27 МОСКОВСКАЯ ВСТРЕЧА
Форум самогонщиков Сайт Барахолка Магазин 27 МОСКОВСКАЯ ВСТРЕЧА

Восстановление работы ОС В

Форум самогонщиков Общение по интересам Современные технологии
1 ... 14 15 16 17 18 19 20 ... 36 17
KD Научный сотрудник Танкоград 1.4K 648
Отв.320  12 Янв. 11, 20:06
друг подхватил смс блокера, просит помочь.
чем посоветуете лечить? Доступа к инету скорее всего не будет, возможности мотаться до дома за инструментами тоже.Что необходимо и желательно взять?
SpankyHam Доцент Kiev 1.6K 387
Отв.321  12 Янв. 11, 20:11, через 6 мин
Приборы и материалы:
1. Флэшноситель с записаной на него Антивирусной утилитой Зайцева
2. Компакт диск или загрузочный флэшноситель с portable ОС Windows PE.
3. SAS, будь то Free Edition или Portable.SpankyHam, 09 Марта 10, 22:32
Долго не мудрствуя, грузитесь с диска или флэшки с РЕ, ищите в windows\system32\drivers файл .sys или .dll с атрибутом "скрытый".
Потом все из временных папок, в т.ч. кэш браузеров фтопку, потом по дате поищите свежие .exe .sys .dll и пр. в системных путях.
Когда нормально запуститесь, прочешите SAS. Потом уже отчет сюда.
KD Научный сотрудник Танкоград 1.4K 648
Отв.322  12 Янв. 11, 20:16, через 6 мин
понял, учту.
Андрей Администратор Бухарест 5.3K 4.8K 2
Отв.323  13 Янв. 11, 01:54
Щас проверил ради прикола доступ к рабочему столу сервера, работает Улыбающийся
сделал сканирование. пароль тот же.
avz_sysinfo.rar 141.3 Кб
SpankyHam Доцент Kiev 1.6K 387
Отв.324  13 Янв. 11, 22:17
Андрей, чисто. То, чего было, больше нет. С авз осторожно! Лишние действия крайне противопоказаны.
Смешно видеть c:\usr\local\perl\lib
Нормальный слэш так и просится /

KD, как дела? Побороли?
SpankyHam Доцент Kiev 1.6K 387
Отв.325  13 Янв. 11, 22:36, через 19 мин
Митрич, извини, замотался, не забыл о тебе, просто замотался.
Ты SAS прочесал комп? Что нашел?
Если хочешь вырвать того подозрительного, в авз файл-выполнить скрипт
В окно вставляешь код, приведенный ниже и нажимаешь пуск.
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dll','');
DeleteFile('C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dll');
BC_DeleteFile('C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dll');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перегрузится. Потом файл-МПиУП Системные пр. устрани все, что найдет.
Еще раз подчеркну, что классифицировать файл, как зловред, не могу. Вырывание его на работу не повлияет. Это панель со смайликами в браузер.
Митрич Кандидат наук Трехгорный 452 196
Отв.326  13 Янв. 11, 22:48, через 13 мин
Все нормально вроде.  SAS нашла чтото, удалила. А те адреса, которые ты увидел. Они вообще в профиле, которого уже давно нет.
Митрич, вот мои подозрения:1. C:\Documents and Settings\Мария Сергеевна\Мои документы\SmileBar\smilebar.dllSpankyHam, 06 Янв. 11, 01:48
Почему авз их показала, незнаю.
Сейчас запущу скрипт. Спасибо.
Как дочка, вылечил?
SpankyHam Доцент Kiev 1.6K 387
Отв.327  13 Янв. 11, 22:56, через 9 мин
Да, спасибо. Обычная бацилла. На елке 2-го побывали. Ничего страшного.
Митрич Кандидат наук Трехгорный 452 196
Отв.328  14 Янв. 11, 00:06
Все сделал, комп даже вроде как повеселей работать стал. Еще раз спасибо. И с новым годом.
waltor Научный сотрудник Красноярск 1.5K 316
Отв.329  14 Янв. 11, 09:48
Спанки,такой трабл.Стояло у меня два винта IDEшных,а тут прикупил SATAвский.Установил,всё путём.Система стоит на старом.
Но при запуске не грузит с винта,жму Esc,не помню как на вражеском,ну в общем ставлю загруз с винта и всё окей.Но в биос не могу войти,чтобы поставить это по умолчанию.
Непонимающий Непонимающий Непонимающий
SpankyHam Доцент Kiev 1.6K 387
Отв.330  14 Янв. 11, 09:59, через 11 мин
Вход в настройки БИОС ч-з Delete или F2
У врага, чаще всего, второе.
KD Научный сотрудник Танкоград 1.4K 648
Отв.331  14 Янв. 11, 10:18, через 20 мин
KD, как дела? Побороли?SpankyHam, 14 Янв. 11, 00:17
Если честно, то боролись не очень усердно, ибо я взял своей на кедре.
В общем прочесал комп сначала курейтом др. веба, потом утилитой от касперского. Первый нашел некритичную (архивы, еще что-то) бяку в количестве 3 шт. Второй одну, но уже какой-то экзешник. После курейта уже пропал экран блокировки, но рабочего стола не появилось. Стал возможен запуск диспетчера задач и проводника через него. На этом остановились, ибо на работу пора было.
ЗЫ
в общем сейчас комп грузится, появляются обои, и все, больше никакого интерфейса нет
SpankyHam Доцент Kiev 1.6K 387
Отв.332  14 Янв. 11, 10:33, через 15 мин
Рекомендации по-боку )))) простых путей не ищем!
Подсунь живой winlogon.exe userinit.exe и explorer.exe с рабочей машины.
Диспетчер задач волшебной комбинацией вызвать можешь?
Если да, ч-з него запусти редактор реестра.
Исправь ветку HKLM/software/microsoft/windows/windowsNT/winlogon параметр userinit к виду userinit.exe,
Если не вызывается, грузись в ПЕ и ч-з тамошний редактор реестра подключай куст из c:/windows/system32/config/SOFTWARE
Пишу по памяти, вроде пути ок...

зыж юниксовый слэш ФОРЕВА!
waltor Научный сотрудник Красноярск 1.5K 316
Отв.333  14 Янв. 11, 12:17
Друже,глянь пацана моего машинку,чё-то жалуется.
avz_sysinfo.zip 16.6 Кб
SpankyHam Доцент Kiev 1.6K 387
Отв.334  14 Янв. 11, 12:24, через 7 мин
Он еще запускается  
swile5.gif Восстановление работы ОС В
swile5.gif Восстановление работы ОС В. Современные технологии. Общение по интересам.

Ох уж мне эти переустановщики!

1. Чистка системы ч-з МПиУП авз
2. Выполнить скрипт
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS.0\system32\XP-6FA04023.EXE','');
QuarantineFile('C:\Program Files\Bonjour\mDNSResponder.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\intro.exe','');
QuarantineFile('C:\WINDOWS.0\system32\PnkBstrA.exe','');
SetServiceStart('PnkBstrA', 4);
DeleteService('PnkBstrA');
StopService('PnkBstrA');
TerminateProcessByName('c:\windows.0\system32\pnkbstrb.exe');
QuarantineFile('c:\windows.0\system32\pnkbstrb.exe','');
TerminateProcessByName('c:\windows.0\system32\pnkbstra.exe');
QuarantineFile('c:\windows.0\system32\pnkbstra.exe','');
DeleteFile('c:\windows.0\system32\pnkbstra.exe');
BC_DeleteFile('c:\windows.0\system32\pnkbstra.exe');
DeleteFile('c:\windows.0\system32\pnkbstrb.exe');
BC_DeleteFile('c:\windows.0\system32\pnkbstrb.exe');
BC_DeleteSvc('PnkBstrA');
DeleteFile('C:\WINDOWS.0\system32\PnkBstrA.exe');
BC_DeleteFile('C:\WINDOWS.0\system32\PnkBstrA.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\intro.exe');
BC_DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\intro.exe');
DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
BC_DeleteFile('C:\Program Files\Bonjour\mDNSResponder.exe');
DeleteFile('C:\WINDOWS.0\system32\XP-6FA04023.EXE');
BC_DeleteFile('C:\WINDOWS.0\system32\XP-6FA04023.EXE');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
3. После перезагрузки снова анализ, но в выпадающем меню выбери Все службы и драйверы
4. Прочеши SAS.
waltor Научный сотрудник Красноярск 1.5K 316
Отв.335  14 Янв. 11, 12:49, через 25 мин
Вот.
avz_sysinfo.zip 19.2 Кб
SpankyHam Доцент Kiev 1.6K 387
Отв.336  14 Янв. 11, 15:52
Валера,
1. Чистка системы ч-з МПиУП авз
2. Выполнить скрипт
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelCLSID('Windows Sidebar');
QuarantineFile('C:\WINDOWS.0\system32\hidec','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\WDICA.sys','');
SetServiceStart('WDICA', 4);
DeleteService('WDICA');
StopService('WDICA');
QuarantineFile('C:\WINDOWS.0\system32\drivers\PnkBstrK.sys','');
SetServiceStart('PnkBstrK', 4);
DeleteService('PnkBstrK');
StopService('PnkBstrK');
QuarantineFile('C:\WINDOWS.0\system32\drivers\PDRFRAME.sys','');
SetServiceStart('PDRFRAME', 4);
DeleteService('PDRFRAME');
StopService('PDRFRAME');
QuarantineFile('C:\WINDOWS.0\system32\drivers\PDRELI.sys','');
SetServiceStart('PDRELI', 4);
DeleteService('PDRELI');
StopService('PDRELI');
QuarantineFile('C:\WINDOWS.0\system32\drivers\PDFRAME.sys','');
SetServiceStart('PDFRAME', 4);
DeleteService('PDFRAME');
StopService('PDFRAME');
QuarantineFile('C:\WINDOWS.0\system32\drivers\PDCOMP.sys','');
SetServiceStart('PDCOMP', 4);
DeleteService('PDCOMP');
StopService('PDCOMP');
BC_DeleteSvc('PDCOMP');
DeleteFile('C:\WINDOWS.0\system32\drivers\PDCOMP.sys');
BC_DeleteFile('C:\WINDOWS.0\system32\drivers\PDCOMP.sys');
BC_DeleteSvc('PDFRAME');
DeleteFile('C:\WINDOWS.0\system32\drivers\PDFRAME.sys');
BC_DeleteFile('C:\WINDOWS.0\system32\drivers\PDFRAME.sys');
BC_DeleteSvc('PDRELI');
DeleteFile('C:\WINDOWS.0\system32\drivers\PDRELI.sys');
BC_DeleteFile('C:\WINDOWS.0\system32\drivers\PDRELI.sys');
BC_DeleteSvc('PDRFRAME');
DeleteFile('C:\WINDOWS.0\system32\drivers\PDRFRAME.sys');
BC_DeleteFile('C:\WINDOWS.0\system32\drivers\PDRFRAME.sys');
BC_DeleteSvc('PnkBstrK');
DeleteFile('C:\WINDOWS.0\system32\drivers\PnkBstrK.sys');
BC_DeleteFile('C:\WINDOWS.0\system32\drivers\PnkBstrK.sys');
BC_DeleteSvc('WDICA');
DeleteFile('C:\WINDOWS.0\system32\drivers\WDICA.sys');
BC_DeleteFile('C:\WINDOWS.0\system32\drivers\WDICA.sys');
DeleteFile('C:\WINDOWS.0\system32\hidec');
BC_DeleteFile('C:\WINDOWS.0\system32\hidec');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки попробуй, расскажи симптомы, сделай еще один, такой-же отчет.
Поставь туда антивирус, хоть долбаный аваст. Все-ж защита.
Устаови туда SAS не портэйбл, периодически обновляй и прогоняй.
SpankyHam Доцент Kiev 1.6K 387
Отв.337  14 Янв. 11, 16:20, через 28 мин
KD, в дополнение к этому [сообщение #11341978] моему к тебе посту:
Чем плохи машинные тупые сканеры? Вот твой пример показателен.
Бацилла заменила или заразила важный системный файл типа userinit, explorer, winlogon или svchost, или дописала в параметр userinit вместо userinit.exe, - userinit.exe,xynbambcem.exe,yopt.dll
Тупой паук вырывает нахер файлы, ничего не дав взамен. А винда доходит до загрузки userinit и становится в затык, потому, что, либо файла нету, либо йопт.длл , которых и нафиг не нужен отсутствует. А ленивый админ чешет репу и вспоминает "формат что?", и где дистрибутив...
авз дает возможность увидеть все, что грузится и не грузится, подключить или отключить, вернуть взад и тд.
Исправляем одну строку в реестре, суем из бэкапа нужный файл, вместо фальшивого, ошеломленный владелец, увидев, как Писюк вдруг заработал, как ни в чем ни бывало, несет к кедровке добавку и закуску. И пьете, ну совсем с другим настроением!
waltor Научный сотрудник Красноярск 1.5K 316
Отв.338  14 Янв. 11, 17:07, через 47 мин
Сделал.Сас и антивирус качаю.
avz_sysinfo.zip 18.5 Кб
SpankyHam Доцент Kiev 1.6K 387
Отв.339  14 Янв. 11, 17:15, через 9 мин
Чисто.