simplix
Спасибо за проделанную работу! Вчера поставил ОС, решил еще проверить через hijackthis и обнаружил в автозагрузке такой ключ
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NetworkService"="C:\\WINDOWS\\TEMP\\IXP000.TMP\\svchost.exe"
Для чего он нужен? Можно ли его отключить?
guestt
Отключить не только можно, но и нужно - вы подхватили троян.
simplix
у меня такая проблема, не могу включить диспетчер задач, пробовал 2 способами! И Еще такая проблема, устанавливаю антивирус ( касперски, аваст, др.веб) и не запускается он!! Что такое можно узнать? :unknown:
WerHoveR
Возможно как раз вирус и не даёт им запуститься. Проверьте все жёсткие диски из WinPE (буква P при загрузке с диска) с помощью Kaspersky Virus Removal Tool.
diligence52
fixmapi.exe - системный файл, лень в гугль сходить?
diligence52 сообщает:
IDimm Lite нашёл то - же самое, но удалился без проблем и последствий.
ну-ну... :D
ничего удивительного в этом нет, это утилита для восстановления библиотеки Mapi32.dll :cool:
а то что у вас не получилось удалить системный файл в сборке симпликса, но получилось в IDimm Lite, говорит лишь о том, что в последней системные файлы выведены из-под защиты, что не есть гуд ;)
Пропатчил прежний образ до 15.06, аваст орет об обнаружении трояна, что это :unknown:
nsf у меня KIS2009 смолчал. Может просто какой-то безвредный но "сложной конструкции" файл не определил, вот и пишет чо вирусняк. А его определение можно в студию!
pavlocool
Скачал с первоисточника (NNM-Clab) c целью перепроверить, да, есть. Называется "Win32:Trojan - gen{Other}.
Путь....\WNPE\SYSTEM32\Regeditpe.exe
nsf
Ложное срабатывание.
nsf сообщает:
Пропатчил прежний образ до 15.06, аваст орет об обнаружении трояна, что это :unknown:
Simplix уже отвечал на этот вопрос, пост №628:
читайте внимательно форум. :)
simplix спасибо за твои работы.твоей сборкой пользуюсь с мая 2008.panda 2009 никаких троянов в последней сборке не нашЁл.
:)
Подскажите, пожалуйста!
Вставил в компьютер чужую флешку и... сразу тревога: Нод32 обнаружил червь Win32/Conficker (букву не помню).
После удаления червя из флешки и её форматирования проверил компьютер на вирусы: результат - вирусы не обнаружены. Однако, после перезагрузи компа (и последующих включений) до сегодняшнего дня изменился процесс загрузки Виндоуз. Такое впечатление, что с включением компа "что-то" подгружается автоматически, и только в последнюю очередь появляется автозагрузка, так как сам процесс загрузки увеличился по времени, а поведение экрана стало каким-то визуально неадекватным...
В работе системы пока проблем не обнаружил.
Вопрос: как восстановить повреждённые (заражённые вирусом) системные файлы без переустановки Виндоуз?
(к сожалению, я не силён в этом, так что заранее благодарен за помощь!)
Выполнить команду sfc /scannow
+ еще информация: http://support.microsoft.com/kb/962007
Andrey-A
также может быть полезна информация:
http://www.esetnod32.ru/company/news.ph … NT_ID=6327
http://support.kaspersky.ru/kis2009/error?qid=208636215
grind78
mvk2000
спасибо! :drinks:
Andrey-A
После
поведение экрана стало каким-то визуально неадекватным
невольно возникает куча вопросов))) Скрины уж тогда выложи или уточни, что конкретно стало хуже. По поводу Conficker: визуальный интерфейс он не трогает, и если нод сказал, что грохнул его - так и есть. На счёт автозагрузки, действительно, может грузиться что-то не то, и причин может быть миллион. Далее, если хочешь посмотреть что у тебя грузится, нажми пуск->выполнить и набери msconfig , запустится окошко, в нём на вкладке "автозагрузка" можешь посмотреть, что у тебя запускается. Для теста можешь снять пару-тройку ненужных тебе галочек, перезагрузиться и посмотреть, что из этого получится. Можешь просто вопрос задать по непонятным вещам в инете. (Но трогаешь ТОЛЬКО вкладку "Автозагрузка", изменишь другие, винда не запустится)
Light-XP
если хочешь посмотреть что у тебя грузится, нажми пуск->выполнить и набери msconfig
посмотрел, но там только то, что я и в CCleaner вижу )))
Andrey-A
поведение экрана стало каким-то визуально неадекватным
имеется в виду, что загрузка стала дольше по времени, а визуально это отражается примерно так:
пробегает полоса загрузки 4 раза, потом чёрный экран секунд 5, после экран темно-серый секунд на 5, и на его фоне огромный курсор (как-будто дров на видюху нет), потом голубой экран с надписью "Загрузка Windows", после окно "Приветствие" секунд на 10 (с крутящимся колёсиком), и только потом появляется рабочий стол, а на панели задач начинается автозагрузка из "списка автозагрузок".
Раньше было проще и быстрее:
полоса загрузки - 8 раз, после окно "Приветствия" секунд на 5-7, а потом рабочий стол с УЖЕ загруженным списком автозагрузок.
Waterclo
В ФАК-е даны ссылки для решения подобных проблем.
возможно, я невнимательный, но я не нашёл там ничего для решения этой проблемы
Andrey-A
В FAQ пункт 1.12, часть 2.
Andrey-A
В ФАК-е, в моём посте, ссылок слегка побольше (на любителя). Есть и ссылки на сайты, соответствующей тематики. Будь внимательнее!
simplix
Waterclo
Ещё раз спасибо.
Сегодня посмотрю что можно сделать с автозагрузкой.
Надо найти полный список того, что загружается автоматически, а потом вычислить лишнее и удалить...
:drinks:
Andrey-A
Чтобы "найти полный список того, что загружается автоматически, а потом вычислить лишнее и удалить.." рекомендую утилиту Зайцева "AVZ Antiviral Toolkit". Покажет автозагрузку всю, и программы, и службы, и драйвера, и т.д. Но с этой утилитой надо очень осторожно работать, надо делать всё очень обдумано!
Sergikaz
спасибо за совет )
Andrey-A
Для контроля автозагрузки можешь воспользоваться Startup.cpl. Скопируй в C:\WINDOWS\system32 и можешь запускать из панели управления. Ссылка на AVZ в FAQ Пункт 5.2.
Waterclo
Startup.cpl хрошая вещь. :good: Спасибо, я про это не знал. :drinks:
Shpuntic
Глянь здесь, может ещё, чё пригодится.
OFFTOPIC
Waterclo
Я там есть, ;) просто это прозевал. :unknown:
Спасибо всем! :drinks:
Конечно, проще переустановить Винду, но просто азарт берёт вверх.
Уже сейчас система стала грузиться чуточку быстрее, а главное, что проблем в работе не испытываю.
Только в таких ситуациях можно многому научиться и приобрести опыт в решении подобных вопросов в будущем.
Буду очень рад, если удастся всё привести в порядок.
Отдельное спасибо за Windows XP Pro SP3 VLK Rus (x86)!
На скрине видно, что отключить "Службу терминалов" не удаётся, так как она продолжает работать даже после отключения, а опция "стоп" в свойствах службы не активна.
Вопрос: как остановить "службу терминалов"?
Это значит, что кто-то удалённо получил доступ к моему компьютеру?
Andrey-A
Попробуй через реестр см. здесь.
Или создай reg файл:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
"Start"=dword:00000004
и перезагрузись.
Подробнее в FAQ, Пункт 5.7.
Загляни пожалуйста в FAQ Пункт 2, прочти и осмысли.
Waterclo
"Служба терминалов" после перезагрузки отключилась нормально.
Загляни пожалуйста в FAQ Пункт 2, прочти и осмысли.
Вчера понял.
Andrey-A
Чудненько! Если Система всё ещё медленно грузится, в FAQ, Пункт 5.5. Да, кстати, лог можно было выложить текстом:
Ещё проверься на Rootkit-ы и обрати внимание, что к ПК разрешён доступ анонимного пользователя. Подробнее в FAQ, 4.3 Вопрос.
Waterclo
Что мне надо сделать?
Andrey-A
System оставь в покое. Зайди В Администрирование -> Локальная политика безопасности -> Параметры безопасности и потключай весь анонимный доступ.
Пункт 2, вижу, осмыслил плохо. Посмотри, как я оформляю скрины. Там был дан наглядный пример. Не надо торпиться - будь внимательнее! Отредактируй посты в соответствии с приличиями. Сервис хранения изображений.
Waterclo
спасибо, сделал!
а скрины я просто удалил (главное, что показал)
Andrey-A
Зря удалил. Подумай - тему будут просматривать другие, попавшие в аналогичную ситуацию, так не поймут о чём речь велась.
Сделал превью.
В общем, полёт нормальный, спасибо ещё раз за помощь!
