Перейти к содержимому


Фото
- - - - -

Cms K706113800 на 4460


  • Please log in to reply
87 ответов в этой теме

#21 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 03 Январь 2010 - 11:18

Систему удалось вылечить после того, как я скачал загрузочный ERDCommander 6.5.
После загрузки, включил поиск файла по размеру. Размер был файла был взят с тех, что вирус сбрасывал на флешку. Все файлы вируса локализовались в папке Windows\system32 и Documents and Settings\имя пользователя\Local Settings\Temp. Все файлы моего вируса были датированы 07.03.2008. После их удаления, система заработала нормально. С помощью AVZ удалил все ограничения установленные вирусом в системе. Файл запуска AVZ пришлось переименовать в rundll32.exe, т.к. под своим именем он не запускался.
Просканировал систему CureIt-ом от 03.01.2010 9:03 - вирусов не обнаружено (хотя может быть его так и нет в базе :( )
Всем спасибо, всех с праздником.Не болейте!
Спасибо ERDCommander-у!

Прикладываю файл хиджака. Посмотрите пожалуйста, может ещё чего пофиксить?

Прикрепленные файлы:


Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль

#22 r2d2

r2d2

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 03 Январь 2010 - 11:39

задолбался искать решение, в итоге было проделано:

вирус закачивается к вам с сайта, в файл *.tmp
от туда переименовываясь в exe запускается
качает с инета остатки и вкладывается в dll в папку system32
и прописывается в реестре
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="XXXXXXXXXX.dll"
удаляем этот ключ в реестре и все что связано AppInit
затем удаляем указанный dll и чистим временные файлы всего (windows, ie, ...)
и последнее необходимо сделать поиск похожих файлов с таким же размером, что был прописан в ключе реестра в system32 и тоже удалить

ах, да. я подгружал ветки реестра на рабочей машине через regedt32 - HKEY_LOCAL_MACHINE - Load Hive
справка есть в инете на странице по адресу - http://smallvoid.com/article/winnt-offline...istry-edit.html

все проделанное реанимировало машину и работа восстановилась

Сообщение было изменено Borka: 04 Январь 2010 - 03:29
link deleted


#23 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 01:08

Систему удалось вылечить после того, как я скачал загрузочный ERDCommander 6.5.
После загрузки, включил поиск файла по размеру. Размер был файла был взят с тех, что вирус сбрасывал на флешку. Все файлы вируса локализовались в папке Windows\system32 и Documents and Settings\имя пользователя\Local Settings\Temp. Все файлы моего вируса были датированы 07.03.2008. После их удаления, система заработала нормально. С помощью AVZ удалил все ограничения установленные вирусом в системе. Файл запуска AVZ пришлось переименовать в rundll32.exe, т.к. под своим именем он не запускался.
Просканировал систему CureIt-ом от 03.01.2010 9:03 - вирусов не обнаружено (хотя может быть его так и нет в базе :( )
Всем спасибо, всех с праздником.Не болейте!
Спасибо ERDCommander-у!

Прикладываю файл хиджака. Посмотрите пожалуйста, может ещё чего пофиксить?



Я что-то не понимаю: ERDCommander не смог найти :( Или я то-то не догоняю (я не спец)... Я нашел то, что вроде бы пришло ему на смену: MSDaRT Tools... Но он мне не сильно помогает. После нескольких попыток удается запустить только CureIt! Dr.Web Scanner for Windows v.5.00.11.12280.
Она читает диски и выдает 44 вируса (прикладываю список). После этого говорит, что надо качнуть полную версию, но она у меня не запускается: качаю ее с другого компа, потом с флешки копирую на диск (либо запускаю с флешки). Иногда срабатывает, иногда говорит, что ей надо сделать временную директорию на Х: (с которого я собственно и гружу систему вместе с MS DaRTом). Понятно, что на CD она ее не может сделать. Ну и на этом все заканчивается. Так же, как и с несколькими другими антивирусными программами, которые тоже, судя по всему, перехватываются заразой и направляются для распаковки на загрузочный CD ROM. Где все и заканчивается. Полная версия ДрВэба начинает распаковываться и тихо умирает по дороге...

Вот что получилось на данный момент:

c:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ...Local Settings\Temp - Trojan.Packed.19247 (41 файл DLL по 147968 байт);

c:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\PVSY1QBX\lload(1).exe - Trojan.Botnetlog.126 (1 ехе-шник, 28160 байт - с него все и началось);

c:\Documents and Settings\11BD~1.VYE\Local Settings\Temp - этой директорией вообще интересно: создана учетная запись АДМИНИСТРАТОР.USER (при этом USER назван как компиляция двух ников, которыми я пользуюсь, но вмсте никогда не пишу. Туда тоже нарисовались два ДЛЛ: 2 files Trojan.Packed.19247 (fgdbzm.dll & lihcnd.dll).

ДЛЛки датированы 15 апреля 08, load.exe - 30 декабря. Попал ко мне с какого-то сайта с текстами песен и аккордами для гитары.

Я поубивал вручную все эти файлы, но не помогло. Эта зараза все равно выжила :(.

И чего делать?

#24 Dartline

Dartline

    Newbie

  • Posters
  • 45 Сообщений:

Отправлено 04 Январь 2010 - 01:58

Я загрузился с диска ERDCommander 6.5 версия 2009 года.
Для чистоты удалите всё из всех папок Temp и Temporary Internet Files.
На двойные имена не обращайте внимания, они образуются если переустанавливаешь Windows поверх старого.
Вы сканировали папку win/system32? Пройдитесь поиском по этой папке, задав в параметре имя файла *.dll или *.* , а в значениях размер файла
свои данные 147968 байт. Все найденные файлы удалите. Перезагрузитесь в безопасном режиме. Переименуйте AVZ как сказано выше и запустите его. С его помощью снимите все ограничения в системе. После этого можно будет полность просканировать систему.

Старая версия 2007 у меня не пошла, не знаю почему, но она не видела мою установленную систему. 2007 я качал отсюда образ 50Мб, а 2009 был в составе пака 3в1 699Мб.
Всегда помни, что я взял от алкоголя больше, чем он забрал у меня.
Сэр Уинстон Черчилль

#25 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 12:16

Я загрузился с диска ERDCommander 6.5 версия 2009 года.
Для чистоты удалите всё из всех папок Temp и Temporary Internet Files.
На двойные имена не обращайте внимания, они образуются если переустанавливаешь Windows поверх старого.
Вы сканировали папку win/system32? Пройдитесь поиском по этой папке, задав в параметре имя файла *.dll или *.* , а в значениях размер файла
свои данные 147968 байт. Все найденные файлы удалите. Перезагрузитесь в безопасном режиме. Переименуйте AVZ как сказано выше и запустите его. С его помощью снимите все ограничения в системе. После этого можно будет полность просканировать систему.

Старая версия 2007 у меня не пошла, не знаю почему, но она не видела мою установленную систему. 2007 я качал отсюда образ 50Мб, а 2009 был в составе пака 3в1 699Мб.



Спа... А Где взять нормальную 6.5 2009 года? MS DaRTS мою систему тоже не видит, посему править нечего... А качать с сайтов, выпадающих через результаты поиска - стремно... Обжегшись на молоке - дую на воду... А по размеру у меня в \system32\ несколько ДЛЛ (идентичных по размеру и дате вирусам - 147968 байт от 15 апр 08), но все они - под "легальными именами" Есть еще десяток-другой файлов с то же датой, но другого размера (и большего и меньшего). Складывается впечатление, что эта сука поменяла даты по системе очень вольно, генерит свои ДЛЛки из кусков, разбросанных по диску, которые не определяются антивирусами...

#26 bvas

bvas

    Advanced Member

  • Posters
  • 558 Сообщений:

Отправлено 04 Январь 2010 - 12:33

Voyager63

Спа... А Где взять нормальную 6.5 2009 года? MS DaRTS мою систему тоже не видит, посему править нечего... А качать с сайтов, выпадающих через результаты поиска - стремно... Обжегшись на молоке - дую на воду... А по размеру у меня в \system32\ несколько ДЛЛ (идентичных по размеру и дате вирусам - 147968 байт от 15 апр 08), но все они - под "легальными именами" Есть еще десяток-другой файлов с то же датой, но другого размера (и большего и меньшего). Складывается впечатление, что эта сука поменяла даты по системе очень вольно, генерит свои ДЛЛки из кусков, разбросанных по диску, которые не определяются антивирусами...

ЕРДКомандер можно взять здесь http://forum.ru-board.com/topic.cgi?forum=...mp;start=440#lt и задать вопросы на счет него тоже можно там
Запишите его образ,запустите в связке с последней Куреит на флэшке.Будут логи которые Вы сможете выложить здесь и Вам подскажут,что делать дальше....

#27 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 13:07

Voyager63

Спа... А Где взять нормальную 6.5 2009 года? MS DaRTS мою систему тоже не видит, посему править нечего... А качать с сайтов, выпадающих через результаты поиска - стремно... Обжегшись на молоке - дую на воду... А по размеру у меня в \system32\ несколько ДЛЛ (идентичных по размеру и дате вирусам - 147968 байт от 15 апр 08), но все они - под "легальными именами" Есть еще десяток-другой файлов с то же датой, но другого размера (и большего и меньшего). Складывается впечатление, что эта сука поменяла даты по системе очень вольно, генерит свои ДЛЛки из кусков, разбросанных по диску, которые не определяются антивирусами...

ЕРДКомандер можно взять здесь http://forum.ru-board.com/topic.cgi?forum=...mp;start=440#lt и задать вопросы на счет него тоже можно там
Запишите его образ,запустите в связке с последней Куреит на флэшке.Будут логи которые Вы сможете выложить здесь и Вам подскажут,что делать дальше....



Спасибо. Ссылка обрезана, на форум сходил, зарегился. Там, как и везде - если не живешь в нем - фиг найдешь чего. Поиск не дает результатов. "Не шмогла я"... Проще, наверное, все-таки грохнуть систему и записать образ с дистрибутива ноута... мда. А то так все каникулы пройдут во славу этих прыщей-вирусописателей... Ну ...мля... даст Бог - доберусь до него физически. Без суда и следствия... Так управлюсь...

#28 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 04 Январь 2010 - 13:10

Только не "без суда и следствия". :(
Образец как раз и нужен вирлабу для суда и следствия.

#29 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 13:18

Только не "без суда и следствия". :(
Образец как раз и нужен вирлабу для суда и следствия.



Прислать на Send VIRUS?

А вот до суда (или хотя бы до следствия) готов помогать довести дело. Надо определить, кто это развлекается... А уж потом поможем вынести справедливое решение.

Отправил фал "SMS na 4460.ZIP" в 13:25

#30 SergM

SergM

    Guru

  • Moderators
  • 9 387 Сообщений:

Отправлено 04 Январь 2010 - 13:20

Прислать на Send VIRUS?

Безусловно. :(

#31 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 13:42

Прислать на Send VIRUS?

Безусловно. :(



Где взять этот волшебный ERD Commander 6.5??? В нескольких форумах надо региться, а потом - все равно хрен найдешь, если не живешь сетями... На Майкрософте - туча умных советов, как скомпилировать его с нужными приблудами, а вот самой этой штуки так и не смог найти.... Чегой-то я не догоняю, видимо..

#32 Driver

Driver

    Advanced Member

  • Posters
  • 801 Сообщений:

Отправлено 04 Январь 2010 - 14:18

Прислать на Send VIRUS?

Безусловно. :(



Где взять этот волшебный ERD Commander 6.5??? В нескольких форумах надо региться, а потом - все равно хрен найдешь, если не живешь сетями... На Майкрософте - туча умных советов, как скомпилировать его с нужными приблудами, а вот самой этой штуки так и не смог найти.... Чегой-то я не догоняю, видимо..


Здесь можно


Набор средств:
- редактор реестра восстанавливаемой системы
- редактор дисков
- средство сброса системных паролей
- консоль
- сканер антивирусов от Microsoft
- восстановление загрузочной записи и т.д.

#33 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 19:40

Прислать на Send VIRUS?

Безусловно. :(



Где взять этот волшебный ERD Commander 6.5??? В нескольких форумах надо региться, а потом - все равно хрен найдешь, если не живешь сетями... На Майкрософте - туча умных советов, как скомпилировать его с нужными приблудами, а вот самой этой штуки так и не смог найти.... Чегой-то я не догоняю, видимо..


Здесь можно


Набор средств:
- редактор реестра восстанавливаемой системы
- редактор дисков
- средство сброса системных паролей
- консоль
- сканер антивирусов от Microsoft
- восстановление загрузочной записи и т.д.



ВОт качаю... час прошел, еще 2 осталось....

#34 Driver

Driver

    Advanced Member

  • Posters
  • 801 Сообщений:

Отправлено 04 Январь 2010 - 19:49

Нормально, я 5 часов качал :(

#35 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 04 Январь 2010 - 20:21

DaRT - это набор мощных инструментов, помогающий ускорить восстановление настольных систем.
Версия 5.0 включает три инструмента для восстановления: ERD Commander 2007, Crash Analyzer Wizard и File Restore.
ERD Commander 2007 позволяет вам использовать мощную консоль восстановления систем Windows 2000/XP/2003
Версия 6.0 совместима только с Windows Vista и Windows 2008 Server
Версия 6.5 совместима только с Windows 7 и Windows Server 2008 R2 ... удалена утилита File Restore
для создания загрузочного образа использует установочные диски этих ОС.

