Срочно!! Проблема с PC

AdornedBrood · Jan 26, 2008

скачал какойто crack на программу kool moves с emule, а ето оказался вирус/spyware

ad - aware его не находит почемуто...

симптомы:
комп невероятно медленно работает
поскольку ad - aware его не находит, я хотел проинсталлировать нод 32/касперский и зоне аларм, итак нод 32 и касперский инсталлируются но оба пишут C:\Program Files\...\ is not a valid Win 32 application.
zone alarm не инсталлируется вообше пишет vsmon.exe не может проинсталлироватся(ето файл программы самой).
таск манаджер уже его не показывает ну а когда показывает то end process не убевает его.

ктото сталкивался с такой проблемой?
как мне зделать так чтоб анти вирусы работали?

большое спасибо за помощ

Vicci · Jan 26, 2008

Если программы не инсталлируются, то возможен вариант что вирус повредил какие-нибудь системные файлы. Для начала советую обратить внимание на portable-версии (в этом разделе) антивирусных и антишпионских программ, которые запускаются с внешних носителей. А если и они не будут запускаться, придется использовать загрузку с компакт-диска на котором установлен пакет антивирусных программ с базами посвежее и проверять весь ваш жесткий диск.

Trigan · Jan 26, 2008

Упаковал и залил с базами сегодняшнего дня ClamWin Portable, :5: лежит здесь. Инструкция проста: скачать, распаковать, записать - хоть на диск, хоть на флешку. Запуск файлом ClamWinPortable.exe
Провериться, все что найдет удалить.
Скачать здесь программу AutoRuns for Windows распаковать, записать - хоть на диск, хоть на флешку. Запустить, в первую очередь интересует 2-я вкладка (logon), внимательно изучаем - все что найдешь похожее на следы вируса - удаляешь.
Перегружаешь комп.
Желательно еще раз провериться антивирусом, да и глянуть в AutoRuns еще раз не помешает, а потом, если все ОК, поставить "стационарный" антивирус/стенку и... ... не качать где попало crack-и! :nono:

AdornedBrood · Jan 27, 2008

большое спасибо за помощь!!!
но почемуто ClamWin Portable не работает, я скачал программу и записал на диск, нажымаю дабл клик, поевляется лого и после лого ничего! ровным счетом. task manager видет его во время лого и после того как лого уходит то и программа пропадает в Task manager.
каким образом её запустить?
Autoruns - работает отлично, там я нашел Udate32.exe, ето spyware.
что мне делать с ClamWinPortable?

Vicci · Jan 27, 2008

AdornedBrood said:
.
....что мне делать с ClamWinPortable?

Остаётся ещё вариант с флэшки или внешнего жёсткого диска.
Почему не работает с СД? Смею предположить что при запуске программа хочет записать нечто не только в реестр, но и в папку в которой она находится. На флэшке это удастся, а на СД едва ли.

AdornedBrood · Jan 27, 2008

пробывал запустить с флешки и тоже самое происходит...
что делать???!?!
есть еще программы на подобе?

Trigan · Jan 27, 2008

Плохо, "штучка" попалась ничего себе... :bac:
Придется пробовать со "штучкой" бороться на другом уровне.
Если есть, то загружайся с Hiren's BootCD, если его нет - выбирай здесь или еще где..., последняя версия 9.3, скачивай и уже точно записывай на СD, загружайся с него. В меню находишь антивирусы/ад-аваре и проверяешся.
Результат отпиши.

AdornedBrood · Jan 28, 2008

)
получилось

записал Hiren's BootCD 9.3 и запустилась программа, я сделал анти вирус скан
он нашел 3 вируса
я перезагрузил комп... но должен сказать что не одна программа анти вируса не запускается из той же причины.
что делать?
или же ето уже все...
не зоне аларм не касперский не нод 32 не работают...

Trigan · Jan 28, 2008

Еще раз, для проверки, загрузись с Hiren's BootCD и запусти скан анитивирусом, если ничего не найдет, то загружай систему и в командной строке набери команду: SFC /scannow (потребуется инсталяционный диск ХР) - по этой команде ХР проверит все защищенные системные файлы и заменит поврежденные файлы на неповрежденные.

AdornedBrood · Jan 30, 2008

привет всем!!!
WOW сколько новостей у меня!
ну начнем, для начала после Hiren's BootCD 9.3 я запустил SFC /scannow с оригинального диска! (и ето была ошыбка), рестартирую... и комп мне не дает зайти в систему утверждая что я должен сперва активировать свою версию windowsа... я конечно в шоке от етой майкрософтской выходки...
компа нет... ничего нельзя зделать, набираю оригинальные сериальные номера и ничего, он говорит что надо позвонить по телефону в семейство майкрософт и сообшить им номер который я получил после вношения сериального номера в ичейки... последняя надежда была у меня добраться до крака и обойти ето безумие ето зайти в систему под safе mode но и етого мне не дали зделать, он просто не заходил...
я взял оригинальный диск и запустил с него repair windows с меню одного из окон setupа... отрепеировал винду а она опять тоже самое (надежда была что он сотрет файлы которые ответственны за активатцию,ведь он же просил меня занести сериал номер во время инсталяции) но ето не сработало... и опять меня встретила та же прозьба активировать копию виндовс. :bac:

я зделал тот же самый процес с пиратского диска и вот зашол в windows, но не смотря на все до сих пор зоне не идет на компе по той же причине и нод 32 и касперский...

есть ли еще что то что можно попробывать перед форматированием?

okun · Jan 30, 2008

Проверить винчестер на другом компьютере с установленным, к примеру, Каспером с расширенными базами (включена проверка на шпионское, рекламное ПО, программы скрытого дозвона и потенциально опасное ПО (riskware))

AdornedBrood · Jan 30, 2008

мммда

он мне уже выдал один раз blue screen of death и сказал что у меня dump of physical memory
у меня в жызне ничего подобново не было...

прикол в том что я еще попытался поставить Outpost но как и в предыдущих попытках было без успешно хотя комп и стал выдавать разные ошибки и именами вирусов которые должны были удалиться с помошю hiren's boot... (flec006.exe and udate32.exe and more)

и еще одна вещь заинсталлировал symantec анти вирус и тот вроде пошол даже

но комп както не понятно завис а после ресета... папку с програмой удалил будто её там и никогда не было

я боюсь брать свой хард диск к комуто из за опаски заражения и другово компа

есть ли еше пути сканирования системы (на подобе hiren's boot)?

Vicci · Jan 30, 2008

AdornedBrood said:
... есть ли еше пути сканирования системы (на подобе hiren's boot)?

Есть много подобных дисков, одна беда - базы антивирусные староваты, но из свежих могу предложить загрузочный диск на основе BartPE с антивирусом Avast (базы свежие). Залью его образ для тебя уже утром через несколько часов. На диске ещё целый ряд полезных утилит.
Диск проверял - работает хорошо.

Вот залил образ этого диска, требуемый пароль при запуске Avast Bart CD: ftd
_http://rapidshare.com/files/88034704/Avastbart.rar
Размер архива 60 МБ

AncleBenz · Feb 1, 2008

Расширенные наборы баз

Есть ли смысл добавить расширенные базы? Видимых причин для беспокойства нет. На сайте антивируса касперского советуют эти базы только для опытных.
Вот что пишут на сайте.
Постоянно использовать расширенный набор Антивирусных баз мы рекомендуем только опытным пользователям/системным администраторам, понимающим принципы работы потенциально опасного программного обеспечения, сигнатуры которого находятся в данном наборе Антивирусных баз. Мы не рекомендуем начинающим пользователям использовать расширенный набор Антивирусных баз

Vicci · Feb 2, 2008

Думаю, что смысл использовать расширенные базы есть, но использовать их с толком, то есть настроить режим сканирования так, чтобы подозрительные объекты сразу не удалялись, а попадали только в отчёт.
Потом провести аналитическую работу над отчетом и решить что вредно, а что нет в каждом конкретном случае. Подозрительные файлы можно проверить через Интернет 32-мя антивирусными программами, например на сайте _www.virustotal.com.

AdornedBrood · Feb 2, 2008

добрый верчер всем!
во первых огромное спасибо за BartPE, Vicci.
я просканировал диск нашел еще пару спуваров и снова-же тот же самый вирус который был опознан и стерт(якобы) Hiren's bootом
после сканирования avast и реконструктции виндовых файлов (SFC/scannow) - все вернулось как и раньше было, комп виснет, антивирусы в виндоус не инсталлируются..
мне посаветовали здеаль проверку он-лайн с помощью панды, он-лайновский скан нашел много разного, якобы удалил вирусы и оставил спайваров, мне терять было нечего и я попытался постаить на компе пандавский анти вирус и что вы думаете?! он зашол!!! он единственный анто вирус который заработал на моем запаженном компе
но почему то он не инсталлируется нормально, он не дает мне выставить опцию . анти вирус только сканирование запускает и все... и каждый раз он находит одит и тотже вирус flec006.eхe или же под другим названием он скрывается... постоянно он выключает мне виндоуский firewall...

есль ли еше варианты починки или только форматировать??

большое спасибо за помощь которую вы оказываете мне

Vicci · Feb 2, 2008

Похоже что это всё борьба со следствием, а зараза сидит глубже.
Попобуй запустить бесплатную утилитку Trend Micro HijackThis которая сканирует ключи реестра и содержимое жесткого диска, после чего отображает списки подозрительных объектов. Содержимое лог файла желательно запостить здесь, тогда разговор будет более предметным.
Скачать утилиту можно здесь
_http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

AdornedBrood · Feb 3, 2008

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:03 PM, on 2/3/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Netscape\Navigator 9\navigator.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD97AE4F-4E5A-4179-9747-D311708A72A6}: NameServer = 192.117.235.235 62.219.186.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - Winlogon Notify: dpnmodem32 - C:\WINDOWS\SYSTEM32\dpnmodem32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrlS.exe

--
End of file - 5666 bytes

Vicci · Feb 3, 2008

Да на вид кроме трёх неизвестных BHO
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
больше вроде ничего подозрительного. А BHO эти на мой взгляд лучше удалить, благо утилита позволяет это.
Так если вирусов и шпионов нет, в чём остались проблемы, те же что в шапке или что ещё?

q21 · Feb 3, 2008

И вычисти темп папки в Documents and Settings, а так же C:\WINDOWS\Prefetch\

Срочно!! Проблема с PC

AdornedBrood

Member

Vicci

ex-Team DUMPz

Trigan

AdornedBrood

Member

Vicci

ex-Team DUMPz

AdornedBrood

Member

Trigan

AdornedBrood

Member

Trigan

AdornedBrood

Member

okun

AdornedBrood

Member

Vicci

ex-Team DUMPz

AncleBenz

Member

Vicci

ex-Team DUMPz

AdornedBrood

Member

Vicci

ex-Team DUMPz

AdornedBrood

Member

Vicci

ex-Team DUMPz

q21

Member