Вирус "fool"
Uncle Hips
Интересующийся
9/12/2008, 2:36:59 AM
(dream82 @ 11.09.2008 - время: 22:12) Е:/ это недоразумение, которое отделилось от основного диска.
Ясно.=)
Очистить Temp можно так пуск\выполнить\%tmp%\ок удаляешь всё от туда.
После того, как пофиксишь и выполнишь написанный скрипт, карантин virus.zip, залей на https://www.sendspace.com/ и отправь мне в ПМ.
ЗЫ. Первый карантин отправил касперским на [email protected]?
что-то у меня форум жутко глючит.. постоянно -"504 Gateway Time-out". Более глючного ещё не видал..( Невозможно писать. Напишешь пост,-выкинуло..:((
Ясно.=)
Очистить Temp можно так пуск\выполнить\%tmp%\ок удаляешь всё от туда.
После того, как пофиксишь и выполнишь написанный скрипт, карантин virus.zip, залей на https://www.sendspace.com/ и отправь мне в ПМ.
ЗЫ. Первый карантин отправил касперским на [email protected]?
что-то у меня форум жутко глючит.. постоянно -"504 Gateway Time-out". Более глючного ещё не видал..( Невозможно писать. Напишешь пост,-выкинуло..:((
dream82
Интересующийся
9/12/2008, 2:13:36 PM
Ответ касперского: В присланном Вами файле не найдено ничего вредоносного.
dream82
Интересующийся
9/12/2008, 2:39:58 PM
quarantine.zip
https://www.sendspace.com/file/h87lwu
Пофиксить(запустить HijackThis нажать "...scan only", отметить галкалками строки и нажать "Fixcheckit"):
R3 - Default URLSearchHook is missing (у меня нет такого).
То что было сделал.
Скрины сдкелаю позже.
https://www.sendspace.com/file/h87lwu
Пофиксить(запустить HijackThis нажать "...scan only", отметить галкалками строки и нажать "Fixcheckit"):
R3 - Default URLSearchHook is missing (у меня нет такого).
То что было сделал.
Скрины сдкелаю позже.
Uncle Hips
Интересующийся
9/12/2008, 6:11:11 PM
Ссылку на карантин не выкладывай в сообщении(в нём может находиться зараза), а присылай в ПМ. Он чист(некоторые файлы в карантин не попали).
Отключи корзину(правой кнопкой мыши на ярлык Корзины\Свойства\Файлы удалять немедленно). После лечения включишь заново.
Скачай програмку
IceSword https://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip распакуй и запусти файл IceSword.ехе.
Кнопка file- откроется окошко поиска.
Найди(если отыщутся) фалы E:\autorun.inf и C:\WINDOWS\system32\srvreg.exe Правым кликом по ним и выбери "copy to". Сохрани оба в новой папке, запакуй её с паролем virus, залей, а ссылку мне в ПМ.
Потом снова IceSword.ехе, кнопка file, найди E:\autorun.inf правым кликом по нему, выбери "force delete", подтвери удаление и перезагрузись.
Сделай контролные логи!
Какие проблемы ещё остались\появились?
Отключи корзину(правой кнопкой мыши на ярлык Корзины\Свойства\Файлы удалять немедленно). После лечения включишь заново.
Скачай програмку
IceSword https://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip распакуй и запусти файл IceSword.ехе.
Кнопка file- откроется окошко поиска.
Найди(если отыщутся) фалы E:\autorun.inf и C:\WINDOWS\system32\srvreg.exe Правым кликом по ним и выбери "copy to". Сохрани оба в новой папке, запакуй её с паролем virus, залей, а ссылку мне в ПМ.
Потом снова IceSword.ехе, кнопка file, найди E:\autorun.inf правым кликом по нему, выбери "force delete", подтвери удаление и перезагрузись.
Сделай контролные логи!
Какие проблемы ещё остались\появились?
dream82
Интересующийся
9/12/2008, 7:56:21 PM
Нет. Эти файлы найти не могу.
Uncle Hips
Интересующийся
9/12/2008, 9:10:35 PM
(dream82 @ 12.09.2008 - время: 15:56)Нет. Эти файлы найти не могу.
Хорошо.
Посмотрел логи из ПМ, снова он на месте.
Вот зараза привязалась!
Давай так
Отключи антивирус, инет
Выполни в АВЗ:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перезагрузится
Потом(если найдётся),так:
авз - сервис - Active setup - удалить C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
Флешками пользуешся? Необходимо отключить автозапуск со сменных носителей:
АВЗ\файл\мастер поиска-устранения проблем\категория-системные\степень опасности-все\пуск. На всех(автозапуск с CD можешь оставить если нужен) которые найдутся, поставить галочки и нажать "исправить отмеченные". Перезагрузиться. Сделать скрипт №3 и ссылку на него в сообщении размести.
Хорошо.
Посмотрел логи из ПМ, снова он на месте.
Вот зараза привязалась!
Давай так
Отключи антивирус, инет
Выполни в АВЗ:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перезагрузится
Потом(если найдётся),так:
авз - сервис - Active setup - удалить C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
Флешками пользуешся? Необходимо отключить автозапуск со сменных носителей:
АВЗ\файл\мастер поиска-устранения проблем\категория-системные\степень опасности-все\пуск. На всех(автозапуск с CD можешь оставить если нужен) которые найдутся, поставить галочки и нажать "исправить отмеченные". Перезагрузиться. Сделать скрипт №3 и ссылку на него в сообщении размести.
Uncle Hips
Интересующийся
9/12/2008, 11:50:24 PM
Так...Как чувствовал)) На горизонте образовался новый заражённый диск Н:\. Угадаю с 3-ёх раз,-это флешка, и комп снова заражён. Так можно до бесконечности лечиться)
Отключи антивирус и инет,
подключи зараженную флешку(не отключай, пока не закончим лечение!!!) и сделай такой скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\csrss.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\csrss.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем такой:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Карантин из папки АВЗ, залей и ссылку мне в ПМ. и касперским отправь. Повтори стандартные скрипты №3, №2 и лог HijackThis. Размести их в следующем сообщении.
РС. Не пропадай никуда. По хорошему(если больной не пропадает) всё это лечение можно сделать за час-два от силы, и я хочу сегодня закончить процедуры.
Отключи антивирус и инет,
подключи зараженную флешку(не отключай, пока не закончим лечение!!!) и сделай такой скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('H:\csrss.exe','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('H:\autorun.inf');
DeleteFile('H:\csrss.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем такой:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Карантин из папки АВЗ, залей и ссылку мне в ПМ. и касперским отправь. Повтори стандартные скрипты №3, №2 и лог HijackThis. Размести их в следующем сообщении.
РС. Не пропадай никуда. По хорошему(если больной не пропадает) всё это лечение можно сделать за час-два от силы, и я хочу сегодня закончить процедуры.
dream82
Интересующийся
9/13/2008, 1:05:52 AM
Тут я.
С учетной записью у меня проблемы.
В режиме нормальной работы я вижу только 1 уч.запись- свою(админ).
В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы.
Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.)
А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку)
АВЗ уже делаю
С учетной записью у меня проблемы.
В режиме нормальной работы я вижу только 1 уч.запись- свою(админ).
В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы.
Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.)
А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку)
АВЗ уже делаю
Uncle Hips
Интересующийся
9/13/2008, 1:20:51 AM
(dream82 @ 12.09.2008 - время: 21:05) Тут я.
С учетной записью у меня проблемы.
В режиме нормальной работы я вижу только 1 уч.запись- свою(админ).
В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы.
Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.)
А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку)
АВЗ уже делаю
Это я понял. Сначала заразу нужно удалить, потом остальное. Вот дополнительная информация об учётных записях и манипуляциях с ними. https://support.microsoft.com/kb/251394/ru
Потом прочти как излечишься.
Логи нужны и карантин, после их выполнения.
С учетной записью у меня проблемы.
В режиме нормальной работы я вижу только 1 уч.запись- свою(админ).
В режиме Safe Mode 2 учетные записи (моя и созданная вирусом) обе записи администраторы.
Когда захожу в свою запись(могу сделать с ней все-удалить, исправить и т.д.)
А в вирусной уч. записи нет таких возможностей(только: исправить пароль, изменить картинку)
АВЗ уже делаю
Это я понял. Сначала заразу нужно удалить, потом остальное. Вот дополнительная информация об учётных записях и манипуляциях с ними. https://support.microsoft.com/kb/251394/ru
Потом прочти как излечишься.
Логи нужны и карантин, после их выполнения.
dream82
Интересующийся
9/13/2008, 2:34:14 AM
Сделал, выслал на ПМ. Касперскому тоже.
Uncle Hips
Интересующийся
9/13/2008, 3:10:23 AM
По логам, комп чист. Для того, чтобы наверняка избавится от автозапуска с флешек и от вирусов:
Скопируй это в блокнот(notepad) и сохрани файл как noautorun.reg потом запусти и согласись с добавлением.
Windows Registry Editor Version 5.00
"AutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:000000ff
@="@SYS:DoesNotExist"
"*.*"=""
Скопируй это в блокнот(notepad) и сохрани файл как noautorun.reg потом запусти и согласись с добавлением.
Windows Registry Editor Version 5.00
"AutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:000000ff
@="@SYS:DoesNotExist"
"*.*"=""
dream82
Интересующийся
9/13/2008, 4:58:19 AM
Огромное спасибо Uncle Hips, помог избавиться от вируса...
Осталось только убрать его следы и все "ай би хеппи".
Осталось только убрать его следы и все "ай би хеппи".