Перейти к содержимому


* * * * * 3 Голосов

Пoмoщь в лечeнии кoмпьютера


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 1089

#1 Vorador

Vorador

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 013 сообщений
  • Пол:Мужчина
  • Город:portus salutis

Отправлено 24 Март 2007 - 00:03

Перехвачена попытка записи значения в ключе системного реестра, который входит в группу System Startup. Эти ключи контролируют состав модулей, загружаемых при запуске Microsoft Windows.

Рекомендуется разрешить доступ к этим настройкам только в том случае, если вы хотите, чтобы эта программа запускалась автоматически при включении компьютера. В остальных случаях рекомендуется запретить доступ.

Ключ: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

Значение: ivs

Старые данные(Число 32 бит):
0x00000015 (21)

Новые данные(Число 32 бит):
0x00000016 (22)

что с этим делать?

Сообщение отредактировал Vorador: 02 Май 2013 - 16:54


#2 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 24 Март 2007 - 00:37

Рецепт для всех примерно одинаков. Для начала проверьте систему при помощи DrWeb Cureit. Актуальную версию можно взять по ссылке: http://www.freedrweb...load cureit/gr/

Запустите проверку, по отношению к обнаруженному: все поддающееся лечению - лечить, неизлечимое - удалять! Если проблема исчезла, то к этапу ниже можно не прибегать. Если сомнения остались, то продолжаем:

1. Скачайте AVZ по ссылке ниже:
для пользователей локальной сети можно скачать здесь:
ftp://himki.net/Soft/antivir-center/AVZ/avz4.zip

для пользователей из сети Интернет здесь:
http://z-oleg.com/se...vz/download.php


2. Распакуйте папку с программой.
- в случае с Windows XP просто запустите avz.exe
- в случае, если у Вас Windows Vista или Windows 7, запустите avz.exe через правый клик на этом файле, далее нужно выбрать запуск от имени администратора (см. рисунок ниже)
Прикрепленный файл  vista.jpg   42,87К   34 Количество загрузок:

Если avz не запускается, то попробуйте переименовать avz.exe в a1.exe и повторите попытку запуска! Такое возможно, если зловред блокирует запуск процессов с определенными именами.

после чего обновите базы программы через Интернет. Для этого проделайте действия, указанные на рисунке ниже:

Прикрепленный файл  avz222.JPG   81,2К   258 Количество загрузок:

Если доступа в Интернет в данный момент у Вас не имеется, то пропустите этот пункт.

3. Нажмите на AVZPM в верхней части меню, выберите Установить драйвер расширенного мониторинга процессов
Прикрепленный файл  1a.jpg   57,67К   225 Количество загрузок:

Если в этот момент среагирует какое-либо защитное ПО на вашем ПК и сообщит, что avz пытается установить драйвер, разрешите эту активность!

4. Перезагрузите компьютер
5. После перезагрузки снова запустите AVZ (в Vista и Win7 от имени администратора, как уже делали однажды выше)

Теперь отключите все свои антивирусные программы и файрволы (особенно с проактивной защитой), чтобы они не мешали дальнейшим действиям AVZ!

6. Затем выставите галочки, как показано на рисунке ниже:
Прикрепленный файл  2a.jpg   114,92К   523 Количество загрузок:
и нажмите на Пуск. Дождитесь окончания проверки компьютера.
7. После чего зайдите в меню Файл -> Исследование системы -> Переставьте переключатель с только активные службы и драйверы на все службы и драйверы - нажмите на Пуск в этом окне
Прикрепленный файл  a3.jpg   108,32К   338 Количество загрузок:
Дождитесь окончания проверки.
8. Полученный в результате исследования системы .htm файл, прикрепите сюда! (.xml файл не нужен)
9. Вкратце расскажите в сообщении о наблюдаемых проблемах или о сути своих подозрений в отношении возможного заражения!

P.S. помогаю в этой теме при наличии свободного времени...

Общеобразовательная статья про антивирусы, лечение вирусов, удаление троянов и антивирусную безопасность

#3 Vorador

Vorador

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 013 сообщений
  • Пол:Мужчина
  • Город:portus salutis

Отправлено 25 Март 2007 - 11:41

Вот результат:
Прикрепленный файл  avz_sysinfo.htm   134,04К   281 Количество загрузок:

#4 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 25 Март 2007 - 19:12

AVZ - Файл - выполнить скрипт:

Цитата

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('f:\windows\system32\lnwin.exe','');
QuarantineFile('f:\windows\system32\adirss.exe','');
QuarantineFile('f:\windows\system32\adirka.exe','');
DeleteFile('f:\windows\system32\adirka.exe');
DeleteFile('f:\windows\system32\adirss.exe');
DeleteFile('f:\windows\system32\lnwin.exe');
DeleteFile('F:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL');
DeleteFile('F:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('F:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('F:\WINDOWS\system32\rsvp32_2.dll');
DeleteFile('\??\F:\WINDOWS\system32\drivers\Oreans.sys');
DeleteFile('\??\F:\WINDOWS\system32\wincom32.sys');
DeleteFile('F:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL');
DeleteFile('F:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
DeleteFile('F:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL');
ExecuteSysClean;
ExecuteRepair(14);
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.

после чего повторите лог, как просил выше.

У Вас Zhelatin с руткитом, адваря.майвэбсёч и что-то еще....

Если удалять не по правилам, то останетесь без интернета. Библиотечка червя лезет в Winsocks и ставит там себя в качестве провайдера.

Сообщение отредактировал XL: 25 Март 2007 - 19:22


#5 demongerman

demongerman

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 1 801 сообщений
  • Пол:Мужчина
  • Город:Himki

Отправлено 15 Апрель 2007 - 15:01

вот моё

Прикрепленные файлы

  • Прикрепленный файл  avz_log.txt      90 Количество загрузок:
  • Прикрепленный файл  avz_log.txt      18 Количество загрузок:


#6 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 15 Апрель 2007 - 15:08

Это не то, что хотелось бы увидеть. Лог должен быть в виде htm файла и должен быть сделан по правилам. См. выше внимательнее!

#7 bejen

bejen

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 6 560 сообщений
  • Пол:Мужчина
  • Город:Lineage 2
  • Интересы:всё то, что интересно...

Отправлено 02 Май 2007 - 23:33

Что скажите на это  :rolleyes:

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   58,04К   110 Количество загрузок:


#8 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 03 Май 2007 - 10:58

Что за зверь:

Цитата

c:\progra~1\kye\ergome~1\sytray.exe
Клавиатурная примочка?
AVZ уже до 4.25 обновилась
ftp://himki.net/Soft/antivir-center/AVZ/

#9 bejen

bejen

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 6 560 сообщений
  • Пол:Мужчина
  • Город:Lineage 2
  • Интересы:всё то, что интересно...

Отправлено 03 Май 2007 - 14:39

Просмотр сообщенияXL (3.05.2007, 11:58) писал:

Что за зверь:
Клавиатурная примочка?
Угу, от второй клавы драйвер... Genius Ergomedia

Cпасибо за новую версию...

Сообщение отредактировал *Gnom*: 03 Май 2007 - 14:44


#10 S-M-O-K-I

S-M-O-K-I

    смайлописец со стажем

  • Members
  • PipPipPipPipPipPipPip
  • 1 434 сообщений
  • Пол:Мужчина
  • Город:Химки
  • Интересы:Всего по немножку)

Отправлено 03 Май 2007 - 18:25

А у меня случайно никто не завелся? :lol:

Прикрепленный файл  avz_sysinfo.htm   56,13К   40 Количество загрузок:

#11 Invisible

Invisible

    Хранитель форума

  • Members
  • PipPipPipPipPipPipPipPip
  • 3 230 сообщений
  • Пол:Мужчина

Отправлено 03 Май 2007 - 18:51

А у меня?

Прикрепленный файл  avz_sysinfo.htm   161,73К   31 Количество загрузок:

#12 Гость_<-=PLEGAS=->_*

Гость_<-=PLEGAS=->_*
  • Guests

Отправлено 03 Май 2007 - 21:19

и у меня гляньте пожалуйста
Прикрепленный файл  avz_sysinfo.htm   68,79К   18 Количество загрузок:

#13 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 03 Май 2007 - 22:08

у 3-х чистота

#14 Maynard

Maynard

    Втянувшийся

  • Members
  • PipPipPip
  • 167 сообщений
  • Город:гэ Химки
  • Интересы:бас-гитара

Отправлено 07 Май 2007 - 07:27

ммм.. какие мои действия?)

Прикрепленные файлы

  • Прикрепленный файл  avz_sysinfo.htm   49,68К   33 Количество загрузок:


#15 XL

XL

    забросил форум

  • Admin
  • PipPipPipPipPipPipPipPip
  • 8 253 сообщений
  • Пол:Мужчина
  • Интересы:IT: SEO, copyrighting, антивирусная безопасность, home networking. Остроумие и другие происки хорошего настроения. Оптимизм в производственных масштабах. Рыбалка в летний период. Добрые дела.

Отправлено 07 Май 2007 - 09:52

Выполните скрипт:

Цитата

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('d:\windows\system32\shslctr.dll','');
DeleteFile('d:\docume~1\sokolov\locals~1\temp\winlogon.exe');
DeleteFile('D:\WINDOWS\System32\vbsys2.dll');
DeleteFile('D:\WINDOWS\svchost.exe');
DeleteFile('D:\WINDOWS\system32\rpcc.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки компьютера содержимое папки карантина AVZ упакуйте в архив и киньте мне в приват! Затем повторите лог.

#16 Maynard

Maynard

    Втянувшийся

  • Members
  • PipPipPip
  • 167 сообщений
  • Город:гэ Химки
  • Интересы:бас-гитара

Отправлено 07 Май 2007 - 17:15

Спасибо.) Отправил сообщение в приват)

#17 Василий.

Василий.

    Живёт на форуме

  • Members
  • PipPipPipPipPipPipPip
  • 1 271 сообщений
  • Пол:Мужчина
  • Город:ХИМКИ
  • Интересы:Cs, WoW, STALKER, и др. игры...<br />ПК<br />

Отправлено 07 Май 2007 - 17:28

Кто знает откуда может лезть троянская программа Trojan-Dropper.Win32.Agent.bgm ?
а то каспер постоянно стал находить, я удаляю но потом опять откудато берётся...

#18 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 07 Май 2007 - 17:56

почта

#19 Василий.

Василий.

    Живёт на форуме

  • Members
  • PipPipPipPipPipPipPip
  • 1 271 сообщений
  • Пол:Мужчина
  • Город:ХИМКИ
  • Интересы:Cs, WoW, STALKER, и др. игры...<br />ПК<br />

Отправлено 07 Май 2007 - 18:43

Во первых я ей редко пользуюсь
а во вторых её антивирус проверяет при получении и не находит ни чего.

#20 Lexxus

Lexxus

    Сохранитель форума, всеplanetарный знаток свитчей.

  • Members
  • PipPipPipPipPipPipPipPip
  • 2 689 сообщений
  • Пол:Мужчина

Отправлено 07 Май 2007 - 19:55

Просмотр сообщенияВасилий. (7.05.2007, 19:43) писал:

а во вторых её антивирус проверяет при получении и не находит ни чего.

мда.... не думал не думал....


Просмотр сообщенияВасилий. (7.05.2007, 18:28) писал:

Trojan-Dropper.Win32.Agent.bgm ?
каспер постоянно стал находить, я удаляю но потом опять откудато берётся...


Я думаю ты должен понять...

если не поймешь - то сразу отпости "не понял"

Объясню по проще




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных