Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#101 21.11.2011 11:46:56

XaHyMaH
Member
Зарегистрирован: 02.09.2008
Сообщений: 79

Re: Лечение системы после заражения вирусом

Sergikaz сообщает:

и в файле MENU.LST добавь строку загрузки с раздела "recovery". Что написать в эту строку конкретно для твоего случая, зависит от физического расположения раздела "recovery".

Получилось то же самое, что было, когда я делал WinRE активным и грузился с него:
Windows failed to start.
1. Insert your Windows Installation Disc and reboot
2. Choose your language settings, and then click "Next"
3. Click "Repair your computer"

Failed to read Boot Configuration Data

MBTY сообщает:

нам нужна загрузочная GRUB флешка.

А можно как-нить без флешки?
На этом разделе лежит шестигиговый FACTORY.WIM oops а у меня таких флех пока нет.unknown

Shpuntic сообщает:

Так я про это и написал в последнем предложении. wink  Только редакции ОС не перепутай. biggrin

Кстати, насчет редакций. Добрые люди подарили диск с Vista Ultimate. Попробую с ним что-нибудь сделать. На крайняк - поставлю крякнутую Вистуcrazy

ЗЫ Седня привели этот "вирус". Кнопка мелкая — от горшка два вершка, ещё говорить толком не умеет, зато умеет юзать мышъ, знает как включать комп, открывать трей сидюка и т.п. Пока возился с компом, сцапала мышь от ноута и стала чёта там делать, отключил мышу, думал успокоится. Нифига, через две минуты она научилась пользоваться тачпадом shock
В общем, как сказали на баше: "Дети это прекрасно! Куда ни сядешь — в жопе кубик"biggrin

 

#102 21.11.2011 15:41:25

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

XaHyMaH
А можно и без флешки: Восстановление из WIM. Разделы Recovery и System должны быть основные, а активным должен быть раздел с WIM образом (Recovery). FSC Recovery Utility.
Восстановление загрузчика Windows 7 без дистрибутива и создание двойной загрузки с помощью программы MultiBoot.

 

#103 23.11.2011 07:53:51

XaHyMaH
Member
Зарегистрирован: 02.09.2008
Сообщений: 79

Re: Лечение системы после заражения вирусом

Урраааа! Заработало!!!good
Сделал по написанному.
1. Скачал GImageX
2. Сделал дополнительный раздел D:
3. Закинул на него FACTORY.WIM и GImageX
4. Отформатировал диск C:
5. Распаковал GImageX'ом содержимое FACTORY.WIM
6. Загрузился с установочного диска Висты
7. Выбрал язык, потом "Восстановление системы" и что-то там про "Устранение проблем с загрузкой" (самый первый пункт)

Спасибо всем, кто откликнулся, моим родителям и да будет мир во всём мире!drinks

 

#104 23.11.2011 12:20:53

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

XaHyMaH
Ну, молодец. Правда, думал догадаешься, что раздел с FACTORY.WIM можно было не трогать - он должен быть основным, активным и скрытым. Достаточно было восстановить на нём загрузочную запись с помощью MultiBoot. Тогда после нажатия F8 (при загрузке), по команде из расширенного Boot Menu, образ распаковался бы сам куда надо.
Там же должна была быть утилита FSC Recovery. Посмотри на С:\Program Files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecovery.exe или FSCRecoveryReminder.exe. Это должен был распаковаться инсталлер FSC Recovery Utility. Его сейчас хрен где найдёшь, т.к. фирма Fujitsu Siemens прекратила существование. Сохрани, да выложи куда-нить на обменник - ещё может понадобиться.
Ещё в тему, для общего развития:
Улучшенные инструменты восстановления в Windows 7
10 вещей, которые надо знать о развертывании Windows Vista
Windows Vista Recovery Environment.

 

#105 01.12.2011 11:42:58

XaHyMaH
Member
Зарегистрирован: 02.09.2008
Сообщений: 79

Re: Лечение системы после заражения вирусом

Я скопировал FACTORY.WIM на всякий случай.oops Потому что раздел на самом деле не скрыт. У него вместо типа НТФС стоит тип 0x27.
Насчет FSC Recovery посмотрю как только доберусь до того компа. Сейчас занят перездом.crazy

 

#106 01.12.2011 20:10:16

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1918

Re: Лечение системы после заражения вирусом

XaHyMaH
Для ОС семейства Windows есть разделы таких типов:
0x07 - если раздел основной (primary) и с файловой системой NTFS
0x0B - если раздел основной (primary) и с файловой системой FAT32
0x05 - если раздел логический (logical)
0х12 или 0x27 - скрытые разделы, невидимые для обозревателя операционной системы.
Кроме FACTORY.WIM там могут быть утилиты для восстановления системы.
Рекомендуемые конфигурации разделов дисков в системах на базе BIOS.

 

#107 18.06.2012 20:27:24

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: Лечение системы после заражения вирусом

Здравствуйте!
Товарищ поймал блокировщик ОС (скриншот позже). Я скачал AntiSMS 2.3, записал на диск.
На инфицированном ПК WXP Pro:
1. Запустился с СД диска, запустил с рабочего стола AntiSMS;
2. Перезагрузился в рабочую систему и выполнил быструю проверку последним cureit Dr.Web, вирусов не обнаружил ??? (в прошлые разы в корне диска находил MBR_LocK);
3. Через msconfig открыл Настройки системы, зашел в автозагрузку, там было отключено пару программ, подозрение вызвал netprotocol.ехе, я его оставил не включенным, зашел на вкладку Общие поставил Обычный запуск, потом еще раз в автозапуске отключил netprotocol.ехе – перегрузился;
4. После перезагрузки Система загрузилась снова в Выборочном запуске, я снова повторил п. 3, результат тот же;
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/3vp4FZWt.jpg

Я повторно повторил пункты 1, 2, 3, 4, результат тот же.
Погуглил по поводу netprotocol.ехе:
Скрытый текст (раскрыть):
Что такое netprotocol.exe:
http://pulsepc.ru/itnews/virus-netproto … henie.html
Вредоносный код, позволяющий хакеру получать доступ к зараженному компьютеру. Представляет собой обычное приложение ОС Windows (PE-EXE файл). Размер 89088 байт и 181 КБ в распакованном виде. Упакован неизвестным упаковщиком. Написан на языке программирования C++.

Как удалить netprotocol.exe на Windows XP:
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим»
Нажимаем Пуск / выполнить / regedit /
Идём по ветке HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Удаляем строки conime32.exe и netprotocol.exe
Идём по ветке HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, нажимаем в верхней строке «сервис» / «свойства папки» / «вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» / «ок»
Идём в папку С: / Documents and settings / *Имя пользователя* (чаще всего Admin) / Application Data
Там удаляем файлы system.exe , netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся

Как удалить netprotocol.exe на Windows Vista и Windows 7:
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим»
Нажимаем Пуск / выполнить / regedit /
Идём по ветке HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 
Удаляем строки conime32.exe и netprotocol.exe
Идём по ветке HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, в верхнем левом углу «Упорядочить» / «параметры папок и поиска» / «вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» / «ок»
Идём в папку C: / Пользователи / *Имя пользователя* / AppData / Roaming
Там удаляем файлы system.exe , netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся

С выше описанного, я нашел только HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ netprotocol.exe, остальное, в реестре и в папках отсутствовало, я прогонял несколько раз весь диск, хотя в автозапуске четко было видно С: / Documents and settings / *Имя пользователя* / Application Data / netprotocol.ехе.
После операций с netprotocol.ехе слетел модуль SpIDer Gate Dr.Web (пришлось переустанавливать Dr.Web) и пропал интернет (запустил AntiSMS в рабочей системе и выполнил сброс настроек сети), интернет появился.
После этого Dr.Web постоянно стал оповещать о заблокированном адресе (адрес один и тот же, сообщение не закрывается даже принудительно и висит поверх всех окон).
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/DiRW4W7L.jpg

и не запускается Internet Explorer 8.0 (я в свойствах обозревателя, через панель управления сделал домашнюю страницу Пустой, обычно about:Tabs, а стало что-то другое, я уже не могу вспомнить, потому что последние разы вообще до этого места не доходило, повисит и выдает ошибку).
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/dozY4SyZ.jpg
http://s2.ipicture.ru/uploads/20120618/So3UWg0v.jpg

Opera и Mozilla Firefox открываются нормально.
Еще после перезагрузки выскакивало сообщение:
Скрытый текст (раскрыть):
http://s2.ipicture.ru/uploads/20120618/yCVTs0qU.jpg

Снес каталист АТИ-пропало.
Рассказываю на пальцах, потому что не знаю, что необходимо предоставить для анализа. Думал весь реестр, так надо было это сделать до манипуляций, да и весит он что-то за 40 метров (раньше пару раз без заморочок было).
Есть какие-то предположения, как избавиться, от того что, что-то лезет в интернет, не работает IE 8.0 и почему не нашелся вирус.

Всем спасибо.

С ув. Gennadiy

P.S.
Не помешал бы, какой ни будь FAQ для таких случаев, а то я так и не могу понять, что делать, кроме как запустить значок AntiSMS на рабочем столе.
Попутно, как пользоваться uVS утилитой.
---
С uVS кажется понял с поста #475:

В этой версии решено включить базу хэшей в состав диска, это немного ускорит работу программы и предотвратит отключение некоторых проверенных, но неподписанных файлов.

Отредактировано GenAleks (18.06.2012 20:37:31)


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#108 18.06.2012 20:34:55

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: Лечение системы после заражения вирусом

GenAleks
один зловред не включили, но включили второй.
если вообще не включать ничего через msconfig, то система работает нормально?

 

#109 18.06.2012 20:40:34

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: Лечение системы после заражения вирусом

art9
Да она и сейчас работает (после удаления netprotocol.ехе-недавал запуститься в Обычном запуске), только не работает ИЭ и выскакивает сообщение Dr.Web (все остальное оставил как было в Выборочном запуске Настройки системы)

Отредактировано GenAleks (18.06.2012 20:45:13)


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#110 18.06.2012 20:44:19

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: Лечение системы после заражения вирусом

GenAleks
Если вы еще раз прогоните через АнтиСМС, и не будете включать ничего через msconfig, то проверьте будет ли ругаться drweb?

А чтобы понять что конкретно в вашем случае нужен лог uVS:
Скачайте программу Universal Virus Sniffer: http://dsrt.dyndns.org/uvs.htm
Разархивируйте скачанный архив.
Запустите файл start.exe (в Windows Vista/Seven запускать с правами администратора: правой кнопкой по файлу, выбрать "Запустить от имени администратора").
Появится меню, где выберите "Запустить под текущем пользователем".
Выберите: "Файл" -> "Сохранить полный образ автозапуска",
полученный файл заархивируйте (если он не за-архивировался автоматически) и разместите на одном из файлообменников, ссылку сюда

Отредактировано art9 (18.06.2012 20:49:08)

 

#111 18.06.2012 20:46:34

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: Лечение системы после заражения вирусом

Это сделать сложнее, комп не рядом
Я все выставлял как до включения msconfig, не помогло

А что на счет Ie8

А чтобы понять что конкретно в вашем случае нужен лог uVS

Это сейчас попробую удаленно сделать
-----
Сделал: http://files.mail.ru/77WMRZ

Отредактировано GenAleks (18.06.2012 21:53:14)


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#112 18.06.2012 23:29:36

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: Лечение системы после заражения вирусом

GenAleks
скрипт лечения:


Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; C:\PROGRAM FILES\CHROME\CHROME.EXE
addsgn A7679B19919A1FCA0746FCB18CBB9CE8DA2BAC90DAFA947805BBF1BC24C6D01C4544C3DC3EBD4726D37F005F321AE8AA1B8CE8F95551A0D37F4F2F2273607173 32 v1

zoo %SystemDrive%\PROGRAM FILES\CHROME\CHROME.EXE
; C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
addsgn 79132211B9E9317E0AA1AB59E8EC1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EABA83EB99FB58E64E185CFEB117393253FA 64 v2

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
chklst
delvir
delnfr
restart

 

#113 19.06.2012 19:53:07

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: Лечение системы после заражения вирусом

art9 сообщает:

скрипт лечения:

Спасибо огромное за труды art9, но если Вас не затруднит, напишите подробней, чем и как этот скрипт хотя бы запустить и что он будет делать. Или где об этом можно почитать.
Насколько я так понял, это надо сделать посредством uVS v3.75, но как?

Нашел некоторые ответы на свои вопросы, что не так подправьте.
---
Кое-что нашел по открытию скрипта
Скрытый текст (раскрыть):

http://pchelpforum.ru/f26/t24207/#post543010

---
Сейчас ищу Справку по uVS v3.75, буду изучать.
Скрытый текст (раскрыть):

полная документация по uVS в каталоге doc в папке с uVS (да блин, вчера листал)

http://pchelpforum.ru/f26/t94635/#post828890

А на что в первую очередь обратить внимание

---
И если можно, в двух словах, об анализе, предоставленного мною лога uVS: как его посмотреть и на что обратить внимание.

Пока все.

Еще раз спасибо.

С ув. Gennadiy


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#114 19.06.2012 19:56:25

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: Лечение системы после заражения вирусом

GenAleks
Выполнение скрипта лечения:

Запустите программу Universal Virus Sniffer по аналогии из сообщения выше.

Выполнить скрипт лечения можно способами:
1) скопируйте в буфер обмена код скрипта, затем в главном меню программы Universal Virus Sniffer выберите "Скрипт" -> "Выполнить скрипт находящийся в буфере обмена..."
2) Скрипт лечения скопировать в буфер, открыть Блокнот, вставить из буфера скрипт лечения, сохранить в файл под любым именем, далее в программе Universal Virus Sniffer выбрать "Скрипт" -> "Выполнить скрипт из файла..." и указать файл со скриптом лечения.
3) Если скрипт получен в виде файла, то в программе Universal Virus Sniffer выбрать "Скрипт" -> "Выполнить скрипт из файла..." и указать файл со скриптом лечения.

Что делает:
Зловред в C:\PROGRAM FILES\CHROME\CHROME.EXE (залейте его на вирустотал - посмотрите)
- удаляет его +  плюс еще одну гадость.

---------
про удаленный - не знаю, не пробовал.

про отчет - это новый лог, посмотреть что стало после скрипта

Отредактировано art9 (20.06.2012 06:52:34)

 

#115 19.06.2012 20:16:35

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: Лечение системы после заражения вирусом

art9 сообщает:

(залейте его на вирустотал - посмотрите)

вирустотал?

Нашел:
Скрытый текст (раскрыть):
VirusTotal-это бесплатный сервис, который анализирует подозрительные файлы и URL-адресов и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ.

---
Сейчас ищу хелп, как это правильно сделать удаленно (что бы свою систему не уложить) (частень использую AMMYY_Admin, но так понимаю, это не тот случай)

Вот что-то нашел:
Удаленный доступ, его варианты и проблемы:
Скрытый текст (раскрыть):

http://defendium.info/entry.php/75-


Я так понял что можно использовать и AMMYY_Admin, только почему-то о нем ничего не упоминается в статье
---
Так же нашел:
ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ
Скрытый текст (раскрыть):

http://pchelpforum.ru/f26/t6442/

Интерестно!!!

===============================================
art9
Завтра попробую Ваш код через AMMYY_Admin на инфицированном ПК (Хотелось бы услышать Ваше мнение, по поводу моей удаленной затеи, или лучше это сделать на месте инфицированного ПК).

Какой нужно снять отчет, что бы убедиться, что все прошло нормально?

Спасибо.

С ув. Gennadiy

Отредактировано GenAleks (19.06.2012 23:35:36)


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#116 24.06.2012 16:04:54

Алекс
Advanced Member
Зарегистрирован: 03.06.2012
Сообщений: 258
Вебсайт

Re: Лечение системы после заражения вирусом

Sergikaz сообщает:

Я понимаю, что главное результат, но всё же хочется "знать врага в лицо" и как он запускается.

Поддерживаю! вражину надо знать в лицо! biggrin
а тому человеку ,который с нодом сидит - посоветуйте AVG free например,лучше..
он гораздо эффективнее на мой взгляд,и бесплатная версия Home есть.

 

#117 24.06.2012 16:34:47

al7eks
New member
Зарегистрирован: 17.06.2012
Сообщений: 2

Re: Лечение системы после заражения вирусом

а тому человеку ,который с нодом сидит - посоветуйте AVG free например,лучше..

чушь полная
. АВГно точно не лучше. С банерами сталкиваюсь часто, и любой антивирус не панацея. Однако у Noda 5 последнего есть - Система предотвращения вторжений на узел (HIPS)
Система предотвращения вторжений на узел защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра, активно блокируются и предотвращаются любые такие попытки.
Если с помощью ее защитить автозагрузку, системные папки, MBR будет очень сложно подцепить заразу

 

#118 24.06.2012 17:00:29

Алекс
Advanced Member
Зарегистрирован: 03.06.2012
Сообщений: 258
Вебсайт

Re: Лечение системы после заражения вирусом

al7eks сообщает:

и любой антивирус не панацея. Однако у Noda 5 последнего есть - Система предотвращения вторжений на узел (HIPS)

я и не утверждаю что АВГ- это идеальная панацея от всего! crazyидеальных антивирусов не бывает вообще. Однако за мою практику очень много раз (более 50-ти точно) сталкивался как раз с случаями что приходилось чистить (настраивать ,переустанавливать) очень загаженные вирусами ОС как раз с установленными там НОД*ами и Аваст*ами .   и потом я им ставил АВГ ,и у многих до сих пор никаких проблем нету.
Может у вашего нода-5 и появилась какая-то там супер-новая фишка (HIPS),но к сожалению проверить её в действии нету возможности , так как моё доверие к НОДУ И Авасту потеряно уже очень давно. да и не думаю,что это новая (HIPS) даёт какие-то эффективные результаты.
Извиняюсь за оф-топ, здесь тема немного другая всё же.