С диска ru_desktop_optimization_pack_2009_r2_x86_x64_dvd_x16-33982.iso Русские DaRT x86
msdart60
msdart65
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#36 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 20:52

DaRT - это набор мощных инструментов, помогающий ускорить восстановление настольных систем.
Версия 5.0 включает три инструмента для восстановления: ERD Commander 2007, Crash Analyzer Wizard и File Restore.
ERD Commander 2007 позволяет вам использовать мощную консоль восстановления систем Windows 2000/XP/2003
Версия 6.0 совместима только с Windows Vista и Windows 2008 Server
Версия 6.5 совместима только с Windows 7 и Windows Server 2008 R2 ... удалена утилита File Restore
для создания загрузочного образа использует установочные диски этих ОС.

С диска ru_desktop_optimization_pack_2009_r2_x86_x64_dvd_x16-33982.iso Русские DaRT x86
msdart60
msdart65


Ну я ваще поплыл... Т.е. на моем нетбуке (ХР) эта система не взлетит?

Вот новости: корпоративный свежий (2010) ХР-загрузочный диск с McAffee отследила следующие позиции:

C:\Documents and Settings\LocalService\Application Data\macromedia\common0039001619.exe ... Found the Riern trojan!

C:\Documents and Settings\USERNAME\Local Settings\Application Data\{6e97284f-e6d1-46b3-9c11-4cbb32419692}\chrome\content\overlay.xul\000007c7.js FOUND THE JS/REDIRECTOR.b trojan!

Я их благополучно придушил вручную (вот бы , мля, писаку этого так найти!!! Ужо б поплясал!.... найду...)... Ну да ладно.

Гонял CureIt! (тоже в каком-то усеченном режиме - система нормально не могла подгрузиться). Все найденное - душил... После МcAffee решил загрузиться с диска. И ВДРУГ.... ПОШЛОООО! Все запустилось (вроде бы)... Но после нескольких стандартных программных процедур после загрузки (не пишу, чтоб не вскрываться - наверняка этот урод почитываает форум и правит свой код).... я вижу сообщение что АДМИНИСТРАТОР ЗАПРЕТИЛ ЗАПУСКАТЬ антивирусные программы... Т.е. где-то в политиках остались косяки... Кто умеет подсказать, где это может быть?

#37 Driver

Driver

    Advanced Member

  • Posters
  • 801 Сообщений:

Отправлено 04 Январь 2010 - 21:00

У меня работала, а почему у вас не должно работать. Комп, который я чистил, тоже был Windows XP Pro 
Вы скачиваете загрузочный диск, уже готовый.Останется только записать болванку, я писал UltraISO

#38 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 04 Январь 2010 - 21:08

У меня работала, а почему у вас не должно работать. Комп, который я чистил, тоже был Windows XP Pro
Вы скачиваете загрузочный диск, уже готовый.Останется только записать болванку, я писал UltraISO

Значит Вы пользовались 5 версией...

Прикрепленные файлы:

  • Прикрепленный файл  ERD.PNG   53,72К   34 Скачано раз

"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.

#39 Voyager63

Voyager63

    Newbie

  • Posters
  • 35 Сообщений:

Отправлено 04 Январь 2010 - 21:16

У меня работала, а почему у вас не должно работать. Комп, который я чистил, тоже был Windows XP Pro 
Вы скачиваете загрузочный диск, уже готовый.Останется только записать болванку, я писал UltraISO



Оооо! Я столько дисков за всю жизнь не записал, как за последние 3 дня :( Братцы, так качать этот (6.5) Коммандер или не стоит? Взлетит? А на Letitbit ссылки нет?

#40 PAUK

PAUK

    Guru

  • Posters
  • 3 236 Сообщений:

Отправлено 04 Январь 2010 - 21:25

Оооо! Я столько дисков за всю жизнь не записал, как за последние 3 дня :( Братцы, так качать этот (6.5) Коммандер или не стоит? Взлетит? А на Letitbit ссылки нет?


Microsoft Diagnostics and Recovery Toolset 6.5+6.0+5.0 EN (x86/x64) (88 Мб)
Но на инглише... 5 -подойдет точно под хрюшу...
"объективность" – понятие глубоко субъективное
- Мы здесь все сумасшедшие. Я сумасшедший. Ты сумасшедшая.
- Откуда вы знаете, что я сумасшедшая? - спросила Алиса.
- Ты безусловно должна быть сумасшедшей, - ответил Кот, - иначе ты не попала-бы сюда.


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых