Очередная проблема: вирусы!

[safety]

нет, все нормально,
продолжайте.
это не ошибка, это сообщение программы об отсутствие файла MAIN (,библиотека чистых SHA). для создания полного образа автозапуска и выполнения скрипта он(main) здесь не нужен.

 

[Танечка]

нет, все нормально,
продолжайте.

теперь нужно сохранить? Это следующий шаг?
Это то, что нужно получить в результате?

 

[safety]

вы что-то усложняете.
надо просто создать полный образ автозапуска.
файл - сохранить полный образ автозапуска.
по той же инструкции, что и первый раз
http://www.tehnari.ru/f150/t81269/

 

[Танечка]

вы что-то усложняете.
надо просто создать полный образ автозапуска.
файл - сохранить полный образ автозапуска.
по той же инструкции, что и первый раз
http://www.tehnari.ru/f150/t81269/

надеюсь, что теперь не перестаралась ))

 

[safety]

все верно сейчас.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\XTAB\PROTECTSERVICE.EXE
addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb]

delall %SystemRoot%\MICROSOFT\UPDATINGSERVICEMED\MEDIA PLAYER ZNEWVERSIONDOWNLOADER.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\DRIVERS\{C1023AE9-A477-4D0B-813F-4C6B1BA14DA6}GW.SYS
del %Sys32%\DRIVERS\{C1023AE9-A477-4D0B-813F-4C6B1BA14DA6}GW.SYS

; Java(TM) 6 Update 16
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet

deldirex %SystemDrive%\PROGRAM FILES\XTAB

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
----------
+
обновите java до актуальной версии, возможно через нее пробивает.
Java SE Runtime Environment 7 - Downloads | Oracle Technology Network | Oracle

 

[Танечка]

все верно сейчас.

выполняем скрипт в uVS

при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
----------
+
обновите java до актуальной версии, возможно через нее пробивает.
Java SE Runtime Environment 7 - Downloads | Oracle Technology Network | Oracle

выполнила все, перезагрузка прошла автоматически, но вот деинсталляции не было (либо подтверждение не попросил)

и еще новые проблемы могут вылезти сразу?

 

[safety]

обновите flash player для IE
Flash Player | Adobe Flash Player | Overview
обновите Firefox
https://www.mozilla.org/ru/firefox/new/
обновите java
Java SE Runtime Environment 7 - Downloads | Oracle Technology Network | Oracle
-------------
проверьте так же чтобы ваш Microsoft Essentials обновлял базы.

дальше видно будет.

 

[DDREDD]

кошмар, уже пять страниц и два дня телодвижений а проверить все антивирусами заняло бы пару тройку часов без шаманства и плясок с бубном вокруг костра. Но это наверное какой то прикол ковыряться в кишках системы, обычно к этому склонны линуксоиды
P.S. С интересом наблюдаю когда же все закончится

 

[Танечка]

С интересом наблюдаю когда же все закончится

Наблюдайте, кто ж вам запрещает

если бы проверки было достаточно, то и не было бы лишних телодвижений. Хорошо, когда встречаются не просто умные люди, но и те, кто готов помочь другому.

*Не боги горшки обжигают...

 

[DDREDD]

если бы проверки было достаточно, то и не было бы лишних телодвижений.

А вы проверили?
Мне компов и ноутов со всякой вирусней в день по пятаку приносят. Да, проверки не всегда достаточно, кое что надо и руками подчистить, но уж лучше 90% сделает программа а 10% доделать руками чем каждую машину вот так по ниткам перебирать. Но дело конечно ваше.

*Не боги горшки обжигают...

Ну так антивирусы тоже ребята не пальцем деланные пишут

 

[Танечка]

А вы проверили?


Ну так антивирусы тоже ребята не пальцем деланные пишут

конечно проверила. и не один раз, но когда уже проверки не помогли и написала на форум....
А про богов, это не к программистам относится. Их умом я всегда поражена, но вот мне простому обывателю нужна помощь, за которой я и обращаюсь иногда на этот форум.

 

[DDREDD]

Ну, ладно в чужой монастырь со своим уставом не лезу, удачи вам в борьбе с нечистью

 

[Танечка]

Ну, ладно в чужой монастырь со своим уставом не лезу, удачи вам в борьбе с нечистью

спасибо

 

[safety]

DDREDD,
эпопея на 5 страниц развернулась, как раз с вашей подачи. поскольку пришлось скриптом не только вычищать, то что не нашел Cureit, но и пересоздавать Winsock, поскольку удаленный троян был прописан в winsock, и после его удаления cureit не зачистил соответствующие записи в реестре.

Полное имя C:\WINDOWS\SYSTEM32\VCL.DLL
Имя файла VCL.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL в автозапуске

Статус ВИРУС
Сигнатура Win32/Komodia.A [глубина совпадения 64(64), необх. минимум 64, максимум 64]

Удовлетворяет критериям
WINSOCK2 (ССЫЛКА ~ \PACKEDCATALOGITEM)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ DLL в автозапуске
File_Id 550AFDA91F000
Linker 9.0
Размер 335064 байт
Создан 25.03.2015 в 08:48:18
Изменен 20.03.2015 в 21:54:20

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001\PackedCatalogItem

Ссылка HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002\PackedCatalogItem

Ссылка HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003\PackedCatalogItem

Ссылка HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004\PackedCatalogItem

Ссылка HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000046\PackedCatalogItem
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

в итоге потеряли доступ в инет.
(хорошо, что на этом месте вы благоразумно ушли в тень, иначе бы здесь было не 5, а 15 страниц.)

Без этого исправления, хватило бы первого скрипта в uVS + зачистку утилитами mbam, adwcleaner, frst которые сканируют систему за 5-10 минут, в отличие от скана на несколько часов в cureit, kavtool.

cureit, kavtool (еще лучше в составе загрузочных дисков) хороши в одном случае, когда имеем дело с файловым заражением. + уйму времени. поставил сканировать. можно сходит в магазин за продуктами, сварить борщ, обзвонить друзей и обсудить сериалы или выступления артистов в проекте "живой голос". еще и поспать хватит времени. (а утром проверить логи)

 

[Танечка]

Safety, а Вам огромное спасибо! Вы помогаете мне уже не в первый раз, тратите на меня и мои вирусы массу своего времени!
Я уверена на 200%, что без вашей помощи я бы точно не справилась...

А про курейт Вы точно подметили tehno025 и :ctivo: и много чего еще

 

[DDREDD]

эпопея на 5 страниц развернулась, как раз с вашей подачи.

Ну да, куда уж нам убогим...

(хорошо, что на этом месте вы благоразумно ушли в тень, иначе бы здесь было не 5, а 15 страниц.

Я просто не стал мешать вам блистать в лучах славы.

в отличие от скана на несколько часов в cureit, kavtool.

В самом деле, куда уж ведущим антивирусным системам до супер утилит...

хватило бы первого скрипта в uVS

Хватило бы держать в системе нормальный антивирус с постоянно актуальными базами и никаких телодвижений вообще не надо было бы.

и много чего еще

Да уж, вот так и помогай. Ну да ладно чего ещё было ждать...

 

[Танечка]

Да уж, вот так и помогай. Ну да ладно чего ещё было ждать...

Вы обижены? Разве я сказала это в Ваш адрес??
а помогать нужно
я ноль в этом, поэтому сама никому ничем помочь не могу, а вот те, кто может... Помогайте, пожалуйста

 

[safety]

DDREDD,

Я просто не стал мешать вам блистать в лучах славы.

готов с вами вот этой теме
http://www.tehnari.ru/f150/t84011/
поделиться опытом и будущими "лучами славы", потому что объективно, если перефразировать известного гангстера "С помощью доброго слова и пистолета, можно добиться гораздо большего, чем с помощью одного только доброго слова" -

с помощью Cureit-а и Universal Virus Sniffer можно добиться большего, чем просто с помощью Cureit-а.

 

[AlexZir]

Александры, брек!
UVS достаточно мощный сканер, вкупе с другим инструментарием, и ведущие разработчики антивирусов не гнушаются на своих форумах его советовать при устранении заразы.

P.S.
Еще быстрее было бы реинсталлить систему, но, памятуя о возникших у топикстартера в прошлом проблемах с установкой "окошек", не в данном конкретном случае.

 

[DDREDD]

готов с вами вот этой теме

Спасибо за приглашение, но если честно моя работа очень разносторонняя а время очень ограничено, поэтому на изучение данного материала у меня нет времени, тем более что мой личный компьютер никогда не заражается ввиду постоянного использования ESET NOD32 Smart Security с постоянным подключением к инету (то есть базы всегда актуальны) - за 7 лет его использования я проблем с вирусами не знал (хотя мои жена и ребенок далеки от уверенного пользования компьютером) + браузер с AdBlock (никакой мельтешащей ерунды в окнах).
А для клиентских компов есть сканеры антивирусов о которых я писал + LiveCD + голова

с помощью Cureit-а и Universal Virus Sniffer можно добиться большего, чем просто с помощью Cureit-а.

С этим я вполне согласен и об этом я уже писал, когда говорил что вначале я бы все просканил а затем исправил косяки.
P.S. Рад что разговор не перерос в склоку

Александры, брек!

Мы вроде уже разобрались, но я в любом случае отстраняюсь от темы.