На компе был вирус... - Разное - Проблемы в штатном режиме - Форум
 Windows  Web  Wizard
 

Главная     Форум     Файлы     Статьи     Объявления      Связь с нами     FAQ     RSS      Гостевая     В избранное    


Привет Гость
Меню сайта

Время
Четверг
11.03.2010
18:35

 
Форма входа
E-mail:
Пароль:

Друзья сайта

Статистика

Мини-чат

Наш опрос
Сколько раз вы заходили на это сайт
1. 1
2. 100 и больше
3. 2
4. 10-20
5. 20-50
6. 4
7. 3
8. 5-10
9. 50-100
[ Результаты · Архив опросов ]
Всего ответов: 18
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Форум » Проблемы в штатном режиме » Разное » На компе был вирус... (Update-не работает)
На компе был вирус...
lado
Недавно зарегистрировавшийся
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
Был вирус отключивший:
Восстановление системы (Исчезла вкладка в свойствах)
Брандмауэр (Невозможно было изменить состояние вык/вк)
Автоматическое обновление (для всех программ).
Найден и удален.

Остаточные явления:
при загрузке системы запускается "Командная строка" и происходит
попытка запуска ваt файла такого содержания:
---------------------------------------------------------
@echo off
setlocal

REM *** Update HKCU for current user
call :CreateKeys "HKCU"

REM *** Update HKCU for all other users
cd /D %USERPROFILE%\..
for /f "tokens=*" %%i in ('dir /b /ad') do (
if exist ".\%%i\NTUSER.DAT" call :CreateKeysForOtherUser "%%i" ".\%%i\NTUSER.DAT" HKLM\TempHive
)

endlocal

goto :EOF

REM ***
REM *** Args: %1 = username; %2 = name of registry hive file for user; %3 = location to load user hive to
REM *** Precondition: %keybase% has key (excluding GUID)
REM *** Ignores hives for current user (which should be updated directly with CreateKeys to prevent multiple access problems)
REM *** Ignores "All Users" and system service accounts which are irrelevant for our purposes
REM ***
:CreateKeysForOtherUser
set fUpdateUser=Y
if /I %1 equ "All Users" set fUpdateUser=N
if /I %1 equ "LocalService" set fUpdateUser=N
if /I %1 equ "NetworkService" set fUpdateUser=N
if /I %1 equ "%USERNAME%" set fUpdateUser=N

if %fUpdateUser% equ Y (
%SystemRoot%\system32\reg.exe load %3 %2 >nul 2>&1
call :CreateKeys %3
%SystemRoot%\system32\reg.exe unload %3 >nul 2>&1
)

goto :EOF

REM ***
REM *** Args: %1 = hive
REM *** Precondition: proper hive is loaded (if necessary)
REM ***
:CreateKeys
set keybase=Software\Microsoft\Windows\CurrentVersion\Ext\Settings
for %%i in ({9059f30f-4eb1-4bd2-9fdc-36f43a218f4a}
{7584c670-2274-4efb-b00b-d6aaba6d3850}
{4EDCB26C-D24C-4e72-AF07-B576699AC0DE}
{4eb89ff4-7f78-4a0f -8b8d-2bf02e94e4b2}
{7390f3d8-0439-4c05-91e3-cf5cb290c3d0}) do (
%SystemRoot%\system32\reg.exe add "%1\%keybase%\%%i" /v Flags /d 0x1 /t REG_DWORD /f >nul
%SystemRoot%\system32\reg.exe add "%1\%keybase%\%%i" /v Version /d "*" /t REG_SZ /f >nul
-------------------------------------------------
Это(батник), тоже найдено и удалено.

Осталась проблема:
Любая программа при попытке обновления
выдает сообщение об отсутствие подключения интернета,
а при заходе на Windows Update автоматом скидывает в гугл.

Вновь установленные программы нормально обновляются
Я не силен в программировании и не могу понять,где и что изменилось
Вместе с батником были еще и скрипты могу привести...

Лаптоп друга, переустановка Windows не желательна.

Lado

 
Admin
Тестовая учётная запись администратора
Группа: Администраторы
Сообщений: 51
Репутация: 0
Статус: Offline
Батник хорош, однако я сомневаюсь что это был вирус, потому что в нём содержались комментарии (если бы я составлял вирус, я бы не писал комментарии в код).
Как я понял, этот батник совершает некотрые действия, суть которыхъ понять сложно.
Вот что я думаю:
1) Он что-то изменяет в HKCU - разделе реестра с настройками пользователя, который залогинен в системе.
2) Понятнее бы стало если бы я увидел содержимое HKLM\TempHive и Software\Microsoft\Windows\CurrentVersion\Ext\Settings, хотя вообще что делает батник точно сказать не могу.

Насчёт проблем. Возможно часть вируса осталась в памяти и препятствует обновлению программ. Переход с Windows Update на гугл возможно свзяан с редактированием файла Windows\system32\drivers\etc\hosts . Возможно в нём есть запись, которая подменяет сервера майкрософта серверами гугла. Есть идея что это вирус, который недавно устроил эпидемию (вирус не пускает на сайт касперского и windows update). Лучшим способом проверить комп на вирус - это как раз посетить вышеуказаные сайты.
Если это действительно тот вирус, то поможет команда
dir /ahs
в папке system32. Она покажет имя библиотеки, которую нужно удалить.

 
lado
Недавно зарегистрировавшийся
Группа: Пользователи
Сообщений: 2
Репутация: 0
Статус: Offline
\etc\hosts смотрел я уже там кроме примера ничего не записано:
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
Ватник не вирус, в комплекте шли: services.ехе,троян и в папке
WINDOWS\Installer\tsclientmsitrans несколько файлов..

Р.S.После чистки пргонал spybot ,avz,launch и установил avast(хоть
что-то)все сообщили, что все нормально...
после этого накатил сверху 3 сервиз пак,думал что-то исправит
,но все осталось по старому-(((
Завтра посмотрю в реестре, что найду отпишусь.
От всего остального избавился через групповые политики..
Спасибо Lado.

 
Форум » Проблемы в штатном режиме » Разное » На компе был вирус... (Update-не работает)
Страница 1 из 11
Поиск:

Copyright FIL CORPORATION © 2010
Сайт управляется системой uCoz