126 ответов в этой теме

[mrbelyash]

Valery Ledovskoy, kak ya i dumala. T.k. u menya Dr.Web udalil virusi to okno informera propalo i teper' pri otkritii 4ego-libo ono poyavlyaetsya na sekundu bez bukv i so zvukom oshibki is4ezaet srazu je((((
A 4to teper' mojno sdelat'? esli ran'she komp sam virubalsya, to teper' on voodshe ne viklyu4aetsya poka ego ne otkyu4ish ot seti i batareyu ne vinesh(((
4to mojno sdelat'?Pri otkritii AVZ visnet srazu je((((
Toje ne mogu ponyat' gde ego podhvatila. V kontakte ne ka4ala prilojeniya. Tol'ko 4erez ICQ esli.

Можете запустить Хайджек? Редактор реестра? Если не открываются, попробуйте переименовать во что-то нейтральное - setup.exe, explorer.com, install.pif и т. д.

K sojaleniya ne znayu 4to takoe Hijeck((( dumayu u menya ego net( reestr kone4no je zablokirovan. Vse zablokirovano krome prosmotra kartinok.
Sey4as daje pereimenovet' ne mogu,t.k. kak tol'ko zagrujayu papku i ok vidit AVZ srazu visnet ili blokiruetsya. Zavtra budet vozmojnost' na drugom kompe pereimenovat', poprobuyu. A virus ne peredastsya na drugoy komp?A to mne strashno uje)))

HJ и прочие утилиты можно взять по ссылке с этой темы http://forum.drweb.com/index.php?showtopic=277652

[Dartline]

kristi
попробуйте загрузится в безопасном режиме и запустить avz, если не запустится, попробуйте переименовать файл аvz во что-нибудь нейтральное, я переименовал в rundll32.exe. При запуске первое впечатление что комп завис, но минуты через две AVZ запустился. В программе зайдите в меню Файл-Мастер поиска и устранения проблем, нажмите пуск и устраните проблемы с ограничениями.
Удачи.

[Dartline]

Нелперы, так что всё таки означает вот эта связка?
[Проверяемый путь] c:\windows\inf\netngr.inf:qrtlwjyqpid
Взято из лога ДрВеба в момент запуска заражённой системы.

[mrbelyash]

Нелперы, так что всё таки означает вот эта связка?
[Проверяемый путь] c:\windows\inf\netngr.inf:qrtlwjyqpid
Взято из лога ДрВеба в момент запуска заражённой системы.

Сожмите файл винраром вместе с потоками и в вирлаб.

[Borka]

Нелперы, так что всё таки означает вот эта связка?
[Проверяемый путь] c:\windows\inf\netngr.inf:qrtlwjyqpid

Это значит, что есть файл c:\windows\inf\netngr.inf (скорее всего, нормальный), и у него есть поток по имени qrtlwjyqpid (скорее всего, суслик). Подробности в Гугле по "ADS" (alternate data stream).

[PAUK]

Подробности в Гугле по "ADS" (alternate data stream).

NTFS Alternate Data Stream VIDEO

[Dartline]

Вместе с потоками это как?
Я смотрел, это inf драйвера адаптера NETGEAR FA310TX Fast Ethernet

[Dartline]

скорее всего, суслик

Вот когда я суслика убил, всё и прекратилось.
Но вот значения qrtlwjyqpid ни в реестре, ни в системе не наблюдается.

[Borka]

Вместе с потоками это как?

С потоками - это так:
rar a -os archivename filename.ext

Я смотрел, это inf драйвера адаптера NETGEAR FA310TX Fast Ethernet

Так файл-то сам по себе нормальный. А вот поток - от суслика.

[PAUK]

Вместе с потоками это как?

С потоками - это так:
rar a -os archivename filename.ext

или через настройки RAR, так:

Прикрепленные файлы:

•  rar.PNG   144,35К   90 Скачано раз

[mrbelyash]

Нарыл програмку для удаления потоков.На свой страх и риск

http://download.bleepingcomputer.com/Merijn/adsspy.zip

[Dartline]

Это чтоб заархивировать файл с потоками мне нужно опять попытаться запустить вирус? Но я убил эту ветку в реестре c:\windows\inf\netngr.inf:qrtlwjyqpid Можно конечно попробовать скинуть этот файл опять в папку INF и попробовать перезагрузить комп. Как думаете, получу я банер обратно?

[Borka]

Нарыл програмку для удаления потоков.На свой страх и риск

Ну, таких программ много.

[mrbelyash]

Нарыл програмку для удаления потоков.На свой страх и риск

Ну, таких программ много.

А чтоб не удаляла,а сохраняла -есть?

[Dartline]

уже прогнал вашей программкой adsspy
вот что получилось. что это значит?

Прикрепленные файлы:

•  ads.JPG   88,42К   104 Скачано раз

[mrbelyash]

уже прогнал вашей программкой adsspy
вот что получилось. что это значит?

Наверное нужно было бы указать папку c:\windows\inf\

[Dartline]

уже прогнал вашей программкой adsspy
вот что получилось. что это значит?

Наверное нужно было бы указать папку c:\windows\inf\

Не, там чисто. А что за поток у win.ini может быть?
И как снять с файла атрибут системный скрытый?

[Borka]

Нарыл програмку для удаления потоков.На свой страх и риск

Ну, таких программ много.

А чтоб не удаляла,а сохраняла -есть?

Есть NTFS Stream Explorer, есть StreamTools. Линков нет.

[Borka]

И как снять с файла атрибут системный скрытый?

В ФАРе: стать на файл, нажать Ctrl-A и убрать/поставить нужные атрибуты.

[Dartline]

И как снять с файла атрибут системный скрытый?

В ФАРе: стать на файл, нажать Ctrl-A и убрать/поставить нужные атрибуты.

Ок. В Тоталкоммандере тоже самое можно, я разобрался. А то через контестное меню атрибут не меняется.
Ну а я перезагрузился и соответственно - ничего. Всё пропало.
Интересно, чтож это за поток такой был , с чем он был связан?
Файл в вирлабе и у меня есть. Экспериментировать будем?