-
Уважаемый посетитель!!!
Если Вы уже являетесь зарегистрированным участником проекта "миХей.ру - дискусcионный клуб",
пожалуйста, восстановите свой пароль самостоятельно, либо свяжитесь с администратором через Телеграм.
Trotil
Команда "У.М."
Shoukeir
Хорошее описание проблемы и логи есть.
Картина более-менее ясна.
Сначала разберемся с WinXXX.sys.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Компьютер уйдет в перезагрузку,
в папке AVZ появится папка Quarantine, нужно прислать ее содержимое: поместить в запароленный архив и залить на файлообменник.
После этого сделать пункт 11 и получить один лог AVZ и также прислать его.
Хорошее описание проблемы и логи есть.
Картина более-менее ясна.
Сначала разберемся с WinXXX.sys.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Wje20.sys','');
DeleteService('Winyv86');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyv86.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winyv86 ');
BC_Activate;
RebootWindows(true);
end.Компьютер уйдет в перезагрузку,
в папке AVZ появится папка Quarantine, нужно прислать ее содержимое: поместить в запароленный архив и залить на файлообменник.
После этого сделать пункт 11 и получить один лог AVZ и также прислать его.
Shoukeir
Участник
Quarantine пароль: 5708810
Trotil
Команда "У.М."
Не поймался этот Wje20.sys и в системе остается.
Попробуй такое: АВЗ--сервис--поиск файлов на диске.
http://virusinfo.info/showthread.php?t=1235
Приложение 2 (в самом низу)
Только не им присылать надо, а мне.
Попробуй такое: АВЗ--сервис--поиск файлов на диске.
http://virusinfo.info/showthread.php?t=1235
Приложение 2 (в самом низу)
Только не им присылать надо, а мне.
я ненавижу компьютер даже не из за того что глаза и спина из-за него болит а из за троянов и вирусов! причём в чём парадокс - стоит у меня антивирусник ловит их лечит и т д НО ТОРМОЗА такие же как и БЕЗ АНТИВИРУСА но с троянами вывод ? -> лучше без антивируса так как гемороя с обновлениями и лицензией нет
Shoukeir
Участник
Trotil
Не добавляется он в карантин, пустая папка создается. Пишет: "Ошибка карантина файла, попытка прямого чтения (C:/Windows/system32/Wje20.sys). Карантин с использованием прямого чтения - ошибка."
P.S. А winlogon.exe больше не вылезает, и Каспер никаких троянов не находит. Правда, вчера в середине дня один раз вылезло:
Процесс C:\WINDOWS\System32\svchost.exe (PID: 1580): попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, значение Start Menu, данные) заблокирована.
Не добавляется он в карантин, пустая папка создается. Пишет: "Ошибка карантина файла, попытка прямого чтения (C:/Windows/system32/Wje20.sys). Карантин с использованием прямого чтения - ошибка."
P.S. А winlogon.exe больше не вылезает, и Каспер никаких троянов не находит. Правда, вчера в середине дня один раз вылезло:
Процесс C:\WINDOWS\System32\svchost.exe (PID: 1580): попытка записи состав модулей, загружаемых при старте компьютера (ключ HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, значение Start Menu, данные) заблокирована.
Trotil
Команда "У.М."
Shoukeir написал(а):
Попробуй в безопасном режиме.
Если и там не получится - фиг с ним.
Shoukeir написал(а):
Это он у тебя настроен в режим паранойи, и ругается и с поводом, и без повода )
Там полно опасностей помимо тормозов:АртёмкА написал(а):
- похитив пароли, тебе могут нагадить на ресурсах
- украть пароли к электронным счетам
- твой комп может стать атакующим звеном для атаки на чужом комп
- помимо тормозов могут быть зависания, порда ОС и твоих данных.
(вышесказанное относится не только к троянам, но и к другим классам вредоносных программ)
Ну я так и думал - главную проблему нейтрализовали.Shoukeir написал(а):
Осталась по мелочи.
Из-за переезда на другой сервер пока что не могу скачивать аттачи. Мы сегодня с админом это исправим и тогда разберу остальные моменты.
Shoukeir
Участник
Честно говоря, я поленилась в безопасном режиме ловить Wje20.sys... Вот сейчас ради интереса сделала поиск этого файла на С, комп его не нашел.
Пока вроде все тихо, вирусы не лезут.
И количество svchost.exe тоже уменьшилось с 9 штук до 6 (как раньше было). Наверное, можно спать спокойно.
Пока вроде все тихо, вирусы не лезут.
И количество svchost.exe тоже уменьшилось с 9 штук до 6 (как раньше было). Наверное, можно спать спокойно.
Trotil
Команда "У.М."
Если данные IP неизвестны - удалить.
Удалить. Мусор от вируса...
Удалить - это
1) Еще раз прогнать прогой
2) Отметить галочкой указанные пункты
3) Нажать Fix Checked.
И. Меня очень заинтересовал srv.exe, очень-очень подозрительный.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('srv.exe','');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Выполни и проверь, поймается ли что-то.
Если поймается - нужно прислать.
Trotil
Команда "У.М."
Ага. Вот такой скрипт напоследок нужно выполнить:
Прислать только лог программы HiJackThis.
И тогда будет порядок
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('dmadminseclogon');
DeleteService('NetDDEdsdmDnscache');
DeleteService('NetDDEdsdmDnscacheBrowser');
DeleteService('nTuneServiceUMWdf');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('dmadminseclogon');
BC_DeleteSvc('NetDDEdsdmDnscache');
BC_DeleteSvc('NetDDEdsdmDnscacheBrowser');
BC_DeleteSvc('nTuneServiceUMWdf');
BC_Activate;
RebootWindows(true);
end.Прислать только лог программы HiJackThis.
И тогда будет порядок
Хранитель кошачей мяты
Сэнсэй
Есть хорошая прога, когда фаил не удаляется. Unlocker 1.86 ищите в инете или на дисках журналов Computerbuild, Хакер, Chip и т.д. Позволяет разблокировать используемый процессом фаил, заодно и удалить.
lessi
Гуру
При удалении программы Mail.ru, выскочила противная табличка, спрашивает о необходимости отката, несмотря на то что программу то я всё же удалила.
Теперь эта табличка висит у меня перед очами, и что делать с ней не знаю! Если делать откат, то по-видимому, на то время когда была установлена эта прога (около2-3 месяцев назад), а это слишком много!
Теперь эта табличка висит у меня перед очами, и что делать с ней не знаю! Если делать откат, то по-видимому, на то время когда была установлена эта прога (около2-3 месяцев назад), а это слишком много!
Похожие темы