Буду ждать появления Windows 7 RTM от simplix :)
Andrey-A
Молодец!
А Windows 7 RTM от simplix в ближайшие несколько лет не дождёшься - см. в ФАК-е 2.37. Вопрос и Моё мнение о "Вистанутостях". Не будь "торопыгой", внимательное изучение FAQ, всегда окупается знаниями, которые никто у тебя не отнимет.
Как когда-то говорила моя Бабушка - имея знания, всегда заработаешь на кусок хлеба (Пузырь пива и кусок колбасы :lol: )
Waterclo
Мнение о Win-7 прочитал.
Логично, согласен! :good:
Помогите, беда!!! Играл в игру, и она зависла. Вышел через сtrl+alt+del в окно и хотел через диспечер задач снять игру, но путем правой мыши в трее диспечер не открылся. Зделал просто \пуск\перегрузка... После этого винда не загрузилась, а появилось окно с моим именем и внизу ввести пароль. Попробовал в безопасном режиме - тоже самое :(
Выручайте, только сутки прошли как поставил другую сборку от 15.06.09. До этого стояла 20.02.08 вроди подобного не замечал.
Попробовал через k (key): Я в англ. не силен. Там пять пользователей, нашол среди них свой, но что-то не получилось. Может как-нибудь подробней проясниш.
Luks
Вообще-то, диспетчер задач вытаскивается из трэя левой кнопкой мыши. Поделись, в какую игру играл, кто создавал пользователей и как они обзываются. Создание учетных записей пользователя и группы, Что делать, если вы забыли пароль Администратора?
Waterclo
На нижней панели правой мышей открывается окно, там по мимо прочего есть диспечер задач.
Игра Divinity 2 и играю не по сети, если я правильно понял. Я уже запутался, наверное нервы.
Как мне ввойти в вынду, если выводит окно с моим логином и просит пароль, которого я при установке операционки не вводил?
Luks
Отставить нервы! Загрузи WinPE и проверься на вирусы Пункт 5.2 (антивирус грузим с флэшки). Что не получается через k? Перечисли пользователей.
Waterclo
Давай через к? Благо что у меня два компа дома.
Пользователи:
1.Admin
2.Guest
3.HelpAssistant
4.Luks (Это Я)
5.ASPNET
Luks
Если через k, то начнёт грузиться установка Windows, после загрузки драйверов устройств на чёрном фоне появится сообщение - ключи найдены в разделе и каталоге (C:\WINDOWS), дальше: 1 - продолжить; 0 - выйти. Нажмёшь 1, высветятся пользователи и запрос кому сбрасывать пароль - нажимаем цифру нужного пользователя. Дальше появится сообщение хотите ли сбросить (Y/N) - жмём Y. Дальше спросит хотите ли сбросить ещё пользователя (Y/N) и т.д.
1.Admin - понятно.
2.Guest - понятно.
3.HelpAssistant - Удаленный помощник, а он тебе нужен? См. http://security-advisory.ru/
4.Luks - если ты единственный пользователь, зачем создавал? Admin-а мало?
5.ASPNET - 2.31. Вопрос.
Если у Admin-а пароля не было, попробуй войти через него. Зря я ссылку давал, что-ли? Вообще, такие чудеса вдруг не происходят - проверься на вирусы.
Waterclo
Такс... Проверил я флешкой через WinPe прогой DrWeb и у меня все exe-ники заражены на системном диске. Применил лечение, вроди вылечил. Перегрузил и входил под своим ником без пароля. Открылось окно под музыку, но без ничего, только мыш работала. В безопасном режиме то-же самое. Что теперь винду переустанавливать?
Luks
Ну, чё я говорил... Переустановка - лучший выход, с полным формативованием, лучше с пересозданием раздела. Не знаю, чё ты там подхватил, но лечение и восстановление информации (если необходимо) может отнять больше времени, чем переустановка. Чтоб не подхватывать, читай по данной мной ссылке, прочти FAQ. Защищатья надо от путей доставки дерьма, а антивирус - информатор, не более. Будь осторожнее с игровыми серверами - наивернейший путь доставки. Вообще, чтоб не тратить время на переустановку - создавай резервную копию системы.
Waterclo
Cпасиьо тебе за помощь в вопросах. Если бы я знал что в этом причина, то за это время можна было-бы переустановить 10-windows. Ну что поделаеш, чайник я. На последок, у меня стоял NOD32, нужно-ли к нему что-то добавлять?
Luks
Чайник, говоришь - эт со временем проходит... Читай ФАК, там для начала информации досыть. Оновное - http://security-advisory.ru/, а к NOD-у стоит добавить AVZ или Spybot - Search & Destroy с включенными резидентами - AVZGuard или TeaTimer у Spybot + иммунизация. Фаер должен быть хороший. Я много лет пользуюсь Sygate Personal Firewall и горя не знаю, раньше был ATGuard, оба были скуплены Symantec (Нортоном) и ликвидированы, как опасные конкуренты. Один недостаток, для незнающих буржуйского - англ. фэйс.
Уважаемый simplix во всех полных сборках (в Вашей тоже) присутствует ЭТО: http://pic.ipicture.ru/uploads/091022/s9zGEjxYgt.jpg , но ЭТО находит только ЭТА программа. Будет время, отпишитесь пожалуйста. С уважением - немолодой "чайник".
diligence52
Есть стойкое подозрение, что ЭТО косяк именно ЭТОй разрекламированной программы. Как провериться, для обретения уверенности, в FAQ Пункт 5.2 и https://forum.simplix.info/viewtopic.php?pid=2656#p2656.
Waterclo
Moderator _ Я тоже подозреваю, что это "косяк" этой программы. Но это всего - лишь подозрения. Она находит эти трояны на чистой ОС. А комп у меня защищён довольно неплохо: Sygate Personal Firewall Pro, отключены все лазейки по рекомендации avz, антивирусами пользуюсь только portable. Сканирую все архивы и файлы после скачивания Dr.Web и X-ClamWin. Изредка запускаю KAV8Portable, nod32portable, SpyHunter, Malwarebytes Anti-Malware. Они не "видят", то что увидел Spyware Cease.___ Ставил урезанную Windows XP SP3 Professional х86 RUS DM Maximum Edition v.9.9.7, в которой было удалено:
Скрытый текст (раскрыть): (Устаревшие и не используемые компоненты, отчасти забытые Microsoft при создании русской версии ОС)
1. Знакомство с Windows XP - это то, что раздражает после первого запуска системы и занимает непомерное кол-во места.
2. Возможность обновления до Windows XP с более ранних версий, например с MSDOS
3. Удалена поддержка пиринговой сети Microsoft, которая видимо использовалась когда то внутри сети Microsoft
4. Поддержка голосовых сообщений - английский бормочащий без интонации голос с ужастным битрейтом
5. Удален Мастер переноса файлов и параметров
6. Windows Messenger
7. MSN Explorer
8. Специальные возможности схем курсоров (огромные и крупные)
9. Портфель Windows XP
10. Урок обучения использования мыши
11. Видео и звук, проигрываемые при первом запуске
12. Устаревший парсер MSMXL 2.0.
13. Удален помощник по поиску - картинка с ее функцией мельтишащая внизу поисковой строки
14. Звуковой схемы "Утопия"
15. Неиспользуемые, редкие азиатские шрифты были заменены новыми на кирилице (см.ниже)
16. Все стандартные, идущие в комплекте игры заменены более качественными и интересными
17. Цветовые Схемы Классического стиля оформления (не путать со стилем по дефолту)
18. Центр безопасности Windows XP навязывающий использование нелепого файервола от Microsoft.
19. Cлужба Автоматического обновления. Теперь сами решаем когда и что обновлять с центра обновления Microsoft.
Этих троянов Spyware Cease не обнаружил.
diligence52
Freecell.exe - это игрушка пасьянс, rundll32.exe - компонент системы. Вижу, компьютер защищён неплохо. Получается ЭТОй spyware cease доверия больше, чем проверенным программам? В таком случае это уже паранойя! Не проще ли проверить чистую ОС чем-то другим, более заслуживающим доверия (Dr.Web CureIt!®)?
Waterclo
Moderator _ Я обратился не по адресу.
diligence52
Ну, раз не по адресу, на моём мнении свет клином не сошёлся. Подождём что скажет simplix... И все, кто имеет мнение по этому вопросу.
diligence52
Сделайте проще - закачайте подозрительные файлы на http://virustotal.com и сразу всё увидите.
simplix
В этом случае всё не проще, а гораздо сложнее. Товарищ diligence52 хронически не доверяет этой сборке: https://forum.simplix.info/viewtopic.php?pid=747#p747. После этого сообщения он удалил содержимое всех своих постов и оставил их пустыми. Зато доверяет "зоркой и бдительной", старательно разрекламированной и "многократно награждённой" Spyware Cease, кстати её сайт занесён в чёрный список PeerGuardian и ipfilter.dat uTorrent, т.к. собирает информацию об IP посетителей. Можно сделать вывод, что при сканировании эта хрень также передаёт какую-то информацию заказчику, т.е. является скрытой Spyware. Подробнее разбираться не испытываю желания. Как доказать человеку, что его подозрения относительно сборки беспочвенны?
diligence52
Единственное, что могу посоветовать - обратиться за разъяснениями на форум сайта СПАЙВАРЕ ру, это будет по адресу. С уважением - пока ещё не очень старый "умник".
simplix
спасибо,ну начнём,сейчас часто встречаю компьютеры с таким вирусом,на весь экран окно,никак не убирается и никак фактически не удалятся,где надпись.пришлите смс и всё удалится... лохотрон в общем
на компьютерах стояли разные антивирусные продукты,каспер,нод,авира,др.веб и все они это дело пропустили,как избежать данный вариант и как это дело лечить,с лайв сиди грузится и лечить не всегда помогает.
буду рад,что вами поднята такая тебя,ну а я поднял один из проблемных вариантов.
спасибо ещё раз!
deniskapoops
Сегодня знакомые попросили посмотреть компьютер. Говорят "что-то про активацию пишет и смс". Думаю, дело неладное, собрал свой "боекомплект", выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
"Windows заблокирован.
Для разблокировки отправьте смс 4119785996 на номер 3649.
Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные."
Давным давно сталкивался с такой бякой. В уже упомянутый "боекомплект" у меня входит LiveCD от DrWeb (curit). Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.
В нашей сети сообщают, что случай знакомых не единичный. Наши пользователи уже стали жертвами вируса. И если первый "вылечился" как и я, то второй пошел другим, оригинальным путем.
Резюме: Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше
Возможно подойдет код активации 3893879 (пробуйте)
Специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://news.drweb.com/show/?i=304&c=5, вводите цифры с сообщения ВАШЕГО компьютера - получаете разблокировачный код.
Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 если пожелаете,не замедлимо выполните. Этот пак сам установит все обновления до ноября месяца.
Буду держать вас в курсе событий...
Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!
Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.
Если после удаления вируса пропал рабочий стол
В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол.
Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать - если уже случилась беда - качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы ставьте PreSP4 и IE8, если пользуетесь эксплорером.
Помимо сканирования антивирусом рекомендуется проверить ветку в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)
Информация предоставлена http://www.polyakov.net.ru/blog/
ЕВГЕН
меня на сегодняшний день спасает сборка алкида,гружу её с флэшки(за это спасибо MBTY ) плюс там антивирей достаточно,но спасает авз+нод32,каспер с др.вебом пропускают эту гадость...
но я всё таки хочу узнать,как эта гадость попадает к простым чайникам,так как эта бяка встречается-у школьников,школьниц,взрослых людей,не все лазают в инете по зловредным сайтам...
хочется людей просто оберечь от этого!))
deniskapoops
ЕВГЕН
А как насчет этого https://forum.simplix.info/viewtopic.php?pid=3381#p3381
siva
не пробовал её,чтобы что-то запустить на больном компе.нужно освободить видимое место,а все окна с этой болячкой не двигаются.не сворачиваются,не убираются,чтобы даже кликнуть с флэхи этот файл,надо на него навести и подтвердить и видеть что и куда вводить.а не получится,потому что бяка по верх всех окон.вот так вот!
Этот вирус убирается за несколько минут с помощью программы AnVir Task Manager ( http://www.anvir.net ) Вам нужно взять portable-версию программы и записать желательно на диск (флешку в работе с чужими компами стараюсь не использовать)
Как правило, рекламное окно занимает не весь экран, а оставляет по краям рабочие области (думаю это сделано для счастливых обладателей мониторов 800х600). Окно проводника можно сдвинуть в сторону, получить доступ к диску и запустить AnVir, который перекроет окно вируса. На вкладке "Автозагрузка" удаляем подозрительные пункты с завершением процессов и удалением файлов их породивших.
Вдобавок бывает полезным загрузиться с LiveCD (любого) и почистить папку Temp.
Ребята, хочу спросить. Пару дней назад хапонул троян после которого у меня в винде все время сидело окно о перечислении каких то денег за программу. Ну с этим трояном я разобрался при помощи "AVZ". Теперь по сути, у меня теперь правой мышей кликая на панели инструментов не активируется функция "диспетчер задач" Это можно как-то исправить?
Luks
Не запускается "диспетчер задач" и по Ctr+Alt+Del, заблокирован запуск? У "AVZ" есть "Файл" --> "Восстановление системы". Ставишь галочку на "Разблокировка диспетча задач" и жмёшь на "Выполнить отмеченные операции".
Sergikaz
Спасибо, получилось.:)
Здравствуйте! Меня уже почти 2 месяца мучает следующая проблема, и никак не получается что-то изменить.:crazy:
В середине декабря я дважды подхватывала порно-банер, блокирующий Windows. Назывался он plugin.exe и располагался 1ый раз на диске С:, а 2ой - в С:/Program Files. 1ый раз разблокироваться удалось только переименованием с помощью DrWeb-а. Просто удалить или вылечить не удавалось. 1ый раз я отправила этот вирус в DrWeb и они внесли его в базу вирусов. 2ой раз DrWeb на новую версию вируса даже не среагировал (проверялась в безопасном режиме). Я сама его углядела и переименовала.
В первом случае после переименования комп стал требовать перезагрузку. Когда я от него отошла, перезагрузился сам. С тех пор я не могу попасть практически ни на один сайт антивирусов, проверка ссылок для FireFox от DrWeb не рабоает. Удалось зайти только на казахский DrWeb и Panda. FireFox стал подвисать почти каждую минуту на короткое время. Перед появлением сообщения о том, что антивирусные базы обновлены, подвисает весь комп. И возникли еще проблемы с антивирусной проверкой. Теперь проверяюсь всегда только в безопасном режиме Windows DrWeb-ом (лицензия) и CureIt. Если выбрать полную проверку, то она проходит минут за 20, быстрее на несколько минут, чем быстрая. Вижу, что проверяется только 1 папка на диске С: (винт - 300 Гб, свободно 15 Гб, разделен на 2 части). Если выбрать диск С:, то тоже только 1 директория проверяется. Многочасовая проверка начинается только тогда, когда проверяешь каждую папку по отдельности. А вот диск Z: нормально проверяется, если его выбрать.
Ума не приложу, как это исправить. Больше всего напрягает то, что не могу попасть на сайты антивирусов, а от бесконечных зависаний браузера у меня скоро начнутся нервные припадки. 
Пробовала переустанавливать FF, Opera, IE. Результатов нет. Что делать? Переустанавливать Windows? Можно ли обойтись без форматирования С:, установив поверх прежней сборки, а то диск забит под завязку и копировать некуда? И можно ли в моей ситуации быть уверенной в том, что Windows скачается, прожжется и установится нормально? Ну и еще один вопрос, хотя и не совсем к месту: насколько легко устанавливается ваша сборка, а то я никогда сама не устанавливала, только читала об этом у Левина в "Самоучителе работы на компьютере"? Может можно обойтись менее радикальными способами?
Буду очень признательна, если кто-нибудь может чем-то помочь.
mvk2000 писал(а):
Пройдись одной из программ
MalwareBytes Anti-malware
Super Anti Spyware
SpyBot – Search&Destroy
Спасибо. Попробую. Доступна только 3я, на первые 2 не могу попасть. :(
попробуй загружаться с LiveCD.
Я не могу его скачать по той же причине. 
А вообще-то эта тема несколько для иных вопросов, более подходящее место мне кажется здесь
Упс, я его не нашла. :unknown: Вы правы.
maximum писал(а):
попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.
Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно. А качать с каких-то других сайтов... Теперь боюсь всего. 
В личку заглядывала?
А из советов, что-то пробовала?
Если не получается скачать с сайтов, попробуй отсюда:
MAM
AVZ
Прежде чем переустанавливать, советую побороться..
Попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.
Скрытый текст (раскрыть):
Рекламная рассылка от AdSubscribe
В AVZ выполнить данный скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Windows\system32\mssrv32.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
***
Удаляем рекламу секс шопа
В AVZ выполнить данный скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
RebootWindows(true);
end.
НатаZ сообщает:
Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно. А качать с каких-то других сайтов... Теперь боюсь всего.
а что непонятно :) я привел два скрипта, в вашем случае надо использовать второй скрипт ну и описал, куда надо вставить скрипт в AVZ что непонятного :) скачать - AVZ
НатаZ
вот ещё avz с осзона с обновлениями по февраль,поможет вам во многом и вернуть комп к жизни!) :oops:
http://turbobit.net/arma5r94d8oe.html
http://depositfiles.com/ru/files/9zyuaf2gu
Очень уважаю эту талантливую сборку, особенно за возможность обновления (а часто при этом и исправления) плохо работающей Оси.
Однако, сегодня столкнулся с такой проблемой - работает система WinXP SP2, запускаю диск в режиме обновления, начинают загружаться вспомогательные файлы и когда загрузка подходит примерно к 95% выскакивает сообщение о невозможности загрузки файла ayiooojcl.sys (или a3avdlar.sys или a3og1et7.sys). Такое впечатление, что эти названия несуществующих файлов формируются случайным образом из 8-ми символов, причем первый из них обязательно "a" :( .
Проверил этот эксперимент на двух версиях (разные CD) от 20.12.2009 и 20.02.2010 - результат аналогичный. Я в полном ступоре :oops: Если есть какие-то мысли, то ради бога помогите из него (СТУПОРА :rolleyes:) выйти. Антивирусом (DrWeb с последними обновлениями) проверял диск - всё чисто.
Заранее благодарен.........................Дмитрий
P.S. Если вдруг не по теме подскажите куда обратиться ( В Microsoft не посылать!)
mitmash
Судя по названиям файлов и неспособности обновиться, система заражена вирусами. Загрузись в WinPE, найди и удали указанные файлы (если они есть), там же пройди по реестру утилитой REGEDITPE.EXE и удали на них ссылки. Удачи!
mitmash
Возможны два варианта:
1. При обновлении рабочей системы программа установки не может скопировать некий *.sys-файл в случае, когда драйвер какой-то программы присутствует в установленной системе, не может быть удалён без нарушения функций обновляемой системы, а в составе дитрибутива отсутствует и не может быть перезаписан (FAQ, 1.2. Вопрос).
Действие:
Пуск->Поиск->Забиваем название файла, находим, в свойствах файла смотрим, какой программе принадлежит драйвер. Деинсталлируем её перед обновлением системы. Так же, увидеть какой программой заблокирован файл можно Unlocker-ом.
2. Более вероятно, наличие трояна в установленной системе, раз "названия "несуществующих" файлов формируются случайным образом". Антивирусом, инсталлированым в инфицированной системе, проверять бесполезно - он может быть заблокирован, или вирус (руткит, троян) защищён от обнаружения.
Действие:
Качаем (FAQ, Пункт 5.2) AVPTool или Dr.Web CureIt!® и AVZ (внимательно смотрим скриншот). Устанавливаем их на флэшку и проверяем из-под WinPE старую систему. AVZ запускаем для контроля после удаления вирусов из-под установленой системы, перед её обновлением.
вот какая проблема при обновлении из под самой операционке возникла.
1ый раз обновлял показало то же самое токо с другим названием файла
2й и 3й раз то что на скрине
обновляю 15.03.10 на 15.05.10
Скрытый текст (раскрыть): 
подскажите как решить проблему или ваще просто как обновить тогда.
и кстати еще 1 вопрос.
почему при установки операционки на диск "С" boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот
Saten,
IMHO: два варианта - ошибка в записи образа или все дело в обновляемой ОС.
Это была сборка.....? ;)
мд5 совпадает, в загрузщике тоже проверял все нормально.
В смысле сборка??? этой же виндой обновлял (15.03 была (и есть) обновлял 15.05
щас просто даже завиртуалил все версии которые были 05.05 05.05 фикс и 15.05 с правыльными мд5, и выдает все время такие же ошибки
Saten сообщает:
подскажите как решить проблему или ваще просто как обновить тогда.
Для начало провериться на вирусы (файлик подозрительный), а потом бегом на FAQ.
Saten
Итого: aws0u2ke.sys - такой в дистрибутиве отсутствует, как класс и скопирован быть не может. Особенно если, каждый раз с "токо с другим названием файла". Sergikaz тебе всё правильно сказал - проверяйся на вирусы.
Одного не пойму - зачем обновлять систему установкой "поверху"? Это делается в случае крайней необходимости, в остальных случаях есть Microsoft Update.
А что касается:
почему при установки операционки на диск "С" boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот
Они записываются на активный диск или активный раздел диска. При автоматической установке системы и одновременном наличии "старой", она будет устанавливаться не поверху, а на следующий раздел жесткого диска, даже если он неактивный.
у кого проблемы с окнами типа "отправте SMS" ВСЁ очень просто вот 3 официальных сайта добавте себе в избранное
http://support.kaspersky.ru/viruses/deblocker
http://www.drweb.com/unlocker/index
http://www.esetnod32.ru/.support/winlock/
и не надо изобретать велосипед:drinks:
Появилась вот такая хрень, Process Explorer отображает два процесса:safesurf.exe и surfguard.exe от "производителя" JetSwap. "Ноги растут" из c:\Program Files\config\. Убиваю процессы и удаляю всё с помощью Revo Uninstaller, через минуту или две всё восстанавливается, и папка и процессы. Пытался заблокировать выход бредмауэром, но после перезагрузки она стоит опять в исключениях. По сети нашёл скрипт AVZ для удаления этой шняги, после его выполнения и перезагрузки - таже история. Кто что посоветует? Заранее спасибо.
ну может если сборка симплекса будет проще восстановить реестр 2-3 -х дневной давности, когда вируса не было ещё.
svoit
:rolleyes: Разумная мысль, но этого мало.
happywanderer
1. Убедительная просьба, внимательно прочитать комментарий под плакатиком, во избежание недоразумений.
2. Это Trojan.safesurf - Stubborn (неподдатливое) malware.
С помощью Unlocker-а удаляем из C:\Windows\system32\drivers\safesurf.exe, surfguard.exe и up.exe, а из C:\Program Files\Common Files\ удаляем каталог Surf со всем его содержимым, удаляем из реестра каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\, а в каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run удаляем ключи "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe.
3. Проверимся с помощью Malwarebytes Anti-Malware.
4. Относительно скрипта для AVZ - подробности от Каспера. :shock::crazy:
Waterclo, спасибо за то, что так всё подробно описал, но к сожелению эти советы не прокатили. Опишу как было и как действовал, может кому поможет. Перво наперво эта хрень устанавливалась в: c:\Program Files\config\, в C:\Program Files\Common Files\ каталога Surf не было. Каталог JetSwap в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\ существовал(удалил, больше не появлялся). В каталогах реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ключей "jsafesurf"=C:\Program Files\Common Files\Surf\safesurf.exe. и чтото похожего небыло. Удалял и Unlockerом и Revo Uninstaller Pro папку: c:\Program Files\config\ с этой заразой, после перезагрузки всё появлялось вновь, включая исключения в бредмауэре: Updater Service и Updater Service Tools. Проверка, попытка лечения и удаления с помощью Malwarebytes, DrWeb и AVZ тоже не дала не каких результатов. После всех этих танцев, меня привлёк процесс отображаемый в ProcessExplorer как: Radeon.exe.-графический ускоритель т.д и т. п., точно не помню, "домашний" путь этого exe-шника:C:\Windows\system32\drivers\Radeon.exe, в автозагрузке он тоже сидел. После удаления с автозагрузки и переименованием этого exe-шника, убийством процессов:safesurf.exe. и surfguard.exe. c последующим удалением папки c:\Program Files\config\ всё чисто, даже при перезагрузке и дальнейшей работе. По возвращению истенного имени exe-шнику-Radeon.exe. всё повторяется заново. Отсылал его на Virustotal.com. ответ один на всех-found nothing. Так что вот как получилось, может это кому-нибудь поможет.
happywanderer
Суть этого трояна в том, что подцепивший его помогает зарабатывать распространителю на просмотре рекламы. Троян втихую лазит на ранее просмотренные сайты, но уже под логином распространителя и зарабатывает пойнты у SafeSurf. У меня дочка знакомого летом такую гадость подхватила на каком-то сайте, по ссылке "скачать с высокой скоростью".
Не помнишь, откуда подцепил это хозяйство? Тут что-то усовершенствованное. А что было в каталогах C:\Program Files\config\ и C:\Program Files\Common Files\? Возможно, этот Radeon.exe - контейнер, упакованный таким образом, чтобы затруднить обнаружение антивирусами его активность (разновидность rootkit-а). После запуска он должен распаковывать куда-то своё содержимое, а установки в реестр. Хитрость в том, что его содержимое не считают вирусом, а относят к категории трудноустранимых вредоносных программ.
Подцеплять есть кому(супруга и двое детей) да и себя безгрешным не считаю, поэтому-Х.З. Специально ради Вас:
1. Переименовал обратно exe-шник в Radeon.exe
2. Перезагружаться не стал, в ручную запустил.
3. Через полминуты запускается процесс-safesurf.exe, следом процесс-up.exe, следом-jet.exe. потом-surfguard.exe. В конечном итоге всё выглядит вот так:
Скрытый текст (раскрыть): 
, при этом в брадмауэре прописываются два пункта в исключения:
Скрытый текст (раскрыть): 
Прописывается в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ключём, как - ATI Radeon., и каталог JetSwap в ветке HKEY_LOCAL_MACHINE\SOFTWARE\:
Скрытый текст (раскрыть): 
C:\Program Files\Common Files\ - по этому пути ничего нет.
Содержание c:\Program Files\config\ и C:\Windows\system32\drivers\:
Скрытый текст (раскрыть): 
Кому ради экспериментов надо, могу прислать этот exe-шничек.:D
happywanderer
Страмота! Контейнер замаскирован яко-бы под ATI-шные дрова. Можешь прислать, попробую распаковать контейнер на досуге, для общего развития. Вообще-то, его надо не переименовывать, а безжалостно сносить, где бы оно не находилось. Кстати, для большей защищённости могу порекомендовать вместо виндового фаера установить полноценный (если понадобится ДП - в РМ).
Waterclo Мне не жалко: http://narod.ru/disk/27485569000/Radeon.xexex.html, расширение переименовано.
Случай с happywanderer весьма поучителен. Хорошо, что человек грамотный и сам быстро разобрался, а вот подавляющее большинство пользователей, так бы и не поняло в чем дело. Бродить по интернету , все равно , что босиком в грязной луже, никогда не знаешь на что наступишь или какая пиявка к тебе присосется. Броузеры тоже лукавы и доверия им, даже в портативном варианте, на чем настаивает модератор, особого нету. Статьи, приведенные в заголовке темы , весьма хороши , но постоянно держать в памяти все эти подробности , просто невозможно. Хотя на эту тему много чего писалось и у каждого есть свои предпочтения, предлагаю сформулировать основные правила безопасной работы в сети. Кому есть ,что сказать отпишитесь.
happywanderer
Контейнер скомпилирован в Borland Delphi и упакован PE, что я и подозревал. Какой-то хахер очень неплохо поработал. :shock::crazy::crazy:
af_pro
...на чем настаивает модератор...
Я ни на чём не настаиваю, всё что советую каждый волен пропустить между ушей. Портативками пользоваться проще только по причине их независимости друг от друга и от встроенного в систему IE. А тема о безопасной работе в сети на форуме присутствует и о безопасности обозревателей я говорил здесь и в бестолковом FAQ, с к-рым не знаю что делать. Что-нибудь изменишь и получишь в очередной раз абзац (пароксизм) неудовлетворения. Планировалось перетащить FAQ на wiki, но тот движок очень тормозной. Вот возьми и посоветуй как FAQ преобразовать для удобства использования, да ещё с таким "лёгким" форумным движком (PunBB).
Предупреждаю ВСЕХ!!! Доведите до тех, кто пользуется вашим агрегатом!!!
Не покупайтесь на ссылки - "скачать с высокой скоростью" и подобное. Отуда скачивается контейнер (ящик Пандоры) -
*.exe файл, после запуска которого, вместо скоростной закачки рискуете получить неприятностей под завязку, в т.ч. и проблемы с окнами типа "отправьте SMS"...
Сегодня родня притащила нетбук, с "голыми титьками" на весь экран и требованием отправить через платёжный терминал на номер или 360 или 390(не обратил на это пристального внимания, но то что денег хотят - это точно) "деревянных", в чеке будет указан код для разблокировки. Эта "вафля" мало того что на весь экран, но и блокирует ДЗ и меню Пуск. Загрузился в WinPE, поискал в реестре ничего не нашёл, проверил сканером DrWeb-глухо, AVZ из под WinPE с флехи не arbeiten :unknown: , начал рыть руками: в корне диска С. имелся файлик по названием temp_sys.exe - сначала переименовал - в систему защел без "эротики", переименовал обратно в exe. проверил Webом и AVZом - тишина(другими средствами - времени не было проверять - торопился из дома) - удалил окончательно с машины - система работает.
Может кому эта инфа поможет.
AVZ из под WinPE с флехи не arbeiten(не работает)
Кто подскажет в чём причина и как его запустить? Очень нужно! Знакомые подхватили СМС-вымогатель, пришёл, нашел, удалил, но он гад, отключил и ДЗ и Explorer и RegEdit, правка реестра из под WinPE не дала никаких результатов. С работой уже голова не варит в этом направление, завтра после работы опять переключу извилины на этот гемморой, но если кому не в лом - прошу совета. :oops:
happywanderer
AVZ из под WinPE с установленной на винт системой работать не будет - оно мониторит рабочую систему из-под к-рой запускается, т.е. будет анализировать уязвимости и процессы самой WinPE, а на разделах винта оно отслеживает только активность их уже обнаруженых, типа: "поднимите мне веки".
Waterclo спасибо.
Вчера "воевал" с "хреновиной"-на заблокированном Р.С. экран голубого фона, с
белым текстом - что-то типа: комп заблокирован за распространение порно-материалов, Вам надо заплатить штраф, номер телефона не запоминал. "Вкусняшку" нашёл в c:\Documents and Settings\All Users\Application Data\22сс6с32.exe в реестре Shell вместо Explorer прописывает на себя. Удалил, исправил реестр - после перезагрузки всё без изменений. Из под WinPE стал проверять сканером DrWeb - нашёл "заражённые" userinit.exe в \WINDOWS\system32\ и в\WINDOWS\system32\dllcache\, после заменил на "чистый" userinit.exe, опять поправил Shell в реестре, удалил 22сс6с32.exe, пререзагрузился - всё заработало, но!!! при вызове Д.З. всё опять встало "на свои места". Опять пришлось грузится из по WinPE, но теперь заменил не только userinit.exe, но и taskmgr.exe, исправлял в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell на Explorer вместо 22сс6с32.exe, и опять удалял 22сс6с32.exe из \Documents and Settings\All Users\Application Data\. Только после этих манипуляций машина заработала, после проверял DrWeb - показал чисто! Так что будте внимательны!
Угу, в последнее время именно с этим сталкиваюсь - помимо левых exe файлов в автозагрузке, еще подменяются taskmgr и userinit, уже таскаю их в отдельной папке, чтобы далеко не ходить:)
А вместо AVZ под WinPE использую UVS, шикарная утилитка, настоятельно рекомендую.
http://dsrt.dyndns.org/
happywanderer
Однако твой способ помог, да и у hal полезное предложение.
Спасибо. :good:
Есть брендовый комп Fujitsu Siemens Scaleo P
На ём стояла виста. Её сожрал вирус. Восстановить из систем-ресторе не удалось. Нужно переставлять систему, но не с чего. На винте есть скрытый раздел Конфигурация EISA. Нутром чую, что там образ винды, но как с его помощью восстановить систему не понимаю.
Пааамааагииитеееее!:shock:
XaHyMaH
Какой размер раздела ?
Если где-то 200-500мб, то этот раздел создает винда для своих потребностей ( как в Win 7 ), там загрузочные данные и все такое.
А если попробовать загрузится с дистрибутива и выполнить не установку а восстановление ?
XaHyMaH
Обычно при загрузке нажатие F4 приводит к загрузке с таких вот скрытых разделов и там уже раскатка образа происходит. Тока же система не восстановится, а установится заново. Тоесть все документы и личные файлы потрутся нафиг. Об этом стоит помнить. Может не F4 ну чаще она, а там может быть и какая то своя комбинация. Отключай в биосе логотип производителя при загрузке ПК и гляди, что тебе пк на момент включения/поиска HDD/проверка RAM пишет внизу экрана. Должна же быть подсказулька
Размер - 12 гиг, занято 6.
Дистрибутива нет :`-(
Попробовал сделать его активным, не помогло. Предлагает вставить диск.
Подсказулек не нашел. Попробовал все кнопки Ф — пусто.
Если попробовать качнуть установочный диск висты и "восстановить" с него?
XaHyMaH сообщает:
Если попробовать качнуть установочный диск висты и "восстановить" с него?
Так я про это и написал в последнем предложении. ;) Только редакции ОС не перепутай. :D
С этими "recovery" разделами не всё так просто. Если он есть и его не "портили", то это уже хорошо. Как там устроено на Fujitsu, я не знаю. Не сталкивался. Расскажу про своё нетбук Acer. Сейчас никакой производитель не делает восстановление из простого образа системного раздела. Это не выгодно, делать под каждый аппарат отдельный образ. Всё там уже давно унифицировано. Образа конкретного раздела нет. Есть очень много разных файлов и папок, которые дают возможность восстанавливать на начальное состояние, согласно спецификации и его серийного номера, для конкретного аппарата. Если на моём нетбуке запустить BOOTICE и посмотреть состояние разделов, то видно, что раздел "PQSERVICE" является "скрытым". Смело делаю в этой утилите раздел "нескрытым" и тут же получаю новый доступный раздел с кучей папок и файлов. Очень примечательно, что в корне этого раздела есть файл BOOTMGR. У вас может быть состояние разделов другое. У меня не эталон и разделы, уже возможно, давно потеряли первоначальное состояние из-за моих экспериментов. Теперь почему не загружается "recovery" по нажатию F4 или другой клавиши. Раздел для восстановления скрытый и не является "активным", переход на его загрузчик BOOTMGR прописан в MBR винта. Очень часто, люди пытаются самостоятельно переустановить систему с загрузочного диска, установить ХР второй системой и этими действиями они переписывают MBR винта на стандартный.
XaHyMaH
Мой тебе совет. Загрузись с WinPE, убедись в целости раздела восстановления, посмотри где на винте он располагается физически. Потом создай загрузочную флешку утилитой MBTY (образ можно использовать любой, он нужен только для создания флешки) и в файле MENU.LST добавь строку загрузки с раздела "recovery". Что написать в эту строку конкретно для твоего случая, зависит от физического расположения раздела "recovery". Здесь я уже не очень силён. Здест уже больше сможет подсказать MBTY.
Подсказываю. Если была 7ка то всё вообще просто.
Допустим ты нашел свои файлики скрытого раздела этого (Открыть или скриыть разделы можно с помощью Acronis Disk Director из Simplix Wnpe). Создаешь моей DirecGrub-утилиткой загрузочную флешку. Образ правда можно взять любой - нам он нафиг не понадобится - нам нужна загрузочная GRUB флешка.
Сделал ты ее.
СТИРАЕШЬ С НЕЕ ВСЁ
То, что валяется на разделе Recovery копируешь на эту флешку.
Если ты там нашел файл bootmgr, то его переименуй в файл MBTY - флешки сделаные моим DirectGrubом ищут любой файл с таким именем на флешке и загружают его. Там хоть груб, хоть линуксовый загрузчки - флешке всё равно.
Скопировал, переименовал ты значит файл Bootmgr -> MBTY
В биосе укажи загрзку с флешки и грузись. Получишь свой аналог запуска восстановления ОС. И восстанавливай наздоровье, но думаю как всё скопируешь - лучше этот Recovery раздел опять запрятать. Ловлю себя на мысли, что всё это можно сделать одним шагом из Wnpe simplix. Скачал своим компом Direct Grub - сделал флешку. Затер. Потом уже из Wnpe, открыл раздел, скопировал, закрыл.
MBTY
Идея, сделать такую резервную флешку, просто :good::good: С учётом того, что на моём нетбуке нет CDRomа, то обязательно опробую и, в случае положительного результата, я его (нетбук) тогда вообще "заэкспериментирую". :D
Sergikaz сообщает:
и в файле MENU.LST добавь строку загрузки с раздела "recovery". Что написать в эту строку конкретно для твоего случая, зависит от физического расположения раздела "recovery".
Получилось то же самое, что было, когда я делал WinRE активным и грузился с него:
Windows failed to start.
1. Insert your Windows Installation Disc and reboot
2. Choose your language settings, and then click "Next"
3. Click "Repair your computer"
Failed to read Boot Configuration Data
MBTY сообщает:
нам нужна загрузочная GRUB флешка.
А можно как-нить без флешки?
На этом разделе лежит шестигиговый FACTORY.WIM :oops: а у меня таких флех пока нет.:unknown:
Shpuntic сообщает:
Так я про это и написал в последнем предложении. ;) Только редакции ОС не перепутай. :D
Кстати, насчет редакций. Добрые люди подарили диск с Vista Ultimate. Попробую с ним что-нибудь сделать. На крайняк - поставлю крякнутую Висту:crazy:
ЗЫ Седня привели этот "вирус". Кнопка мелкая — от горшка два вершка, ещё говорить толком не умеет, зато умеет юзать мышъ, знает как включать комп, открывать трей сидюка и т.п. Пока возился с компом, сцапала мышь от ноута и стала чёта там делать, отключил мышу, думал успокоится. Нифига, через две минуты она научилась пользоваться тачпадом :shock:
В общем, как сказали на баше: "Дети это прекрасно! Куда ни сядешь — в жопе кубик":D
XaHyMaH
А можно и без флешки: Восстановление из WIM. Разделы Recovery и System должны быть основные, а активным должен быть раздел с WIM образом (Recovery). FSC Recovery Utility.
Восстановление загрузчика Windows 7 без дистрибутива и создание двойной загрузки с помощью программы MultiBoot.
Урраааа! Заработало!!!:good:
Сделал по написанному.
1. Скачал GImageX
2. Сделал дополнительный раздел D:
3. Закинул на него FACTORY.WIM и GImageX
4. Отформатировал диск C:
5. Распаковал GImageX'ом содержимое FACTORY.WIM
6. Загрузился с установочного диска Висты
7. Выбрал язык, потом "Восстановление системы" и что-то там про "Устранение проблем с загрузкой" (самый первый пункт)
Спасибо всем, кто откликнулся, моим родителям и да будет мир во всём мире!:drinks:
XaHyMaH
Ну, молодец. Правда, думал догадаешься, что раздел с FACTORY.WIM можно было не трогать - он должен быть основным, активным и скрытым. Достаточно было восстановить на нём загрузочную запись с помощью MultiBoot. Тогда после нажатия F8 (при загрузке), по команде из расширенного Boot Menu, образ распаковался бы сам куда надо.
Там же должна была быть утилита FSC Recovery. Посмотри на С:\Program Files\Fujitsu Siemens Computers\Fujitsu Siemens Computers Recovery\FSCRecovery.exe или FSCRecoveryReminder.exe. Это должен был распаковаться инсталлер FSC Recovery Utility. Его сейчас хрен где найдёшь, т.к. фирма Fujitsu Siemens прекратила существование. Сохрани, да выложи куда-нить на обменник - ещё может понадобиться.
Ещё в тему, для общего развития:
Улучшенные инструменты восстановления в Windows 7
10 вещей, которые надо знать о развертывании Windows Vista
Windows Vista Recovery Environment.
Я скопировал FACTORY.WIM на всякий случай.:oops: Потому что раздел на самом деле не скрыт. У него вместо типа НТФС стоит тип 0x27.
Насчет FSC Recovery посмотрю как только доберусь до того компа. Сейчас занят перездом.:crazy:
XaHyMaH
Для ОС семейства Windows есть разделы таких типов:
0x07 - если раздел основной (primary) и с файловой системой NTFS
0x0B - если раздел основной (primary) и с файловой системой FAT32
0x05 - если раздел логический (logical)
0х12 или 0x27 - скрытые разделы, невидимые для обозревателя операционной системы.
Кроме FACTORY.WIM там могут быть утилиты для восстановления системы.
Рекомендуемые конфигурации разделов дисков в системах на базе BIOS.
Здравствуйте!
Товарищ поймал блокировщик ОС (скриншот позже). Я скачал AntiSMS 2.3, записал на диск.
На инфицированном ПК WXP Pro:
1. Запустился с СД диска, запустил с рабочего стола AntiSMS;
2. Перезагрузился в рабочую систему и выполнил быструю проверку последним cureit Dr.Web, вирусов не обнаружил ??? (в прошлые разы в корне диска находил MBR_LocK);
3. Через msconfig открыл Настройки системы, зашел в автозагрузку, там было отключено пару программ, подозрение вызвал netprotocol.ехе, я его оставил не включенным, зашел на вкладку Общие поставил Обычный запуск, потом еще раз в автозапуске отключил netprotocol.ехе – перегрузился;
4. После перезагрузки Система загрузилась снова в Выборочном запуске, я снова повторил п. 3, результат тот же;
Скрытый текст (раскрыть): 
Я повторно повторил пункты 1, 2, 3, 4, результат тот же.
Погуглил по поводу netprotocol.ехе:
Скрытый текст (раскрыть):
Что такое netprotocol.exe:
http://pulsepc.ru/itnews/virus-netproto … henie.html
Вредоносный код, позволяющий хакеру получать доступ к зараженному компьютеру. Представляет собой обычное приложение ОС Windows (PE-EXE файл). Размер 89088 байт и 181 КБ в распакованном виде. Упакован неизвестным упаковщиком. Написан на языке программирования C++.
Как удалить netprotocol.exe на Windows XP:
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим»
Нажимаем Пуск / выполнить / regedit /
Идём по ветке HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Удаляем строки conime32.exe и netprotocol.exe
Идём по ветке HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, нажимаем в верхней строке «сервис» / «свойства папки» / «вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» / «ок»
Идём в папку С: / Documents and settings / *Имя пользователя* (чаще всего Admin) / Application Data
Там удаляем файлы system.exe , netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся
Как удалить netprotocol.exe на Windows Vista и Windows 7:
Загружаемся в безопасном режиме. Для этого, при перезагрузке, до запуска Windows жмём на клавишу F8 до появления загрузочного меню. В меню выбираем верхний пункт «Безопасный режим»
Нажимаем Пуск / выполнить / regedit /
Идём по ветке HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Удаляем строки conime32.exe и netprotocol.exe
Идём по ветке HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Удаляем строку Netprotocol
Открываем доступ к скрытым папкам. Для этого открываем любую папку, в верхнем левом углу «Упорядочить» / «параметры папок и поиска» / «вид» / листаем ползунок вниз, ставим точку «показывать скрытые файлы и папки» / «ок»
Идём в папку C: / Пользователи / *Имя пользователя* / AppData / Roaming
Там удаляем файлы system.exe , netprotdrvss.exe и netprotocol.exe
Идём в папку С: / Windows / system32
Удаляем файлы netprotdrvss и netprotocol.dll
Перезагружаемся
С выше описанного, я нашел только HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ netprotocol.exe, остальное, в реестре и в папках отсутствовало, я прогонял несколько раз весь диск, хотя в автозапуске четко было видно С: / Documents and settings / *Имя пользователя* / Application Data / netprotocol.ехе.
После операций с netprotocol.ехе слетел модуль SpIDer Gate Dr.Web (пришлось переустанавливать Dr.Web) и пропал интернет (запустил AntiSMS в рабочей системе и выполнил сброс настроек сети), интернет появился.
После этого Dr.Web постоянно стал оповещать о заблокированном адресе (адрес один и тот же, сообщение не закрывается даже принудительно и висит поверх всех окон).
Скрытый текст (раскрыть): 
и не запускается Internet Explorer 8.0 (я в свойствах обозревателя, через панель управления сделал домашнюю страницу Пустой, обычно about:Tabs, а стало что-то другое, я уже не могу вспомнить, потому что последние разы вообще до этого места не доходило, повисит и выдает ошибку).
Скрытый текст (раскрыть): 
Opera и Mozilla Firefox открываются нормально.
Еще после перезагрузки выскакивало сообщение:
Скрытый текст (раскрыть): 
Снес каталист АТИ-пропало.
Рассказываю на пальцах, потому что не знаю, что необходимо предоставить для анализа. Думал весь реестр, так надо было это сделать до манипуляций, да и весит он что-то за 40 метров (раньше пару раз без заморочок было).
Есть какие-то предположения, как избавиться, от того что, что-то лезет в интернет, не работает IE 8.0 и почему не нашелся вирус.
Всем спасибо.
С ув. Gennadiy
P.S.
Не помешал бы, какой ни будь FAQ для таких случаев, а то я так и не могу понять, что делать, кроме как запустить значок AntiSMS на рабочем столе.
Попутно, как пользоваться uVS утилитой.
---
С uVS кажется понял с поста #475:
В этой версии решено включить базу хэшей в состав диска, это немного ускорит работу программы и предотвратит отключение некоторых проверенных, но неподписанных файлов.
GenAleks
один зловред не включили, но включили второй.
если вообще не включать ничего через msconfig, то система работает нормально?
art9
Да она и сейчас работает (после удаления netprotocol.ехе-недавал запуститься в Обычном запуске), только не работает ИЭ и выскакивает сообщение Dr.Web (все остальное оставил как было в Выборочном запуске Настройки системы)
GenAleks
Если вы еще раз прогоните через АнтиСМС, и не будете включать ничего через msconfig, то проверьте будет ли ругаться drweb?
А чтобы понять что конкретно в вашем случае нужен лог uVS:
Скачайте программу Universal Virus Sniffer: http://dsrt.dyndns.org/uvs.htm
Разархивируйте скачанный архив.
Запустите файл start.exe (в Windows Vista/Seven запускать с правами администратора: правой кнопкой по файлу, выбрать "Запустить от имени администратора").
Появится меню, где выберите "Запустить под текущем пользователем".
Выберите: "Файл" -> "Сохранить полный образ автозапуска",
полученный файл заархивируйте (если он не за-архивировался автоматически) и разместите на одном из файлообменников, ссылку сюда
Это сделать сложнее, комп не рядом
Я все выставлял как до включения msconfig, не помогло
А что на счет Ie8
А чтобы понять что конкретно в вашем случае нужен лог uVS
Это сейчас попробую удаленно сделать
-----
Сделал: http://files.mail.ru/77WMRZ
GenAleks
скрипт лечения:
Код:
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 ; C:\PROGRAM FILES\CHROME\CHROME.EXE addsgn A7679B19919A1FCA0746FCB18CBB9CE8DA2BAC90DAFA947805BBF1BC24C6D01C4544C3DC3EBD4726D37F005F321AE8AA1B8CE8F95551A0D37F4F2F2273607173 32 v1 zoo %SystemDrive%\PROGRAM FILES\CHROME\CHROME.EXE ; C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL addsgn 79132211B9E9317E0AA1AB59E8EC1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EABA83EB99FB58E64E185CFEB117393253FA 64 v2 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK chklst delvir delnfr restart
art9 сообщает:
скрипт лечения:
Спасибо огромное за труды art9, но если Вас не затруднит, напишите подробней, чем и как этот скрипт хотя бы запустить и что он будет делать. Или где об этом можно почитать.
Насколько я так понял, это надо сделать посредством uVS v3.75, но как?
Нашел некоторые ответы на свои вопросы, что не так подправьте.
---
Кое-что нашел по открытию скрипта
Скрытый текст (раскрыть):
http://pchelpforum.ru/f26/t24207/#post543010
---
Сейчас ищу Справку по uVS v3.75, буду изучать.
Скрытый текст (раскрыть):
полная документация по uVS в каталоге doc в папке с uVS (да блин, вчера листал)
http://pchelpforum.ru/f26/t94635/#post828890
А на что в первую очередь обратить внимание
---
И если можно, в двух словах, об анализе, предоставленного мною лога uVS: как его посмотреть и на что обратить внимание.
Пока все.
Еще раз спасибо.
С ув. Gennadiy
GenAleks
Выполнение скрипта лечения:
Запустите программу Universal Virus Sniffer по аналогии из сообщения выше.
Выполнить скрипт лечения можно способами:
1) скопируйте в буфер обмена код скрипта, затем в главном меню программы Universal Virus Sniffer выберите "Скрипт" -> "Выполнить скрипт находящийся в буфере обмена..."
2) Скрипт лечения скопировать в буфер, открыть Блокнот, вставить из буфера скрипт лечения, сохранить в файл под любым именем, далее в программе Universal Virus Sniffer выбрать "Скрипт" -> "Выполнить скрипт из файла..." и указать файл со скриптом лечения.
3) Если скрипт получен в виде файла, то в программе Universal Virus Sniffer выбрать "Скрипт" -> "Выполнить скрипт из файла..." и указать файл со скриптом лечения.
Что делает:
Зловред в C:\PROGRAM FILES\CHROME\CHROME.EXE (залейте его на вирустотал - посмотрите)
- удаляет его + плюс еще одну гадость.
---------
про удаленный - не знаю, не пробовал.
про отчет - это новый лог, посмотреть что стало после скрипта
art9 сообщает:
(залейте его на вирустотал - посмотрите)
вирустотал?
Нашел:
Скрытый текст (раскрыть):
VirusTotal-это бесплатный сервис, который анализирует подозрительные файлы и URL-адресов и облегчает быстрое обнаружение вирусов, червей, троянов и всех видов вредоносных программ.
---
Сейчас ищу хелп, как это правильно сделать удаленно (что бы свою систему не уложить) (частень использую AMMYY_Admin, но так понимаю, это не тот случай)
Вот что-то нашел:
Удаленный доступ, его варианты и проблемы:
Скрытый текст (раскрыть):
http://defendium.info/entry.php/75-
Я так понял что можно использовать и AMMYY_Admin, только почему-то о нем ничего не упоминается в статье
---
Так же нашел:
ИНСТРУКЦИЯ ПО БОРЬБЕ С ВИРУСАМИ
Скрытый текст (раскрыть):
http://pchelpforum.ru/f26/t6442/
Интерестно!!!
===============================================
art9
Завтра попробую Ваш код через AMMYY_Admin на инфицированном ПК (Хотелось бы услышать Ваше мнение, по поводу моей удаленной затеи, или лучше это сделать на месте инфицированного ПК).
Какой нужно снять отчет, что бы убедиться, что все прошло нормально?
Спасибо.
С ув. Gennadiy
Sergikaz сообщает:
Я понимаю, что главное результат, но всё же хочется "знать врага в лицо" и как он запускается.
Поддерживаю! вражину надо знать в лицо! :D
а тому человеку ,который с нодом сидит - посоветуйте AVG free например,лучше..
он гораздо эффективнее на мой взгляд,и бесплатная версия Home есть.
а тому человеку ,который с нодом сидит - посоветуйте AVG free например,лучше..
чушь полная. АВГно точно не лучше. С банерами сталкиваюсь часто, и любой антивирус не панацея. Однако у Noda 5 последнего есть - Система предотвращения вторжений на узел (HIPS)
Система предотвращения вторжений на узел защищает от вредоносных программ и другой нежелательной активности, которые пытаются отрицательно повлиять на безопасность компьютера. В системе предотвращения вторжений на узел используется расширенный анализ поведения в сочетании с возможностями сетевой фильтрации по обнаружению, благодаря чему отслеживаются запущенные процессы, файлы и разделы реестра, активно блокируются и предотвращаются любые такие попытки.
Если с помощью ее защитить автозагрузку, системные папки, MBR будет очень сложно подцепить заразу
al7eks сообщает:
и любой антивирус не панацея. Однако у Noda 5 последнего есть - Система предотвращения вторжений на узел (HIPS)
я и не утверждаю что АВГ- это идеальная панацея от всего! :crazy:идеальных антивирусов не бывает вообще. Однако за мою практику очень много раз (более 50-ти точно) сталкивался как раз с случаями что приходилось чистить (настраивать ,переустанавливать) очень загаженные вирусами ОС как раз с установленными там НОД*ами и Аваст*ами . и потом я им ставил АВГ ,и у многих до сих пор никаких проблем нету.
Может у вашего нода-5 и появилась какая-то там супер-новая фишка (HIPS),но к сожалению проверить её в действии нету возможности , так как моё доверие к НОДУ И Авасту потеряно уже очень давно. да и не думаю,что это новая (HIPS) даёт какие-то эффективные результаты.
Извиняюсь за оф-топ, здесь тема немного другая всё же.
Не стандартно применил прогу! После скачка напряжения сети - началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала !
с небольшим глюком- некоторые сайты перестали загружаться - к примеру http://lib.aldebaran.ru/
система -зверь- где искать заморочку ?
Первая десятка Тем (по количеству просмотров)
удаления блокираторов 9081
http://www.yaltanet.com.ua/forum/index.php?topic=290.15
Этот вариант я знаю. Не горит.Может есть другие мысли - где собака зарыта!
Есть желание покопаться - может ...
Проверить файл hosts - норма !
Почему некоторые ?
выложите логи AVZ, UVS, hj,
посмотрим что у вас.
man1948
не то.
я вам в личку писал как правильно делать логи
Понял -сделал !
Логи:
Скрытый текст (раскрыть): http://rghost.ru/39077454
Ok-познее сообщу результат.
man1948
Выполните скрипт через AVZ:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('c:\documents and settings\admin\application data\taskhost.exe');
DeleteFile('c:\documents and settings\admin\application data\taskhost.exe');
DeleteFile('C:\WINDOWS\system32\nkxkckg.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
DeleteFile('C:\Documents and Settings\Admin\Application Data\willarchive\viewmerik.exe');
DeleteFile('C:\Program Files\День Победы 3 - За Родину!\map\cache\quad_1761.bin.gz');
DeleteFile('G:\autorun.inf');
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.Затем выполните скрипт через UVS:
Код:
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 deltmp delnfr ; C:\PROGRAMDATA\JAVA\JRE6\BIN\JWDEPLOY.DLL addsgn 1B1C8165AA83C58CF42B254E3143FE8EE401B1FE4EFAC7D9C5C34EB5D99E758A631FC30AFC5D9DC26A84015F3313F11ADC9FE8B1DE25E5A7C1F4D927C751A98A 64 070712-1 zoo %SystemDrive%\PROGRAMDATA\JAVA\JRE6\BIN\JWDEPLOY.DLL ; C:\WINDOWS\SYSTEM32\NKXKCKG.DLL addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B402DC78E9C32E9AD328733826943D564B773C49E280E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 070712-2 zoo %Sys32%\NKXKCKG.DLL ; C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE addsgn 1AB0619A55835A8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE9165 32 070712-3 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE chklst delvir regt 13 regt 19 regt 2 regt 12 regt 9 regt 18 restart
1. Выполнил скрипт через AVZ:
2. Затем выполните скрипт через UVS: - прога отказ выполнения - скрипт содержит ошибки ! Возможно после выполнения скрипт через AVZ - скрипт через UVS: надо корректировать.WINDOWS\system32\nkxkckg.dll');
3. Но важен результат - ИНТЕРНЕТ ЗАРАБОТАЛ !!!!!!
Большое спасибо за помощь!!! :drinks:
И где по вашему собака зарыта???
man1948
Проблема была в трояне, который сидел в системе.
Скрипт УВС действительно оказался поврежден, можете сделать _новый_ лог UVS - посмотрю еще.
Этот комп не под рукой - завтра на работу на сутки - и так Все очень довольны - обошлись малой кровью - без пере установки Винды - программ и игрушек ! Большое спасибо за помощь!!! simplix AntiSMS + AVZ + art9
Как я понял, на компьютере не установлен антивирус? Следует установить.
Так точно - в основном используется как игровой - чтоб меньше было тормозов по желанию ...
Иногда проверяется ! Portable_Dr.Web_5 с обновленными базами
Какой лучше ?
чтоб меньше жрал памяти и на время сетевых игр можно было отключать?
аваст или антивирус микрософта.
обе бесплатные.
и время от времени проверять бесплатными сканерами (drweb/kasper).
Сейчас, конечно, советчики насоветуют антивирус круче. Но, если вы спрашивали мое мнеие, то прислушайтесь к нему.
Но антивирус- это не панацея, нужно соблюдать правила компьютерной безопасности.
man1948
Для любителей сетевых игр защита жизненно необходима, ибо эти дела используются как способ распространения инфекции.
https://forum.simplix.info/viewtopic.php?pid=4425#p4425
https://forum.simplix.info/viewtopic.ph … 498#p12498
и время от времени проверять бесплатными сканерами (drweb/kasper).
как снесешь систему после упадка так и проверить
В первую очередь должны быть установлены: хороший фаервол (Обзор Sygate Personal Firewall, Symantec приобретает компанию Sygate Technologies, Sygate Online Services, скачать), защита от spyware/malware/adware (Spybot - Search & Destroy, AVZ), следящая за попытками несанкционированных изменений реестра и программа IP фильтр (PeerBlock) для защиты от любопытных "правообладателей", рекламодателей и прочей хрени, пытающихся отследить и использовать интернет активность в своих вероломных целях.
помойму это ПАРАНОЙЯ! из выше написаного вывод = ПК для того тоб его защищать :shock::D:)
компьютер должен быть удобен прежде всего (даже если несколько раз ОС переустановить), а удобен он тогда когда голова на месте
Для любителей сетевых игр защита жизненно необходима, ибо эти дела используются как способ распространения инфекции.
нужно просто не щелкать куда попало, а наверное какие то надежные сервера использовать
PS: аваст - падает на ровном месте
PSS: спорить не с кем не буду. всё что написал ИМХО!:drinks:
Согласен, компьютер должен быть удобен прежде всего.
(даже если несколько раз ОС переустановить) ???
а удобен он тогда когда голова на месте
Согласен! И под рукой simplix AntiSMS + AVZ + art9 Большое спасибо за помощь!!!
barsuk сообщает:
...помойму это ПАРАНОЙЯ!...
Веди себя скромнее или отправишься на недельку в Плохое Место. Ещё намекни на паранойю simplix-у...
http://faq.simplix.info/03.-pravila-foruma.html
1.На работе на рабочем компьютере надоела реклама. Наверное вирус влез. Прогонял курелтом - найдено всего один вирус:
http://savepic.su/4800366.jpg
Наверное это - ads by offerswizzard
2. Установил на работе KAV 15.0.1.415 вместо 360 Internet Security, а она не хочет запускаться.
Запускаю ее вручную, долго идет «Подготовка к запуску программы…» и в результате это окно пропадает с рабочего стола компьютера и значок из трея.
Может из-за того что на компьютере сидит вирус Кидо? Да и на антивирусные сайты не могу зайти, могу зайти на эти сайты только через анонимайзер.
Кто знает как рещить эти две проблемы без переустановки Windows XP SP3 (32bit) - отзовитесь.
Заранее благодарю за помощь.
Vob
На работе кто "курирует" компутер? А то, за самолечение с предварительным заражением можно и выговор получить и жене на цветы в праздник не хватит. Если "колхоз - наше всё", то посмотрите тему AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock) - читать топик темы внимательно и неукоснительно выполнить все рекомендации. После прогнать систему Malwarebytes Anti-Malware Free и после в браузере поставить расширения Adblock Plus и Ghostery.
Vob
Для начала пролечите компьютер с помощью AntiSMS. Затем сбросьте настройки сети с помощью AntiSMS. Сообщите результат. Как правило, далее будет достаточно удалить браузер и установить его заново. Но можно и без этого. В любой случае, сначала сделайте рекомендации выше.
adwcleaner, удаление подозрительных расширений (если не задетектил adw)
kido при активном каспере - нонсенс и шанс равен 0, да и не показывает kido рекламу, у него другая направленность:cool:
g0dl1ke
kido при активном каспере - нонсенс и шанс равен 0, да и не показывает kido рекламу, у него другая направленность:cool:
Читайте нормально п.2 моего поста - удалил один антивирусник, а вместо него не могу поставить другой на компьютер - не хочет KAV 15 заппускаться. Поэтому компьютер вобще сейчас без антивирусника
Для начала буду пробовать лечить систему как посоветовал art9, но только нет у меня на компьютере антивирусника, чтобы выполнить быструю проверку антивирусом, как указано в инструкции, если вы неопытный пользователь.
Vob
обратите внимание, что лечение утилитой Антисмс также включает проверку компьютера сканером Dr.Web CureIt!
Vob
simplix сообщает:
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
Сканер д-р Web нужно скачать и запустить - это не установка