Перейти к содержанию
Zeppeliner

Проблемы с ОС

Recommended Posts

Zeppeliner

Ситуация такая, комп не мой, стал устанавливать Антивирус, стали возникать вопросы типа: Всё равно продолжить?? при установке драйверов. После установки и последующей поверке зависал на каком-то файле, при экстренном выключении ломался конфиг в систем32.Поднял систему и оставил для резервного копирования данных.Через некоторое время там накопилось вирей и всякой нечисти.Почистил всё при помощи диска восстановления и решил сделать логи утилитой AVZ. Во время 1-го скрипта лечения он завис,при перезагрузке выдало ошиибку,что файл в систем32 конфиг побит.Поднял систему. Теперь боюсь Антивирус ставить, есть логи из HiJackThis и AVZ. Помогите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гриша

Давайте логи...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppeliner

Сорри, от AVZ там скрипт сбора информации, скрипт лечения и карантина делать боюсь,тк после него выбило систему

HiJackThis.rar

virusinfo_syscheck.zip

HiJackThis.rar

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Zeppeliner

А сколько у вас на ПК оперативной памяти?

Какова тактовая частота процессора?

Сколько места осталось на системном диске?

Если пользуетесь HiJackThis, то хотя бы оптимизируйте Автозагрузку.

Уберите (пофиксите)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = СсылкиO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [jvouiko] C:\Program Files\Common Files\System\nsnjair.exeO4 - Startup: Czw.lnk = C:\CZW\Czw.EXEO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll (file missing)O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
стал устанавливать Антивирус, стали возникать вопросы типа: Всё равно продолжить?? при установке драйверов

А Антивирус Касперского 2009 не встал до конца или значок в трее всё же есть?

Попробуйте его удалить, если это ещё возможно.

А также отключить борландские ibguard.exe и ibserver.exe

Стало ли лучше вашей ОС? Перезагрузите ПК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zeppeliner

Касперский установился,и работал, но при проверке какого-то файла комп виснет, приходиться долго держать конопку power, чтоб его вырубить, просто после такого выключения то ntldr какой нить слетит, то конфиги с ошибкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
но при проверке какого-то файла комп виснет

Возможно это какой-то временный или повреждённый файл.

Но сначала всё же удалите KAV, он нам не помешает, но чтобы ПК не зависал.

И давайте немного почистим систему от мусора.

Скачайте мой прилагаемый архив, распакуйте, прочтите файл Инстр.txt

CleanCenter.zip

Оригинальный установочный файл здесь.

CleanCenter.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

CleanCenter.zip получен 2008.11.27 10:44:13 (CET)Антивирус Версия Обновление Результат

CAT-QuickHeal 10.00 2008.11.27 Win32.Backdoor.Amitis.3

eSafe 7.0.17.0 2008.11.25 Suspicious File

Panda 9.0.0.4 2008.11.27 Suspicious file

Sunbelt 3.1.1832.2 2008.11.27 VIPRE.Suspicious

TrendMicro 8.700.0.1004 2008.11.27 PAK_Generic.005

Наверняка, ложный детект, но забавно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

Направил знакомому файлик "fun.dll" из CleanCenter.zip

Предварительный диагноз "Присланный файл - троянский компонент. Он помогает внедриться в систему файлу mprexe32.exe".

Образец направлен "куда следует"

p.s.: оказалось - все таки ложная тревога

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
akoK

Еще немного продублирую

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Образец направлен "куда следует"

p.s.: оказалось - все таки ложная тревога

Lemmit

:) Этот файлик создаётся в директории программы, когда запускаешь и используешь программу.

Чистильщик хороший, версия 2004 года, но не хуже новой. Работает и безопасном режиме, и на заражённой системе, и даже когда его самого заразили. Исполнительный файл можно запускать и из архива, тогда fun.dll не создастся. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

У истории с файликом fun.dll есть продолжение. Он стал детектиться и удаляться Kaspersky Virus Removal Tool, а потом и антивирусами некоторых других вендоров.

А программа то не новая. Хочется спросить: почему 5-6 лет не детектили, а тут вдруг начали?

И что же такое страшного она делает, кроме как вычищает всякий хлам и временные файлы за всеми другими?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Андрей-001

Этот самый или какой-то иной?

Как детектится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Этот самый или какой-то иной? Как детектится?
Направил знакомому файлик "fun.dll" из CleanCenter.zip

Предварительный диагноз "Присланный файл - троянский компонент. Он помогает внедриться в систему файлу mprexe32.exe". Образец направлен "куда следует"

p.s.: оказалось - все таки ложная тревога

После закачки и распаковки CleanCenter.zip запускаешь CleanCenter.exe, для работы и очистки ему нужно создать файл fun.dll (в ограниченной учётной записи это невозможно сделать - файл fun.dll не создастся).

Работает и безопасном режиме, и на заражённой системе, и даже когда его самого заразили. Больше ничего он не делает. Работает без проблем на любой Windows.

Ситуация с ним меняется. Сейчас она такова:

http://www.virustotal.com/ru/analisis/2058...b261824781e980e

Сам KAV его не трогает, а Kaspersky Virus Removal Tool и AVZ удаляют. И недавно также повели с ним себя Avira Antivirus и Avira Security. Странно как-то. Похоже на перестраховку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ты меня не понял, наверное.

Он стал детектиться
почему 5-6 лет не детектили

Это один и тот же файл или иная его версия. Еще точнее - md5 одинаковые у того, что детектится сейчас, и у того, который не детектился 5 лет?

http://www.kaspersky.com/viruswatchlite?se...mp;x=24&y=4

Фолс, который другие подхватили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Ты меня не понял, наверное.

Ага, теперь понятно. Этой программой я, и не только я, начал пользоваться именно года с 2003-2004.

И это именно та версия (одновременно и фри, и ком), когда русский язык туда ещё не поставили.

Были и версии поновее, то они уже не были свободными для скачивания. Их или кракали или покупали.

Фолс, который другие подхватили?

Да, кажется, именно так всё и есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×