Восстановление работы ОС В

Я надеюсь, ты еще оценишь, если уже не оценил, какая классная утилита. Позволяет самостоятельно проанализировать, чего там в компе делается, и принять решение. Ну и выковырять заразу, восстановить стандартные параметры. Жду отчет.

Сделал.

Прикрепляю отчеты с ноута и компа

На ноуте в пространстве ядра корявая запись о драйвере. Если замечаний по его работе нет, то забей. На крайняк, можешь поправить ч-з Сервис - Менеджер автозапуска в АВЗ.
На ПиСюке тот же, что и в первом случае, только имя чуть другое. Если это отчеты с одного и того же компа, то он самопереименовывается. Надо бить под ДОСом, ПЕ или другой оболочкой.

Выполни:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('spdj.sys','');
BC_DeleteFile('spdj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Потом снова отчет приклей. Когда делаешь исследование, позакрывай, пожалуйста, по максимуму: Мозилу и пр.

Выполнил скрипт. Вот результат новой проверки:

Неубиваемый.  >:(
1. Загружайся в альтернативную среду. Рекомендую LiveCD или LiveUSB WindowsPE ака FlowerBear.
2. Ищи spox.sys и другие spXX.sys КРОМЕ sptd.sys (!). Думаю, что все они в C:\WINDOWS\system32\DRIVERS\
3. Запиши их размер и дату создания, и, только потом прибивай. sptd.sys НЕ ТРОГАЙ. Предполагаю также атрибут "скрытый".
4. Чистим папки:
C:\Documents and Settings\ИМЯ\Local Settings\Temp
C:\Documents and Settings\ИМЯ\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp
C:\System Volume Information - это точки восстановления. Если их тебе очень жалко, то хз; я этим архивом говна не пользуюсь и Службу Восстановления Системы считаю ВРЕДНОЙ. (Кстати, ты ее отключал, перед выполнением скрипта? ЭТО ОБЯЗАТЕЛЬНО!)
В корнях дисков убиваем autorun.inf и скрытые exe-шники, hiberfile.sys , pagefile.sys
В C:\WINDOWS\system32 , C:\WINDOWS , C:\WINDOWS\system32\drivers и C:\WINDOWS\system32\dllcache
убиваем файлы типов exe sys dll с датой создания сегодня-вчера-когда_начались_проблемы. Как правило с атрибутом "скрытый".
Сортируешь в этих папках ПО РАЗМЕРУ и находишь файлы с размером=spox.sys. Если их атрибут "скрытый", убивай без сомнения.
Закрываем ТС, очищаем корзину ч-з ПЕ-шный проводник.
Перезагрузка.

Если ссв не отключал, то сперва отключи (для отключения СВС правыйклик по значку Мой Компьютер - Управление; Службы и приложения - Службы; Служба восстановления системы - даблклик; Тип запуска - Отключено; Кнопка Стоп; ОК)
Выполни скрипт,

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('spox.sys','');
BC_DeleteFile('spox.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

просмотри отчет. В главе Модули пространства ядра последний пункт spXX.sys без описания. Если останется, тогда уже делай, что постом выше написал.

Она выключена по умолчанию.
Вообще в работе системы странностей не замечаю, но раз такое дело ...
Лучше обеззоразить себя!

Она выключена по умолчаниюАндрей, 18 Марта 10, 12:47

Молодец, уважаю!
Андрей, вырывай ч-з внешнюю оболочку.
1. У него хорошая живучесть, и как говорил Винни Пух,- это "жжж" не спроста!
2. Любой троян может выцепить комбинацию "логин-пароль" из кэша, как 2 байта отослать.
3. Клавиатурному шпиону тоже труда не составит снять их прямо с клавы.
При твоих правах на форуме, потеря ящика на мэйлтру,- фигня. Думаю, понимаешь.
Скачай .iso-шку WindowsPE "FlowerBear", заскатай на болванку, загрузись и вырви.
Отписывайся. Потом почистишь эту тему.
Гуд Лака.

эхххх... поймал таки я этот порнобаннер)) про эту тему вспомнил, а в инет то не пущает... действовал по старинке "формат цэ".
в безопасном режиме баннер не вылазил, антивирь вис на неком *dll, видимо, его и надо было грохнуть!

D1N, пользуйся на здоровье: Снятие порнобаннера - http://virusinfo.info/deblocker/

мастер24rus,
о!спасиб! вот это дело! запишу адресок, у соседа та же фигня))) минус один- нужен инет, но это у того же соседа)) будем лечиться по очереди))))

не за что, там и лечение есть. если деньги требовать будут другой адрес подскажу или на мыл вышлю утилиту. на будующее- не шарьтесь по неизвестным сайтам

Деблокер не устранит проблему. Только отсрочит. Не путайте инфекцию (причину) и внешние проявления (симптоматику). Далее нужно рвать.

Деблокер не устранит проблему. Только отсрочит. Не путайте инфекцию (причину) и внешние проявления (симптоматику). Далее нужно рвать.
SpankyHam, 22 Марта 10, 08:06

прежде чем писать данные посты- потрудился бы зайти по ссылке и хотя бы бегло изучить материалы представленные на ней.

не поленился перейти по ней, цитата: "Внимание: После разблокирования компьютера, вредоносные программы продолжают оставаться в системе. Для полного удаления необходимо пройти лечение." и переведена ссылка

Прежде чем писать данные посты, потрудился бы, хотя бы бегло, изучить материалы в данном посте. В теме дано достаточно ссылок на данный ресурс. Цитирование или переписывание материала считаю излишним. Имеющий глаза да увидит.

не шарьтесь по неизвестным сайтаммастер24rus, 21 Марта 10, 23:20

отключите инет,
заклейте юсб,
запакуйтесь в коробку,
не выходите из дома,
не...
...

критика не конструктивная. юмор тоже на нуле

Так "горячие финские парни" хватит ругаться и переходить на склоки.

удалял такие фигни с помощью Combofix. здесь руководство http://virusnet.info/forum/showthread.php?t=2773  

Скачай .iso-шку WindowsPE "FlowerBear", заскатай на болванку, загрузись и вырви.SpankyHam, 18 Марта 10, 16:56

Везде, как и тут например:
http://rutracker.org/forum/viewtopic.php?t=946296
В ОС включен доп. софт с вирусами.

Откуда можно скачать эту ОС без всяких подборщиков паролей и других хакерских программ?

В ОС включен доп. софт с вирусами.Андрей, 27 Марта 10, 02:41

Ужас! Сразу с вирусами?.. А без доп. софта можно?..
Вирусов у нас и так хватает...