следующая тема »

[27 Август 2025, 10:12:53]

Новости, реклама:

[27 Август 2025, 10:12:53]

Новости, реклама:

[meermitka]

Обновив сейчас нод 32 оказалось, что у меня куча экзешек заражено. Вирус почти один и тот же. Дофига трафика жрет, когда в нете сижу, хотя сижу мало времени. И после перезагрузки возможно и не включиться ноут и компы.
Как вылечить компы и ноут без переустановки винды?
Посмотрите плиз фрагменты прикрепленных рисунков (и это только рисунки с одного компа). Компы в разных местах и не объединены в сеть. И как не странно почти на всех компах стоит НОД32.
Плиз помогите 

[petroq]

Перетащи всю ценную инфу на диск D. Переставь винду. Чё там страшного - 40 минут установка винды, 20 минут установка нужного софта. Поставь Касперского, а не это палево НОД. Запусти проверку. Он поудаляет все зараженные файлы с других дисков. Я думаю, что винду вирусяки потрепали основательно, даже если повылечиваешь - всё равно тормозить будет. Форматируй не бойся.

Сын спрашивает у папы:
-Пап,а кто лечит людей?
-Врач,сынок.
-А кто лечит животных?
-Ветиренар,сынок.
-А кто лечит Windows?
-Фармацевт,сынок.
-Пап,а почему фармацевт?!
-А потому,сынок,что Windows может вылечить только Format C:

[SCORPION]

нод не умеет лечить, только удалять
каспер умеет лечить - ставь каспера

[_SworD_]

Я тоже за каспера. НОД юзал - остался недоволен. НОД это накрайняк.

[Макс]

И я за Каспера. Уж больно на диске С зараженных файлов. Винда даже после лечения каспером глючить будет ИМХО. Формат С: Энтер + свежая винда потом все на проверку Каспером со свежими обновлениями. Удачи

[June]

Человек у вас не про то спрашивает, про что вы отвечаете.

Есть способ. Секретный. Суть: загружаешь с CD-ROM другую систему где уже установлен антивирус.

[meermitka]

Один комп спасу переустановкой, но не 5 компов.

June от Сегодня в 12:04:17
Человек у вас не про то спрашивает, про что вы отвечаете.
Есть способ. Секретный. Суть: загружаешь с CD-ROM другую систему где уже установлен антивирус.

Не хочет загружать другую винду с установленным антивирем, а сразу начинается процесс установки.
Добавлено: 24 Март 2009, 14:39:332 petroq, SCORPION, _SworD_, Макс
Я знаю, что каспер лучше.
Посоветуйте, плиз если стоит НОД.

[av7ko]

2 meermitka
Для начала перегрузись в Безопасный режим, а оттуда проверяй на вирусы, а в идеале лучше грузиться с live-cd...
Если у кого у знакомых есть дистриб Dr. Web запиши на флэшку, его можно установить в Безопасном режиме, если нет дистриба скачай всю папку Drweb (если установлен по-умолчанию будет находится в "c:\program files\drweb") и запусти drweb32w.exe (если версия 4.хх, то антивирусные базы находятся в папке с прогой), отлично лечит файлы заражённые вирусом Virut! Можно конечно скачать и с инета автономный лечащий модуль CureIt! (13 315 664 байт)
Скопируй этот код в Блокнот и сохрани с расширением cmd и запусти, он отключает Восстановление системы, очишает временные папки / корзины, удаляет файлы автозапусков,  временные файлы... :

Код:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v DisableSR /t reg_dword /d 1 /f

rd /s /q %temp%

rd /s /q %homepath%\Local Settings\Temporary Internet Files\

del /f /s /q %systemroot%\*.bat

del /f /s /q %systemroot%\*.tmp

for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
if exist %%a:\autorun.inf echo %%a:\Autorun.inf
attrib -r -s -h -a %%a:\autorun.inf >nul 2>nul&del %%a:\autorun.inf /f /q >nul 2>nul
)

for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
for %%b in (EXE COM PIF BAT CMD LNK) do (
attrib -r -s -h -a %%a:\RECYCLER\*.%%b /s >nul 2>nul&attrib -r -s -h -a %%a:\RECYCLED\*.%%b /s >nul 2>nul
del %%a:\recycler\*.%%b /s /q /f >nul 2>nul&del %%a:\recycled\*.%%b /s /q /f >nul 2>nul
)
)

[Granger]

поставь на один комп каспера и подключай туда жесткие по-одному

[Mischer]

Лучше всего послушай  fv7ko, он очень дельный совет тебе дал(проще всего(но неменее эффективно) Cureit-том )! Единственное что все эти "злобные" вирусы и их лечения на таких запущенных машинах обычно приводят к коцанью реестра виндовского от чего само-собой винда глючить будет! Вообщем попробуй как fv7ko написал, если винда глючить начнёт то пиши новую ветку будем винду пытаться оклемать! (Я так понял у тебя там на компах спецефических программок много дистрибутивов которых у тебя нету, поэтому виндой так и дорожишь =)))) Удачи, отписывай что получилось......

[meermitka]

2 meermitka
Для начала перегрузись в Безопасный режим, а оттуда проверяй на вирусы, а в идеале лучше грузиться с live-cd...
Если у кого у знакомых есть дистриб Dr. Web запиши на флэшку, его можно установить в Безопасном режиме, если нет дистриба скачай всю папку Drweb (если установлен по-умолчанию будет находится в "c:program filesdrweb") и запусти drweb32w.exe (если версия 4.хх, то антивирусные базы находятся в папке с прогой), отлично лечит файлы заражённые вирусом Virut! Можно конечно скачать и с инета автономный лечащий модуль CureIt! (13 315 664 байт)
Скопируй этот код в Блокнот и сохрани с расширением cmd и запусти, он отключает Восстановление системы, очишает временные папки / корзины, удаляет файлы автозапусков,  временные файлы...

Ноут вроде бы вылечила с помощью проги CureIt. Было заражено около 1890 экзешек. Но еще буду разок полностью проверять ноут разными прогами.
Один комп удалось реанимировать, потому что все экзешки подряд были заражены. Даже не могла войти ни под каким пользователем. Сначала зашла в безопасном режиме и проверила прогой CureIt. Потом через обычный режим сделала полную проверку. Было заражено около 2220 экзешек  . Потом проверила НОДом, то обнаружено только 6 зараженных экзешек вирусом Virut.NBM. Буду еще пару раз проверять CureIt и НОДом.
На втором компе только 7 троянских вирусов было.
Еще два компа не успела проверить. Буду завтра проверять.
C кодом еще не пробовала. Походу там любое название любое. Главное, чтоб расширение было cmd.
Добавлено: 24 Март 2009, 23:44:22

поставь на один комп каспера и подключай туда жесткие по-одному

Как вариант можно и воспользоваться, когда компов не много. А вот если компов было бы штук 20 зараженных, то нужно на все компы скопировать CureIt и лечить.
Добавлено: 24 Март 2009, 23:51:07

Лучше всего послушай  fv7ko, он очень дельный совет тебе дал(проще всего(но неменее эффективно) Cureit-том )! Единственное что все эти "злобные" вирусы и их лечения на таких запущенных машинах обычно приводят к коцанью реестра виндовского от чего само-собой винда глючить будет! Вообщем попробуй как fv7ko написал, если винда глючить начнёт то пиши новую ветку будем винду пытаться оклемать! (Я так понял у тебя там на компах спецефических программок много дистрибутивов которых у тебя нету, поэтому виндой так и дорожишь =)))) Удачи, отписывай что получилось......

Да, проги ценные и долго настраиваемые... С одной прогой проблемы в log файле. И прога из-за этого не хочет работать. Буду думать как можно это исправить.

[Mischer]

Да, проги ценные и долго настраиваемые... С одной прогой проблемы в log файле. И прога из-за этого не хочет работать. Буду думать как можно это исправить.

Все правильно юзай  Cureit ! И пиши если тчо не так...... Удачи.....

[av7ko]

2 meermitka
Да для cmd любое имя, но надо было сперва его применить, антивирам меньше работы было бы...
А прогу можно и переустановить поверху, предварительно отследив и сохранив параметры реестра и папки с настройками - обычно ветка в реестре Software\программа( или название разработчика) в разделах HKLM и HKCU, это ini, xml файлы папке с прогой или в папке %userprofile%\Application Data\программа (название разработчика)...
А лучше скачай ещё HiJackThis распакуй, запусти, сохрани логи и прикрепи на форуме (можно на мыло), т. к. запросто останутся хвосты в системных папках и в реестре от вирусов!

[meermitka]

На одном компе в файле c:\windows\system32\dllcache\winlogon.exe сидит вирус win32.virut.nbm (или win32.virut.56) и не лечится. Что с файлом делать?

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

[av7ko]

2 meermitka
Взять из дистриба с виндой выполнить команду из его папки:

expand winlogon.ex_ c:\windows\system32\winlogon.exe

Восстанавливать придётся или из Консоли Восстановления, или с помощью загрузочного диска, дискетки т. к. процесс критичный для работоспособности системы и из памяти не выгрузится! 
 

[meermitka]

Файл c:\windows\system32\dllcache\winlogon.exe вылечен от вируса win32.virut.nbm (или win32.virut.56). Но еще какие-то файлы с расширением .tmp появляются в папке Windows зараженные вирусом win32.agent.
Много трафика тянет, когда инет подключен. Наверное где-то еще есть вирус.

[av7ko]

2 meermitka
Кста dllcache папка где хранятся копии защищенных системных файлов, используемые для автоматического восстановления оригиналов в случае их повреждения, так что их можно смело заменять, а если отключена система восстановления файлов / sfc то и удалять...
Хвосты от вирусов у тя остались, сделай лог как я писал в посте #12... можешь ещё просканить систему AVZ, где в меню  AVZM выберите Установить драйвер расширенного мониторинга процессов!

[meermitka]

Каждый раз при включении выдает сообщение, что заражены вот такие файлы:
Что-то интернет трафик много тянет. В чем проблема?

[av7ko]

2 meermitka
Вот твой вирус его видно невооружённым глазом!
C:\WINDOWS\services.exe (настоящее Приложение служб и контроллеров грузится из системной папки)
Если скачала AVZ, то в меню Файл - Выполнить скрипт - скопируй ниже написанный скрипт - Нажми кнопку Запустить

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\services.exe');
 QuarantineFile('c:\windows\services.exe','');
 DeleteFile('c:\windows\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Если нет, то в Безопасном режиме поудалять все пути его запуска в реестре:

Код:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: [services] C:\WINDOWS\services.exe
HKCU\..\Run: [services] C:\WINDOWS\services.exe
HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
HKCU\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe
HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')
HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')

Если нет по рукой ни Process Explorer и Autoruns юзай родные msconfig, taskmgr и regedit...
Можно всё пофиксить и с помощью HiJackThis, запускаешь и в главном окне программы нужно нажать кнопочку Do a system scan only. В открывшемся логе сканирования поставить галочки напротив указанных строк Q4 где встретишь записи C:\WINDOWS\services.exe и нажимай кнопку Fix Checked. Затем перегрузи компьютер!

[andrik_x1k]

Вот очень полезные две вещи

Восстановление после заражения фиксит все косяки от вирусов

[meermitka]

Вот очень полезные две вещи

Восстановление после заражения фиксит все косяки от вирусов

Каспер 2009 не конфликтует с сетью?

[andrik_x1k]

нет, нисколечка

[meermitka]

Можно всё пофиксить и с помощью HiJackThis, запускаешь и в главном окне программы нужно нажать кнопочку Do a system scan only. В открывшемся логе сканирования поставить галочки напротив указанных строк Q4 где встретишь записи C:\WINDOWS\services.exe и нажимай кнопку Fix Checked. Затем перегрузи компьютер!

Вот это сделала. Все равно трафик много тянет. Остальное не делала.
Может ли произойти заражение интернет соединения?
Я наверное буду винду переустанавливать. На ноуте точно буду переустанавливать. А вот на одном компе думаю переустанавливать ли. Остальные три компа здоровы.

[andrik_x1k]

Совсем и не в вирусе может оказаться дело, фотошоп кс3 допустим незаметно обновляется, пока не вырубить службу вручную, и куча разного софта тоже может незаметно "подсасывать", можешь попробовать поставить фаервол и запретить всем жрать трафик, кроме брофсера

[av7ko]

2 meermitka
Кстати судя по логу у тебя стоит Agnitum Outpost Firewall Pro, там и посмотри установленные соединения и открытие порты через которые улетает твой траффик!

[meermitka]

На одном только компе в четверг установила Agnitum Outpost Firewall Pro. Надо будет завтра проверить установленные соединения и открытые порты. Помоему сама эта прога че-то отправляет. Когда я ее отключаю, то меньше трафика уходит. Но все равно исходящего трафика уходит больше, чем входящего почти в 2-4 раза.

На двух компах не подключает по сетевом интернету. На главном подключен инет и работает. Но на двух других не могу в нет зайти через главный. В чем проблема даж не знаю.

На ноуте вроде с трафиком уже все в норме. Только какой-то файл pskill.exe был заражен и антивирем удален.
Добавлено: 30 Март 2009, 14:21:27Четыре компа настроены и работают. Осталось только ноут настроить. 
Добавлено: 30 Март 2009, 18:45:15Какие-то троянские програмы антивирь все равно находит. Хоть и винду переустановила.

[Aleks M]

На одном компе в файле c:\windows\system32\dllcache\winlogon.exe сидит вирус win32.virut.nbm (или win32.virut.56) и не лечится. Что с файлом делать?

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

    Я вот Нодом и снес этот файл(незаметил просто. что удалял). После чего НОД попросил перезагрузки, ну и после которой я естественно не смог зайти в винду. Спрашивает пользователя- выбираешь его-  на пару секунд мелькает табличка Изменение личных параметров, после которой опять на  выбор пользователя выбрасывает.    И на зло не было  диска с виндой, так и остался комп-бедняга стоять.
    av7ko,  ты вроде бы говорил что можно из dllcache достать файл
   

[meermitka]

На одном компе в файле c:\windows\system32\dllcache\winlogon.exe сидит вирус win32.virut.nbm (или win32.virut.56) и не лечится. Что с файлом делать?

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

    Я вот Нодом и снес этот файл(незаметил просто. что удалял). После чего НОД попросил перезагрузки, ну и после которой я естественно не смог зайти в винду. Спрашивает пользователя- выбираешь его-  на пару секунд мелькает табличка Изменение личных параметров, после которой опять на  выбор пользователя выбрасывает.    И на зло не было  диска с виндой, так и остался комп-бедняга стоять.
    av7ko,  ты вроде бы говорил что можно из dllcache достать файл???
  

У меня счас этот файл не заражен. Я взяла веник с одного компа с зараженными файлами и подключила к другому компу. Полечила файл зараженный файл WINLOGON.EXE прогой CureIt.

Все равно какой-то Win32/Agent находит 

[andrik_x1k]

ёпсель-мопсель, поставь ты в конце-то концов нормальный антивирус, не выключай брэндмауэр виндовский, обновляй постоянно базы на каспера, и установи USB Disc Seсurity
нод - не самый хороший антивирь, свою флешку даже не вставляю где есть нод, т.к. сразу xеpит все кейгены и кряки, а каспер их даже не замечает

[av7ko]

2 meermitka
Сделай лог! Вероятно вирус, это ещё не факт, у каждого антивира есть ложные срабатывания! По умолчанию таких файлов в системе нет, обрати внимание если нет никаких подписей в свойствах файла, с большой вероятностью, что это вирусы! Да уж НОД любит кейгены и патчи всевозможные килять...

2 Aleks M
В dllcache лежит копия winlogon, которая может быть тоже заражена, восстанавливать надо из дистриба!