27 МОСКОВСКАЯ ВСТРЕЧА
Форум самогонщиков Сайт Барахолка Магазин 27 МОСКОВСКАЯ ВСТРЕЧА

Восстановление работы ОС В

Форум самогонщиков Общение по интересам Современные технологии
1 2 3 4 5 ... 36 2
SpankyHam Доцент Kiev 1.6K 387
Отв.20  16 Марта 10, 12:52
Я надеюсь, ты еще оценишь, если уже не оценил, какая классная утилита. Позволяет самостоятельно проанализировать, чего там в компе делается, и принять решение. Ну и выковырять заразу, восстановить стандартные параметры. Жду отчет.
Андрей Администратор Бухарест 5.3K 4.8K 2
Отв.21  16 Марта 10, 16:53
Сделал.

Прикрепляю отчеты с ноута и компа
notebook.zip 20.3 Кб
pc.zip 47.4 Кб
SpankyHam Доцент Kiev 1.6K 387
Отв.22  16 Марта 10, 18:30
На ноуте в пространстве ядра корявая запись о драйвере. Если замечаний по его работе нет, то забей. На крайняк, можешь поправить ч-з Сервис - Менеджер автозапуска в АВЗ.
На ПиСюке тот же, что и в первом случае, только имя чуть другое. Если это отчеты с одного и того же компа, то он самопереименовывается. Надо бить под ДОСом, ПЕ или другой оболочкой.

Выполни:
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('spdj.sys','');
BC_DeleteFile('spdj.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Потом снова отчет приклей. Когда делаешь исследование, позакрывай, пожалуйста, по максимуму: Мозилу и пр.
Андрей Администратор Бухарест 5.3K 4.8K 2
Отв.23  18 Марта 10, 11:26
Выполнил скрипт. Вот результат новой проверки:
avz_sysinfo.zip 48.6 Кб
SpankyHam Доцент Kiev 1.6K 387
Отв.24  18 Марта 10, 11:51, через 26 мин
Неубиваемый.  >:(
1. Загружайся в альтернативную среду. Рекомендую LiveCD или LiveUSB WindowsPE ака FlowerBear.
2. Ищи spox.sys и другие spXX.sys КРОМЕ sptd.sys (!). Думаю, что все они в C:\WINDOWS\system32\DRIVERS\
3. Запиши их размер и дату создания, и, только потом прибивай. sptd.sys НЕ ТРОГАЙ. Предполагаю также атрибут "скрытый".
4. Чистим папки:
C:\Documents and Settings\ИМЯ\Local Settings\Temp
C:\Documents and Settings\ИМЯ\Local Settings\Temporary Internet Files
C:\WINDOWS\Temp
C:\System Volume Information - это точки восстановления. Если их тебе очень жалко, то хз; я этим архивом говна не пользуюсь и Службу Восстановления Системы считаю ВРЕДНОЙ. (Кстати, ты ее отключал, перед выполнением скрипта? ЭТО ОБЯЗАТЕЛЬНО!)
В корнях дисков убиваем autorun.inf и скрытые exe-шники, hiberfile.sys , pagefile.sys
В C:\WINDOWS\system32 , C:\WINDOWS , C:\WINDOWS\system32\drivers и C:\WINDOWS\system32\dllcache
убиваем файлы типов exe sys dll с датой создания сегодня-вчера-когда_начались_проблемы. Как правило с атрибутом "скрытый".
Сортируешь в этих папках ПО РАЗМЕРУ и находишь файлы с размером=spox.sys. Если их атрибут "скрытый", убивай без сомнения.
Закрываем ТС, очищаем корзину ч-з ПЕ-шный проводник.
Перезагрузка.
SpankyHam Доцент Kiev 1.6K 387
Отв.25  18 Марта 10, 12:13, через 23 мин
Если ссв не отключал, то сперва отключи (для отключения СВС правыйклик по значку Мой Компьютер - Управление; Службы и приложения - Службы; Служба восстановления системы - даблклик; Тип запуска - Отключено; Кнопка Стоп; ОК)
Выполни скрипт,
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('spox.sys','');
BC_DeleteFile('spox.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

просмотри отчет. В главе Модули пространства ядра последний пункт spXX.sys без описания. Если останется, тогда уже делай, что постом выше написал.
Андрей Администратор Бухарест 5.3K 4.8K 2
Отв.26  18 Марта 10, 12:47, через 34 мин
Она выключена по умолчанию.
Вообще в работе системы странностей не замечаю, но раз такое дело ...
Лучше обеззоразить себя!
SpankyHam Доцент Kiev 1.6K 387
Отв.27  18 Марта 10, 16:56
Она выключена по умолчаниюАндрей, 18 Марта 10, 12:47
Молодец, уважаю!
Андрей, вырывай ч-з внешнюю оболочку.
1. У него хорошая живучесть, и как говорил Винни Пух,- это "жжж" не спроста!
2. Любой троян может выцепить комбинацию "логин-пароль" из кэша, как 2 байта отослать.
3. Клавиатурному шпиону тоже труда не составит снять их прямо с клавы.
При твоих правах на форуме, потеря ящика на мэйлтру,- фигня. Думаю, понимаешь.
Скачай .iso-шку WindowsPE "FlowerBear", заскатай на болванку, загрузись и вырви.
Отписывайся. Потом почистишь эту тему.
Гуд Лака.
D1N Научный сотрудник SPB 2.2K 454
Отв.28  21 Марта 10, 18:40
эхххх... поймал таки я этот порнобаннер)) про эту тему вспомнил, а в инет то не пущает... действовал по старинке "формат цэ".
в безопасном режиме баннер не вылазил, антивирь вис на неком *dll, видимо, его и надо было грохнуть!
мастер24rus Магистр красноярск 274 28
Отв.29  21 Марта 10, 22:39
D1N, пользуйся на здоровье: Снятие порнобаннера - http://virusinfo.info/deblocker/
D1N Научный сотрудник SPB 2.2K 454
Отв.30  21 Марта 10, 23:16, через 38 мин
мастер24rus,
о!спасиб! вот это дело! запишу адресок, у соседа та же фигня))) минус один- нужен инет, но это у того же соседа)) будем лечиться по очереди))))
мастер24rus Магистр красноярск 274 28
Отв.31  21 Марта 10, 23:20, через 4 мин
не за что, там и лечение есть. если деньги требовать будут другой адрес подскажу или на мыл вышлю утилиту. на будующее- не шарьтесь по неизвестным сайтам
SpankyHam Доцент Kiev 1.6K 387
Отв.32  22 Марта 10, 08:06
Деблокер не устранит проблему. Только отсрочит. Не путайте инфекцию (причину) и внешние проявления (симптоматику). Далее нужно рвать.
мастер24rus Магистр красноярск 274 28
Отв.33  22 Марта 10, 08:45, через 39 мин
Деблокер не устранит проблему. Только отсрочит. Не путайте инфекцию (причину) и внешние проявления (симптоматику). Далее нужно рвать.
SpankyHam, 22 Марта 10, 08:06
прежде чем писать данные посты- потрудился бы зайти по ссылке и хотя бы бегло изучить материалы представленные на ней.

не поленился перейти по ней, цитата: "Внимание: После разблокирования компьютера, вредоносные программы продолжают оставаться в системе. Для полного удаления необходимо пройти лечение." и переведена ссылка
SpankyHam Доцент Kiev 1.6K 387
Отв.34  22 Марта 10, 09:00, через 16 мин
Прежде чем писать данные посты, потрудился бы, хотя бы бегло, изучить материалы в данном посте. В теме дано достаточно ссылок на данный ресурс. Цитирование или переписывание материала считаю излишним. Имеющий глаза да увидит.
не шарьтесь по неизвестным сайтаммастер24rus, 21 Марта 10, 23:20
отключите инет,
заклейте юсб,
запакуйтесь в коробку,
не выходите из дома,
не...
...
мастер24rus Магистр красноярск 274 28
Отв.35  22 Марта 10, 09:08, через 8 мин
критика не конструктивная. юмор тоже на нуле
Makovka Игорь Краснодарский край 9.5K 2.3K
Отв.36  22 Марта 10, 09:23, через 16 мин
Так "горячие финские парни" хватит ругаться и переходить на склоки. Подмигивающий
Серж 1 Научный сотрудник Оренбург 4.3K 2K
Отв.37  22 Марта 10, 10:03, через 40 мин
удалял такие фигни с помощью Combofix. здесь руководство http://virusnet.info/forum/showthread.php?t=2773  
Андрей Администратор Бухарест 5.3K 4.8K 2
Отв.38  27 Марта 10, 02:41
Скачай .iso-шку WindowsPE "FlowerBear", заскатай на болванку, загрузись и вырви.SpankyHam, 18 Марта 10, 16:56

Везде, как и тут например:
http://rutracker.org/forum/viewtopic.php?t=946296
В ОС включен доп. софт с вирусами.

Откуда можно скачать эту ОС без всяких подборщиков паролей и других хакерских программ?
Ант Кандидат наук Е-Бург 442 75
Отв.39  27 Марта 10, 02:51, через 11 мин
В ОС включен доп. софт с вирусами.Андрей, 27 Марта 10, 02:41

Ужас! Сразу с вирусами?.. А без доп. софта можно?..
Вирусов у нас и так хватает...