HJ и прочие утилиты можно взять по ссылке с этой темы http://forum.drweb.com/index.php?showtopic=277652Можете запустить Хайджек? Редактор реестра? Если не открываются, попробуйте переименовать во что-то нейтральное - setup.exe, explorer.com, install.pif и т. д.Valery Ledovskoy, kak ya i dumala. T.k. u menya Dr.Web udalil virusi to okno informera propalo i teper' pri otkritii 4ego-libo ono poyavlyaetsya na sekundu bez bukv i so zvukom oshibki is4ezaet srazu je((((
A 4to teper' mojno sdelat'? esli ran'she komp sam virubalsya, to teper' on voodshe ne viklyu4aetsya poka ego ne otkyu4ish ot seti i batareyu ne vinesh(((
4to mojno sdelat'?Pri otkritii AVZ visnet srazu je((((
Toje ne mogu ponyat' gde ego podhvatila. V kontakte ne ka4ala prilojeniya. Tol'ko 4erez ICQ esli.
K sojaleniya ne znayu 4to takoe Hijeck((( dumayu u menya ego net( reestr kone4no je zablokirovan. Vse zablokirovano krome prosmotra kartinok.
Sey4as daje pereimenovet' ne mogu,t.k. kak tol'ko zagrujayu papku i ok vidit AVZ srazu visnet ili blokiruetsya. Zavtra budet vozmojnost' na drugom kompe pereimenovat', poprobuyu. A virus ne peredastsya na drugoy komp?A to mne strashno uje)))
Теперь под видом Internet Security
#21
Отправлено 08 Январь 2010 - 21:34
#22
Отправлено 08 Январь 2010 - 22:13
попробуйте загрузится в безопасном режиме и запустить avz, если не запустится, попробуйте переименовать файл аvz во что-нибудь нейтральное, я переименовал в rundll32.exe. При запуске первое впечатление что комп завис, но минуты через две AVZ запустился. В программе зайдите в меню Файл-Мастер поиска и устранения проблем, нажмите пуск и устраните проблемы с ограничениями.
Удачи.
Сэр Уинстон Черчилль
#23
Отправлено 08 Январь 2010 - 22:15
[Проверяемый путь] c:\windows\inf\netngr.inf:qrtlwjyqpid
Взято из лога ДрВеба в момент запуска заражённой системы.
Сэр Уинстон Черчилль
#24
Отправлено 08 Январь 2010 - 22:17
Нелперы, так что всё таки означает вот эта связка?
[Проверяемый путь] c:\windows\inf\netngr.inf:qrtlwjyqpid
Взято из лога ДрВеба в момент запуска заражённой системы.
Сожмите файл винраром вместе с потоками и в вирлаб.
#25
Отправлено 08 Январь 2010 - 22:22
Это значит, что есть файл c:\windows\inf\netngr.inf (скорее всего, нормальный), и у него есть поток по имени qrtlwjyqpid (скорее всего, суслик). Подробности в Гугле по "ADS" (alternate data stream).Нелперы, так что всё таки означает вот эта связка?
[Проверяемый путь] c:\windows\inf\netngr.inf:qrtlwjyqpid
Борис А. Чертенко aka Borka.
#26
Отправлено 08 Январь 2010 - 22:30
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#27
Отправлено 08 Январь 2010 - 22:31
Я смотрел, это inf драйвера адаптера NETGEAR FA310TX Fast Ethernet
Сэр Уинстон Черчилль
#28
Отправлено 08 Январь 2010 - 22:35
Вот когда я суслика убил, всё и прекратилось.скорее всего, суслик
Но вот значения qrtlwjyqpid ни в реестре, ни в системе не наблюдается.
Сэр Уинстон Черчилль
#29
Отправлено 08 Январь 2010 - 22:44
С потоками - это так:Вместе с потоками это как?
rar a -os archivename filename.ext
Так файл-то сам по себе нормальный. А вот поток - от суслика.Я смотрел, это inf драйвера адаптера NETGEAR FA310TX Fast Ethernet
Борис А. Чертенко aka Borka.
#30
Отправлено 08 Январь 2010 - 22:49
С потоками - это так:Вместе с потоками это как?
rar a -os archivename filename.ext
или через настройки RAR, так:
Прикрепленные файлы:
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.
#31
Отправлено 08 Январь 2010 - 22:50
http://download.bleepingcomputer.com/Merijn/adsspy.zip
#32
Отправлено 08 Январь 2010 - 22:57
Сэр Уинстон Черчилль
#33
Отправлено 08 Январь 2010 - 22:58
Ну, таких программ много.Нарыл програмку для удаления потоков.На свой страх и риск
Борис А. Чертенко aka Borka.
#34
Отправлено 08 Январь 2010 - 23:03
А чтоб не удаляла,а сохраняла -есть?Ну, таких программ много.Нарыл програмку для удаления потоков.На свой страх и риск
#35
Отправлено 08 Январь 2010 - 23:05
вот что получилось. что это значит?
Прикрепленные файлы:
Сэр Уинстон Черчилль
#36
Отправлено 08 Январь 2010 - 23:08
Наверное нужно было бы указать папку c:\windows\inf\уже прогнал вашей программкой adsspy
вот что получилось. что это значит?
#37
Отправлено 08 Январь 2010 - 23:13
Не, там чисто. А что за поток у win.ini может быть?Наверное нужно было бы указать папку c:\windows\inf\уже прогнал вашей программкой adsspy
вот что получилось. что это значит?
И как снять с файла атрибут системный скрытый?
Сэр Уинстон Черчилль
#38
Отправлено 08 Январь 2010 - 23:14
Есть NTFS Stream Explorer, есть StreamTools. Линков нет.А чтоб не удаляла,а сохраняла -есть?Ну, таких программ много.Нарыл програмку для удаления потоков.На свой страх и риск
Борис А. Чертенко aka Borka.
#39
Отправлено 08 Январь 2010 - 23:17
В ФАРе: стать на файл, нажать Ctrl-A и убрать/поставить нужные атрибуты.И как снять с файла атрибут системный скрытый?
Борис А. Чертенко aka Borka.
#40
Отправлено 08 Январь 2010 - 23:31
Ок. В Тоталкоммандере тоже самое можно, я разобрался. А то через контестное меню атрибут не меняется.В ФАРе: стать на файл, нажать Ctrl-A и убрать/поставить нужные атрибуты.И как снять с файла атрибут системный скрытый?
Ну а я перезагрузился и соответственно - ничего. Всё пропало.
Интересно, чтож это за поток такой был , с чем он был связан?
Файл в вирлабе и у меня есть. Экспериментировать будем?
Сэр Уинстон Черчилль
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых