Объявление

#51 22.10.2009 11:49:16

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1931

Re: Лечение системы после заражения вирусом

diligence52
Freecell.exe - это игрушка пасьянс, rundll32.exe - компонент системы. Вижу, компьютер защищён неплохо. Получается ЭТОй spyware cease доверия больше, чем проверенным программам? В таком случае это уже паранойя! Не проще ли проверить чистую ОС чем-то другим, более заслуживающим доверия (Dr.Web CureIt!®)?

Неактивен

 

#52 22.10.2009 12:39:44

diligence52
New member
Зарегистрирован: 08.10.2008
Сообщений: 3

Re: Лечение системы после заражения вирусом

Waterclo
Moderator _ Я обратился не по адресу.

Неактивен

 

#53 22.10.2009 13:25:38

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1931

Re: Лечение системы после заражения вирусом

diligence52
Ну, раз не по адресу, на моём мнении свет клином не сошёлся. Подождём что скажет simplix... И все, кто имеет мнение по этому вопросу.

Неактивен

 

#54 22.10.2009 15:04:49

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2454
Вебсайт

Re: Лечение системы после заражения вирусом

diligence52
Сделайте проще - закачайте подозрительные файлы на http://virustotal.com и сразу всё увидите.

Неактивен

 

#55 24.10.2009 08:48:56

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1931

Re: Лечение системы после заражения вирусом

simplix
В этом случае всё не проще, а гораздо сложнее. Товарищ diligence52 хронически не доверяет этой сборке: http://forum.simplix.ks.ua/viewtopic.php?pid=747#p747. После этого сообщения он удалил содержимое всех своих постов и оставил их пустыми. Зато доверяет "зоркой и бдительной", старательно разрекламированной и "многократно награждённой" Spyware Cease, кстати её сайт занесён в чёрный список PeerGuardian и ipfilter.dat uTorrent, т.к. собирает информацию об IP посетителей. Можно сделать вывод, что при сканировании эта хрень также передаёт какую-то информацию заказчику, т.е. является скрытой Spyware. Подробнее разбираться не испытываю желания. Как доказать человеку, что его подозрения относительно сборки беспочвенны?

diligence52
Единственное, что могу посоветовать - обратиться за разъяснениями на форум сайта СПАЙВАРЕ ру, это будет по адресу. С уважением - пока ещё не очень старый "умник".

Неактивен

 

#56 28.12.2009 22:50:56

deniskapoops
Advanced Member
Зарегистрирован: 18.09.2008
Сообщений: 135

Re: Лечение системы после заражения вирусом

simplix
спасибо,ну начнём,сейчас часто встречаю компьютеры с таким вирусом,на весь экран окно,никак не убирается и никак фактически не удалятся,где надпись.пришлите смс и всё удалится... лохотрон в общем
на компьютерах стояли разные антивирусные продукты,каспер,нод,авира,др.веб и все они это дело пропустили,как избежать данный вариант и как это дело лечить,с лайв сиди грузится и лечить не всегда помогает.
буду рад,что вами поднята такая тебя,ну а я поднял один из проблемных вариантов.
спасибо ещё раз!

Неактивен

 

#57 30.12.2009 09:51:03

ЕВГЕН
New member
Зарегистрирован: 26.12.2009
Сообщений: 3
Вебсайт

Re: Лечение системы после заражения вирусом

deniskapoops
Сегодня знакомые попросили посмотреть компьютер. Говорят "что-то про активацию пишет и смс". Думаю, дело неладное, собрал свой "боекомплект", выехал на место. На месте стали выясняться подробности: комп показывает сообщение примерно такого содержания:
"Windows заблокирован.
Для разблокировки отправьте смс 4119785996 на номер 3649.
Введите полученный код.
Не пытайтесь переустановить систему, иначе Вы потеряете все данные."


Давным давно сталкивался с такой бякой. В уже упомянутый "боекомплект" у меня входит LiveCD от DrWeb (curit). Проверка показала что источником заразы являются файлы blocker.bin и blocker.exe, которые находятся в C:\Documents and Settings\All Users\Application Data.
После их удаления система загрузилась нормально, а антивирусу было скомандовано обновиться и полностью проверить винт.

В нашей сети сообщают, что случай знакомых не единичный. Наши пользователи уже стали жертвами вируса. И если первый "вылечился" как и я, то второй пошел другим, оригинальным путем.

Резюме: Если у вас после перезагрузки компьютер выдал сообщение "Windows заблокирован. Для разблокировки отправьте смс 4119785996 на номер 3649. Введите полученный код. Не пытайтесь переустановить систему, иначе Вы потеряете все данные." НЕ ОТПРАВЛЯЙТЕ НИКАКИХ СМС. А поступите как я писал выше

Возможно подойдет код активации 3893879 (пробуйте)

Специалисты DrWeb сделали генератор кодов разблокировки. Заходите по адресу http://news.drweb.com/show/?i=304&c=5, вводите цифры с сообщения ВАШЕГО компьютера - получаете разблокировачный код.

Судя по комментариям авторы заразы постоянно ее модифицируют. Меняется номер и код для sms-сообщений, меняются имена файлов. В качестве дополнительной защиты советую установить обновления для вашей системы. Обновления PreSP4 для русской Windows XP SP3 если пожелаете,не замедлимо выполните. Этот пак сам установит все обновления до ноября месяца.
Буду держать вас в курсе событий...

Народ в комментариях подсказал еще один простой способ: переводите в BIOSе часы на день в перед, вирус должен перестать проявляться. Ну а потом антивирусом его Последние версии вирусов именуются по разному, и не обязательно с расширением .ехе. Так что будьте бдительны!

Внимание! Вирус постоянно модифицируется и меняет названия. Верным средством является чистка всех временных папок и полная проверка системного раздела антивирусом со свежими базами.
Если после удаления вируса пропал рабочий стол
В комментах подсказали, как решить эту проблему. Решил вынести в отдельный пост, т.к. проблема достаточно частая. Читаем что делать если после удаления пропал рабочий стол.


Судя по комментариям вирус снова разбушевался. Поскольку формирование кода изменилось генератор пришлось убрать, т.к. он не работал. Единственное пока что могу посоветовать - если уже случилась беда - качайте свежий LiveCD от ДрВеба, прогоняйте антивирусом системный раздел и чистите временные папки. Если еще здоровы ставьте PreSP4 и IE8, если пользуетесь эксплорером.

Помимо сканирования антивирусом рекомендуется проверить ветку в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Значение параметра Userinit должно быть "C:\WINDOWS\system32\userinit.exe" (или буква вашего системного диска)

Информация предоставлена http://www.polyakov.net.ru/blog/

Неактивен

 

#58 30.12.2009 20:42:08

deniskapoops
Advanced Member
Зарегистрирован: 18.09.2008
Сообщений: 135

Re: Лечение системы после заражения вирусом

ЕВГЕН
меня на сегодняшний день спасает сборка алкида,гружу её с флэшки(за это спасибо MBTY ) плюс там антивирей достаточно,но спасает авз+нод32,каспер с др.вебом пропускают эту гадость...
но я всё таки хочу узнать,как эта гадость попадает к простым чайникам,так как эта бяка встречается-у школьников,школьниц,взрослых людей,не все лазают в инете по зловредным сайтам...
хочется людей просто оберечь от этого!))

Неактивен

 

#59 30.12.2009 20:50:10

siva
Member
Зарегистрирован: 24.09.2008
Сообщений: 19

Re: Лечение системы после заражения вирусом

deniskapoops
ЕВГЕН

А как насчет этого http://forum.simplix.ks.ua/viewtopic.php?pid=3381#p3381

Неактивен

 

#60 30.12.2009 21:40:42

deniskapoops
Advanced Member
Зарегистрирован: 18.09.2008
Сообщений: 135

Re: Лечение системы после заражения вирусом

siva
не пробовал её,чтобы что-то запустить на больном компе.нужно освободить видимое место,а все окна с этой болячкой не двигаются.не сворачиваются,не убираются,чтобы даже кликнуть с флэхи этот файл,надо на него навести и подтвердить и видеть что и куда вводить.а не получится,потому что бяка по верх всех окон.вот так вот!

Неактивен

 

#61 01.01.2010 14:38:29

Andrej
Member
Зарегистрирован: 08.03.2009
Сообщений: 50

Re: Лечение системы после заражения вирусом

Этот вирус убирается за несколько минут с помощью программы AnVir Task Manager ( http://www.anvir.net ) Вам нужно взять portable-версию программы и записать желательно на диск (флешку в работе с чужими компами стараюсь не использовать)

Как правило, рекламное окно занимает не весь экран, а оставляет по краям рабочие области (думаю это сделано для счастливых обладателей мониторов 800х600). Окно проводника можно сдвинуть в сторону, получить доступ к диску и запустить AnVir, который перекроет окно вируса. На вкладке "Автозагрузка" удаляем подозрительные пункты с завершением процессов и удалением файлов их породивших.

Вдобавок бывает полезным загрузиться с LiveCD (любого) и почистить папку Temp.

Отредактировано Andrej (01.01.2010 14:40:52)

Неактивен

 

#62 12.01.2010 12:58:06

Luks
Member
Зарегистрирован: 19.03.2009
Сообщений: 13

Re: Лечение системы после заражения вирусом

Ребята, хочу спросить. Пару дней назад хапонул троян после которого у меня в винде все время сидело окно о перечислении каких то денег за программу. Ну с этим трояном я разобрался при помощи "AVZ". Теперь по сути, у меня теперь правой мышей кликая на панели  инструментов не активируется функция "диспетчер задач" Это можно как-то исправить?

Отредактировано Luks (12.01.2010 13:01:35)

Неактивен

 

#63 12.01.2010 13:46:35

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 520

Re: Лечение системы после заражения вирусом

Luks
Не запускается "диспетчер задач" и по Ctr+Alt+Del, заблокирован запуск? У "AVZ" есть "Файл" --> "Восстановление системы". Ставишь галочку на "Разблокировка диспетча задач" и жмёшь на "Выполнить отмеченные операции".

Неактивен

 

#64 12.01.2010 17:23:52

Luks
Member
Зарегистрирован: 19.03.2009
Сообщений: 13

Re: Лечение системы после заражения вирусом

Sergikaz
Спасибо, получилось.smile

Неактивен

 

#65 19.02.2010 22:07:54

НатаZ
New member
Зарегистрирован: 19.02.2010
Сообщений: 1

Re: Лечение системы после заражения вирусом

Здравствуйте! Меня уже почти 2 месяца мучает следующая проблема, и никак не получается что-то изменить.crazy

В середине декабря я дважды подхватывала порно-банер, блокирующий Windows. Назывался он plugin.exe и располагался 1ый раз на диске С:, а 2ой - в С:/Program Files. 1ый раз разблокироваться удалось только переименованием с помощью DrWeb-а. Просто удалить или вылечить не удавалось. 1ый раз я отправила этот вирус в DrWeb и они внесли его в базу вирусов. 2ой раз DrWeb на новую версию вируса даже не среагировал (проверялась в безопасном режиме). Я сама его углядела и переименовала.

В первом случае после переименования комп стал требовать перезагрузку. Когда я от него отошла, перезагрузился сам. С тех пор я не могу попасть практически ни на один сайт антивирусов, проверка ссылок для FireFox от  DrWeb не рабоает. Удалось зайти только на казахский  DrWeb и Panda. FireFox стал подвисать почти каждую минуту на короткое время. Перед появлением сообщения о том, что антивирусные базы обновлены, подвисает весь комп. И возникли еще  проблемы с антивирусной проверкой. Теперь проверяюсь всегда только в безопасном режиме Windows DrWeb-ом (лицензия) и CureIt. Если выбрать полную проверку, то она проходит минут за 20, быстрее на несколько минут, чем быстрая. Вижу, что проверяется только 1 папка на диске С: (винт - 300 Гб, свободно 15 Гб, разделен на 2 части). Если выбрать диск С:, то тоже только 1 директория проверяется. Многочасовая проверка начинается только тогда, когда проверяешь каждую папку по отдельности. А вот диск Z: нормально проверяется, если его выбрать.

Ума не приложу, как это исправить. Больше всего напрягает то, что не могу попасть на сайты антивирусов, а от бесконечных зависаний браузера у меня скоро начнутся нервные припадки.   http://www.kolobok.us/smiles/madhouse/gamer3.gif   Пробовала переустанавливать FF, Opera, IE. Результатов нет. Что делать? Переустанавливать Windows? Можно ли обойтись без форматирования С:, установив поверх прежней сборки, а то диск забит под завязку и копировать некуда? И можно ли в моей ситуации быть уверенной в том, что Windows скачается, прожжется и установится нормально? Ну и еще один вопрос, хотя и не совсем к месту: насколько легко устанавливается ваша сборка, а то я никогда сама не устанавливала, только читала об этом у Левина в "Самоучителе работы на компьютере"? Может можно обойтись менее радикальными способами?

Буду очень признательна, если кто-нибудь может чем-то помочь.

mvk2000 писал(а):
Пройдись одной из программ
MalwareBytes Anti-malware
Super Anti Spyware
SpyBot – Search&Destroy

Спасибо. Попробую. Доступна только 3я, на первые 2 не могу попасть. sad

попробуй загружаться с LiveCD.

Я не могу его скачать по той же причине.  http://www.kolobok.us/smiles/standart/cray2.gif

А вообще-то эта тема несколько для иных вопросов, более подходящее место мне кажется здесь

Упс, я его не нашла.  unknown   Вы правы.


maximum писал(а):
попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.

Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно.   http://www.kolobok.us/smiles/madhouse/gamer3.gif  А качать с каких-то других сайтов... Теперь боюсь всего.  http://www.kolobok.us/smiles/artists/fool/aaa.gif

Неактивен

 

#66 19.02.2010 23:10:31

mvk2000
Advanced Member
Зарегистрирован: 10.08.2009
Сообщений: 137

Re: Лечение системы после заражения вирусом

В личку заглядывала?
А из советов, что-то пробовала?
Если не получается скачать с сайтов, попробуй отсюда:
MAM
AVZ
Прежде чем переустанавливать, советую побороться..

Неактивен

 

#67 20.02.2010 07:49:08

maximum
Member
Откуда: Украина
Зарегистрирован: 01.05.2009
Сообщений: 55
Вебсайт

Re: Лечение системы после заражения вирусом

Попробуйте избавиться с помощью AVZ – файл – выполнить скрипт, вставляем тот скрипт, чей баннер вас достает, затем запускаем, после применения скрипта компьютер будет перезагружен.
Скрытый текст (раскрыть):
Рекламная рассылка от AdSubscribe
В AVZ выполнить данный скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Windows\system32\mssrv32.exe','');
QuarantineFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Users\user\AppData\Roaming\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Windows\system32\mssrv32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

***
Удаляем рекламу секс шопа

В AVZ выполнить данный скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll','');
DeleteFile('C:\Documents and Settings\superuser\Application Data\AdSubscribe\AdSubscribe.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
RebootWindows(true);
end.


НатаZ сообщает:

Честно говоря, ничего не поняла. Но AVZ от разработчика мне тоже не доступно. А качать с каких-то других сайтов... Теперь боюсь всего.

а что непонятно smile  я привел два скрипта, в вашем случае надо использовать второй скрипт ну и описал, куда надо вставить скрипт в AVZ что непонятного smile скачать - AVZ

Отредактировано maximum (20.02.2010 17:07:00)

Неактивен

 

#68 20.02.2010 10:06:22

deniskapoops
Advanced Member
Зарегистрирован: 18.09.2008
Сообщений: 135

Re: Лечение системы после заражения вирусом

НатаZ
вот ещё avz  с осзона с обновлениями по февраль,поможет вам во многом и вернуть комп к жизни!) oops
http://turbobit.net/arma5r94d8oe.html
http://depositfiles.com/ru/files/9zyuaf2gu

Неактивен

 

#69 29.03.2010 15:59:43

mitmash
New member
Зарегистрирован: 29.03.2010
Сообщений: 8

Re: Лечение системы после заражения вирусом

Очень уважаю эту талантливую сборку, особенно за возможность обновления (а часто при этом и исправления) плохо работающей Оси.
Однако, сегодня столкнулся с такой проблемой - работает система WinXP SP2, запускаю диск в режиме обновления, начинают загружаться вспомогательные файлы и когда загрузка подходит примерно к 95% выскакивает сообщение о невозможности загрузки файла ayiooojcl.sys (или a3avdlar.sys или a3og1et7.sys). Такое впечатление, что эти названия несуществующих файлов формируются случайным образом из 8-ми символов, причем первый из них обязательно "a" sad .
Проверил этот эксперимент на двух версиях (разные CD) от 20.12.2009 и 20.02.2010 - результат аналогичный. Я в полном ступоре oops Если есть какие-то мысли, то ради бога помогите из него (СТУПОРА rolleyes) выйти. Антивирусом (DrWeb с последними обновлениями) проверял диск - всё чисто.
                                      Заранее благодарен.........................Дмитрий

P.S. Если вдруг не по теме подскажите куда обратиться ( В Microsoft не посылать!)

Отредактировано mitmash (29.03.2010 16:07:14)

Неактивен

 

#70 29.03.2010 16:52:12

hal
Advanced Member
Откуда: Самара
Зарегистрирован: 02.12.2008
Сообщений: 415
Вебсайт

Re: Лечение системы после заражения вирусом

mitmash
Судя по названиям файлов и неспособности обновиться, система заражена вирусами. Загрузись в WinPE, найди и удали указанные файлы (если они есть), там же пройди по реестру утилитой REGEDITPE.EXE и удали на них ссылки. Удачи!

Неактивен

 

#71 29.03.2010 19:18:34

Waterclo
Пø}{@бь)4
Откуда: Лампа Аллавбздина
Зарегистрирован: 24.09.2008
Сообщений: 1931

Re: Лечение системы после заражения вирусом

mitmash
Возможны два варианта:
1. При обновлении рабочей системы программа установки не может скопировать некий *.sys-файл в случае, когда драйвер какой-то программы присутствует в установленной системе, не может быть удалён без нарушения функций обновляемой системы, а в составе дитрибутива отсутствует и не может быть перезаписан (FAQ, 1.2. Вопрос).
Действие:
Пуск->Поиск->Забиваем название файла, находим, в свойствах файла смотрим, какой программе принадлежит драйвер. Деинсталлируем её перед обновлением системы. Так же, увидеть какой программой заблокирован файл можно Unlocker-ом.
2. Более вероятно, наличие трояна в установленной системе, раз "названия "несуществующих" файлов формируются случайным образом". Антивирусом, инсталлированым в инфицированной системе, проверять бесполезно - он может быть заблокирован, или вирус (руткит, троян) защищён от обнаружения.
Действие:
Качаем (FAQ, Пункт 5.2) AVPTool или Dr.Web CureIt!® и AVZ (внимательно смотрим скриншот). Устанавливаем их на флэшку и проверяем из-под WinPE старую систему. AVZ запускаем для контроля после удаления вирусов из-под установленой системы, перед её обновлением.

Неактивен

 

#72 15.05.2010 19:30:27

Saten
Member
Откуда: Кемерово
Зарегистрирован: 11.05.2010
Сообщений: 15

Re: Лечение системы после заражения вирусом

вот какая проблема при обновлении из под самой операционке возникла.
1ый раз обновлял показало то же самое токо с другим названием файла
2й и 3й раз то что на скрине
обновляю 15.03.10 на 15.05.10
Скрытый текст (раскрыть):

http://savepic.ru/1141419m.jpg

подскажите как решить проблему или ваще просто как обновить тогда.

и кстати еще 1 вопрос.
почему при установки операционки на диск "С"  boot.ini, ntldr и тэдэ и тэпэ файлы записываются на диск "D" хотя должны наоборот

Отредактировано Saten (15.05.2010 19:37:30)

Неактивен

 

#73 15.05.2010 19:38:27

Лёшка_К
Member
Зарегистрирован: 01.09.2008
Сообщений: 89

Re: Лечение системы после заражения вирусом

Saten,
IMHO: два варианта - ошибка в записи образа или все дело в обновляемой ОС.
Это была сборка.....? wink

Неактивен

 

#74 15.05.2010 19:44:31

Saten
Member
Откуда: Кемерово
Зарегистрирован: 11.05.2010
Сообщений: 15

Re: Лечение системы после заражения вирусом

мд5 совпадает, в загрузщике тоже проверял все нормально.
В смысле сборка??? этой же виндой обновлял (15.03 была (и есть) обновлял 15.05
щас просто даже завиртуалил все версии которые были 05.05 05.05 фикс и 15.05 с правыльными мд5, и выдает все время такие же ошибки

Неактивен

 

#75 15.05.2010 20:28:18

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 520

Re: Лечение системы после заражения вирусом

Saten сообщает:

подскажите как решить проблему или ваще просто как обновить тогда.

Для начало провериться на вирусы (файлик подозрительный), а потом бегом на  FAQ.

Неактивен

 

Board footer


Рекомендации: OSZone, Comss, Ru-Board

Поддержать развитие проектов