирусов не бывает вообще. Однако за мою практику очень много раз (более 50-ти точно) сталкивался как раз с случаями что приходилось чистить (настраивать ,переустанавливать) очень загаженные вирусами ОС как раз с установленными там НОД*ами и Аваст*ами .   и потом я им ставил АВГ ,и у многих до сих пор никаких проблем нету.
Может у вашего нода-5 и появилась какая-то там супер-новая фишка (HIPS),но к сожалению проверить её в действии нету возможности , так как моё доверие к НОДУ И Авасту потеряно уже очень давно. да и не думаю,что это новая (HIPS) даёт какие-то эффективные результаты.
Извиняюсь за оф-топ, здесь тема немного другая всё же.

man1948 — 05.07.2012 15:52:12

Не стандартно применил прогу! После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала !

с небольшим глюком- некоторые сайты перестали загружаться - к примеру http://lib.aldebaran.ru/

система -зверь- где искать заморочку ?

Первая десятка Тем (по количеству просмотров)
удаления блокираторов        9081
http://www.yaltanet.com.ua/forum/index.php?topic=290.15

Этот вариант я знаю. Не горит.Может есть другие мысли - где собака зарыта!

Есть желание покопаться - может ...

Проверить файл hosts - норма !

Почему некоторые ?

выложите логи AVZ, UVS, hj,
посмотрим что у вас.

art9 — 06.07.2012 04:38:55

man1948
не то.
я вам в личку писал как правильно делать логи

man1948 — 06.07.2012 05:47:43

Понял -сделал !
Логи:
Скрытый текст (раскрыть): http://rghost.ru/39077454

Ok-познее сообщу результат.

art9 — 07.07.2012 12:41:02

man1948

Выполните скрипт через AVZ:


Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 TerminateProcessByName('c:\documents and settings\admin\application data\taskhost.exe');
 DeleteFile('c:\documents and settings\admin\application data\taskhost.exe');
 DeleteFile('C:\WINDOWS\system32\nkxkckg.dll');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\willarchive\viewmerik.exe');
 DeleteFile('C:\Program Files\День Победы 3 - За Родину!\map\cache\quad_1761.bin.gz');
 DeleteFile('G:\autorun.inf');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Затем  выполните скрипт через UVS:


Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

deltmp
delnfr
; C:\PROGRAMDATA\JAVA\JRE6\BIN\JWDEPLOY.DLL
addsgn 1B1C8165AA83C58CF42B254E3143FE8EE401B1FE4EFAC7D9C5C34EB5D99E758A631FC30AFC5D9DC26A84015F3313F11ADC9FE8B1DE25E5A7C1F4D927C751A98A 64 070712-1

zoo %SystemDrive%\PROGRAMDATA\JAVA\JRE6\BIN\JWDEPLOY.DLL
; C:\WINDOWS\SYSTEM32\NKXKCKG.DLL
addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B402DC78E9C32E9AD328733826943D564B773C49E280E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 070712-2

zoo %Sys32%\NKXKCKG.DLL
; C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
addsgn 1AB0619A55835A8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE9165 32 070712-3

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE

chklst
delvir
regt 13
regt 19
regt 2
regt 12
regt 9
regt 18
restart
man1948 — 07.07.2012 19:22:33

1. Выполнил скрипт через AVZ:
2. Затем  выполните скрипт через UVS: - прога отказ выполнения - скрипт содержит ошибки ! Возможно после выполнения скрипт через AVZ - скрипт через UVS: надо корректировать.WINDOWS\system32\nkxkckg.dll');

3. Но важен результат - ИНТЕРНЕТ ЗАРАБОТАЛ !!!!!!

Большое спасибо за помощь!!!  :drinks:

И где по вашему собака зарыта???

art9 — 07.07.2012 19:34:08

man1948
Проблема была в трояне, который сидел в системе.
Скрипт УВС действительно оказался поврежден, можете сделать _новый_ лог UVS - посмотрю еще.

man1948 — 07.07.2012 19:55:54

Этот комп не под рукой - завтра на работу на сутки - и  так Все очень довольны - обошлись малой кровью - без пере установки Винды - программ и игрушек ! Большое спасибо за помощь!!! simplix AntiSMS +  AVZ + art9

art9 — 08.07.2012 06:18:29

Как я понял, на компьютере не установлен антивирус? Следует установить.

man1948 — 09.07.2012 07:22:28

Так точно - в основном используется как игровой - чтоб меньше было тормозов по желанию ...
Иногда проверяется ! Portable_Dr.Web_5 с обновленными базами
Какой лучше ?
чтоб меньше жрал памяти и на время сетевых игр можно было отключать?

art9 — 09.07.2012 08:16:42

аваст или антивирус микрософта.
обе бесплатные.
и время от времени проверять бесплатными сканерами (drweb/kasper).

Сейчас, конечно,  советчики насоветуют  антивирус круче. Но, если вы спрашивали мое мнеие, то прислушайтесь к нему.
Но антивирус- это не панацея, нужно соблюдать правила компьютерной безопасности.

Waterclo — 09.07.2012 14:35:55

man1948
Для любителей сетевых игр защита жизненно необходима, ибо эти дела используются как способ распространения инфекции.
https://forum.simplix.info/viewtopic.php?pid=4425#p4425
https://forum.simplix.info/viewtopic.ph … 498#p12498

barsuk — 09.07.2012 14:58:37

и время от времени проверять бесплатными сканерами (drweb/kasper).

как снесешь систему после упадка так и проверить

В первую очередь должны быть установлены: хороший фаервол (Обзор Sygate Personal Firewall, Symantec приобретает компанию Sygate Technologies, Sygate Online Services, скачать), защита от spyware/malware/adware (Spybot - Search & Destroy, AVZ), следящая за попытками несанкционированных изменений реестра и программа IP фильтр (PeerBlock) для защиты от любопытных "правообладателей", рекламодателей и прочей хрени, пытающихся отследить и использовать интернет активность в своих вероломных целях.

помойму это ПАРАНОЙЯ! из выше написаного вывод = ПК для того тоб его защищать :shock::D:)
компьютер должен быть удобен прежде всего (даже если несколько раз ОС переустановить), а удобен он тогда когда голова на месте

Для любителей сетевых игр защита жизненно необходима, ибо эти дела используются как способ распространения инфекции.

нужно просто не щелкать куда попало, а наверное какие то надежные сервера использовать

PS: аваст - падает на ровном месте
PSS: спорить не с кем не буду. всё что написал ИМХО!:drinks:

man1948 — 09.07.2012 16:00:17

Согласен, компьютер должен быть удобен прежде всего.
(даже если несколько раз ОС переустановить) ???

а удобен он тогда когда голова на месте

Согласен! И под рукой simplix AntiSMS + AVZ + art9 Большое спасибо за помощь!!!

Waterclo — 09.07.2012 16:03:09

barsuk сообщает:

...помойму это ПАРАНОЙЯ!...

Веди себя скромнее или отправишься на недельку в Плохое Место. Ещё намекни на паранойю simplix-у...
http://faq.simplix.info/03.-pravila-foruma.html

Vob — 23.02.2015 17:13:10

1.На работе на рабочем компьютере надоела реклама. Наверное вирус влез. Прогонял курелтом - найдено всего один вирус:
http://savepic.su/4800366.jpg
Наверное это - ads by offerswizzard

2. Установил на работе KAV 15.0.1.415 вместо 360 Internet Security, а она не хочет запускаться.
Запускаю ее вручную, долго идет «Подготовка к запуску программы…» и в результате это окно пропадает с рабочего стола компьютера и значок из трея.
Может из-за того что на компьютере сидит вирус Кидо? Да и на антивирусные сайты не могу зайти, могу зайти на эти сайты только через анонимайзер.

Кто знает как рещить эти две проблемы без переустановки Windows XP SP3 (32bit) - отзовитесь.
Заранее благодарю за помощь.

happywanderer — 23.02.2015 17:48:52

Vob
На работе кто "курирует" компутер? А то, за самолечение с предварительным заражением можно и выговор получить и жене на цветы в праздник не хватит. Если "колхоз - наше всё", то посмотрите тему AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock) - читать топик темы внимательно и неукоснительно выполнить все рекомендации. После прогнать систему Malwarebytes Anti-Malware Free и после в браузере поставить расширения Adblock Plus и Ghostery.

art9 — 23.02.2015 18:37:35

Vob
Для начала пролечите компьютер с помощью AntiSMS. Затем сбросьте настройки сети с помощью AntiSMS. Сообщите результат. Как правило, далее будет достаточно удалить браузер и установить его заново.  Но можно и без этого. В любой случае, сначала сделайте рекомендации выше.

g0dl1ke — 24.02.2015 06:58:29

adwcleaner, удаление подозрительных расширений (если не задетектил adw)

kido при активном каспере - нонсенс и шанс равен 0, да и не показывает kido рекламу, у него другая направленность:cool:

Vob — 24.02.2015 07:28:36

g0dl1ke

kido при активном каспере - нонсенс и шанс равен 0, да и не показывает kido рекламу, у него другая направленность:cool:

Читайте нормально п.2 моего поста - удалил один антивирусник, а вместо него не могу поставить другой на компьютер - не хочет KAV 15 заппускаться. Поэтому компьютер вобще сейчас без антивирусника

Для начала буду пробовать лечить систему как посоветовал art9, но только нет у меня на компьютере антивирусника, чтобы выполнить быструю проверку антивирусом, как указано в инструкции, если вы неопытный пользователь.

art9 — 24.02.2015 07:45:26

Vob
обратите внимание, что лечение утилитой Антисмс также включает проверку компьютера сканером Dr.Web CureIt!

mvk2000 — 24.02.2015 07:54:47

Vob

simplix сообщает:

3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.

Сканер д-р Web нужно скачать и запустить - это не установка