 

#119 05.07.2012 18:52:12

man1948
Member
Зарегистрирован: 15.06.2012
Сообщений: 12

Re: Лечение системы после заражения вирусом

Не стандартно применил прогу! После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала !

с небольшим глюком- некоторые сайты перестали загружаться - к примеру http://lib.aldebaran.ru/

система -зверь- где искать заморочку ?

Первая десятка Тем (по количеству просмотров)
удаления блокираторов        9081
http://www.yaltanet.com.ua/forum/index.php?topic=290.15

Этот вариант я знаю. Не горит.Может есть другие мысли - где собака зарыта!

Есть желание покопаться - может ...

Проверить файл hosts - норма !

Почему некоторые ?

выложите логи AVZ, UVS, hj,
посмотрим что у вас.

Отредактировано man1948 (07.07.2012 22:59:04)

 

#120 06.07.2012 07:38:55

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: Лечение системы после заражения вирусом

man1948
не то.
я вам в личку писал как правильно делать логи

Отредактировано art9 (06.07.2012 07:57:23)

 

#121 06.07.2012 08:47:43

man1948
Member
Зарегистрирован: 15.06.2012
Сообщений: 12

Re: Лечение системы после заражения вирусом

Понял -сделал !
Логи:
Скрытый текст (раскрыть): http://rghost.ru/39077454

Ok-познее сообщу результат.

Отредактировано man1948 (07.07.2012 16:13:46)

 

#122 07.07.2012 15:41:02

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: Лечение системы после заражения вирусом

man1948

Выполните скрипт через AVZ:


Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 TerminateProcessByName('c:\documents and settings\admin\application data\taskhost.exe');
 DeleteFile('c:\documents and settings\admin\application data\taskhost.exe');
 DeleteFile('C:\WINDOWS\system32\nkxkckg.dll');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\willarchive\viewmerik.exe');
 DeleteFile('C:\Program Files\День Победы 3 - За Родину!\map\cache\quad_1761.bin.gz');
 DeleteFile('G:\autorun.inf');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

Затем  выполните скрипт через UVS:


Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

deltmp
delnfr
; C:\PROGRAMDATA\JAVA\JRE6\BIN\JWDEPLOY.DLL
addsgn 1B1C8165AA83C58CF42B254E3143FE8EE401B1FE4EFAC7D9C5C34EB5D99E758A631FC30AFC5D9DC26A84015F3313F11ADC9FE8B1DE25E5A7C1F4D927C751A98A 64 070712-1

zoo %SystemDrive%\PROGRAMDATA\JAVA\JRE6\BIN\JWDEPLOY.DLL
; C:\WINDOWS\SYSTEM32\NKXKCKG.DLL
addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B402DC78E9C32E9AD328733826943D564B773C49E280E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 070712-2

zoo %Sys32%\NKXKCKG.DLL
; C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
addsgn 1AB0619A55835A8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE9165 32 070712-3

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE

chklst
delvir
regt 13
regt 19
regt 2
regt 12
regt 9
regt 18
restart

Отредактировано art9 (07.07.2012 22:57:07)

 

#123 07.07.2012 22:22:33

man1948
Member
Зарегистрирован: 15.06.2012
Сообщений: 12

Re: Лечение системы после заражения вирусом

1. Выполнил скрипт через AVZ:
2. Затем  выполните скрипт через UVS: - прога отказ выполнения - скрипт содержит ошибки ! Возможно после выполнения скрипт через AVZ - скрипт через UVS: надо корректировать.WINDOWS\system32\nkxkckg.dll');

3. Но важен результат - ИНТЕРНЕТ ЗАРАБОТАЛ !!!!!!

Большое спасибо за помощь!!!  drinks

И где по вашему собака зарыта???

Отредактировано man1948 (07.07.2012 22:40:08)

 

#124 07.07.2012 22:34:08

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: Лечение системы после заражения вирусом

man1948
Проблема была в трояне, который сидел в системе.
Скрипт УВС действительно оказался поврежден, можете сделать _новый_ лог UVS - посмотрю еще.

Отредактировано art9 (08.07.2012 09:18:12)

 

#125 07.07.2012 22:55:54

man1948
Member
Зарегистрирован: 15.06.2012
Сообщений: 12

Re: Лечение системы после заражения вирусом

Этот комп не под рукой - завтра на работу на сутки - и  так Все очень довольны - обошлись малой кровью - без пере установки Винды - программ и игрушек ! Большое спасибо за помощь!!! simplix AntiSMS +  AVZ + art9

Отредактировано man1948 (07.07.2012 23:15:31)

 

Board footer


© simplix