Перейти к содержанию
Aleksa

Trojan.Fakealert.3962

Автор Aleksa, в Помощь

Recommended Posts

Aleksa    0

Aleksa
Опубликовано

При запуске CureIt Dr.Web комп перезагружается сам и выдает ошибку.

Подпись ошибки:

BCCode: 10000050

BCP1: FAE7A018

BCP2: 00000000

BCP3: EF9CE977

BCP4: 00000000

В безопасном режиме Dr.Web нашел Trojan.Fakealert.3962 и Tool.OpenPass.11, переместил.

В нормальном режиме тоже самое, только ошибка добавилась

1. BCCode: 1000007е

BCP1: С0000005

BCP2: F08CE1DD

BCP3: F96F9954

BCP4: F96F9654

2. BCCode: 10000050 - с другими уже параметрами

Чем можно убить этих вредителей?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

K_Mikhail    807

K_Mikhail
Опубликовано
При запуске CureIt Dr.Web комп перезагружается сам и выдает ошибку.

Подпись ошибки:

BCCode: 10000050

BCP1: FAE7A018

BCP2: 00000000

BCP3: EF9CE977

BCP4: 00000000

В безопасном режиме Dr.Web нашел Trojan.Fakealert.3962 и Tool.OpenPass.11, переместил.

В нормальном режиме тоже самое, только ошибка добавилась

1. BCCode: 1000007е

BCP1: С0000005

BCP2: F08CE1DD

BCP3: F96F9954

BCP4: F96F9654

2. BCCode: 10000050 - с другими уже параметрами

Чем можно убить этих вредителей?

Файл %USERPROFILE%\Doctor Web\Cureit.log киньте, пожалуйста, в личку, пожалуйста. Или в почту -- mk500@yandex.ru.

%USERPROFILE% == C:\Documents and Settings\<Имя вашего профиля>\

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано

Aleksa

Trojan.Fakealert.3962 - это троян-пугатель, один он не работает, есть ещё кто-то.

Tool.OpenPass.11 - одна из программ для показа паролей, вряд ли будет делать reboot.

Проверьте новым CureIt'ом в безопасном режиме ещё раз весь диск, где находится ОС (или выброчно только папки WINDOWS и Documents and Settings). Перезагрузитесь.

Кроме того.

Включите отображение всех скрытых файлов и папок - меню Сервис-Свойства папки-Вид, потом в папке текущего пользователя, допустим - C:\Documents and Settings\Администратор - не трогая папок удалите все файлы (кроме файлов с названием NTUSER) с расширением exe (только не запускайте никого из них).

При удалении каждого держите нажатой клавишу Shift на клавиатуре (стирание без удаления в Корзину).

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Aleksa    0

Aleksa
Опубликовано

Trojan.Fakealert.3962 - это троян-пугатель, один он не работает, есть ещё кто-то.

Tool.OpenPass.11 - одна из программ для показа паролей, вряд ли будет делать reboot.

Проверьте новым CureIt'ом в безопасном режиме ещё раз весь диск? где находится ОС (или выброчно только папки WINDOWS и Documents and Settings). Перезагрузитесь.

Спасибо за помощь. Попробую. Однако вирус сидел на диске Д

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Андрей-001    1099

Андрей-001
Опубликовано
Однако вирус сидел на диске Д

"Сидеть" то они могут где угодно, :) но их цель - системные директории и корни дисков, а также внедрение в активные процессы системы. Перезагрузка может быть вызвана как их активным участием, т.к. и другими программными, а также банальными аппаратно-техническими причинами.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

DragonUA    0

DragonUA
Опубликовано

решается заменой ИБП(был APC350CS, поставили Powercom WAR 400A), замена блока питания не помогает

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Помощь

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      В документации правильно, просто забыл убрать, после того как сменил тип интеграции.   Удаление исключений работает только в режиме виртуализации, в принципе системная защита ядра легко преодолевается, но дефендер тогда сходит с ума и ведет себя неадекватно, поэтому только виртуализация, можно конечно допилить что бы удалялось через api, но это все равно не будет работать с неактивной системой, поэтому оставил так как есть.
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      Demkd, судя по тестам интеграция uVS и  WinRE, запуск uVS из меню Winpe прошли нормально. (проверил на W10), Единственно, после завершения интеграции выходит сообщение, что при обновлении uVS интеграцию необходимо повторить. Так ли это? В документации указано, что если обновление выполнено в каталоге, который ранее был интегрирован с WinRe, то повторная интеграция не нужна.  
    • santy
      uVS - Тестирование

      От santy · Опубликовано

      RP55, это запись в реестре на исключение из проверки в Windefender. запись защищенная в Wndef, поэтому просто через delref в uVS ее не удалить из реестра. И это правильно.
    • PR55.RP55
      uVS - Тестирование

      От PR55.RP55 · Опубликовано

      Demkd Вот допустим в образе\системе есть запись: Полное имя                  C:\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1
      Имя файла                   GOODBYEDPI-0.2.3RC1
      Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ Исключение
                                  
      Сохраненная информация      на момент создания образа
      Статус                      ПОДОЗРИТЕЛЬНЫЙ Исключение
      Инф. о файле                Не удается найти указанный файл.
      Цифр. подпись               проверка не производилась
                                  
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                                  
      Ссылки на объект            
      Ссылка                      HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc1
      C:\Users\lusys\OneDrive\Документы\goodbyedpi-0.2.3rc10
                                   При применении команды: Alt+Del delref %SystemDrive%\USERS\LUSYS\ONEDRIVE\ДОКУМЕНТЫ\GOODBYEDPI-0.2.3RC1 т.е. вопрос, что будет при удалении ссылки и почему статус Исключение - и если он должен исключать - то почему не исключает?
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Сейчас в ряде случаев готовые скрипты и образы приходиться размещать на сторонних ресурсах - типа Яндекс диска и т.д. А тем временем есть оф. сайт... т.е. Предлагаю добавить в меню uVS команды: Файл: Создать полный образ автозапуска и разместить образ\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/MSI_2024-12-24_16-07-15_v4.14.6 ------------ В Меню Скрипт - команду: Сохранить автоматически созданный скрипт в файл и разместить\получить ссылку с оф. сайта: http://dsrt.dyndns.org:8888 * Соответственно Пользователь\Оператор получает ссылку типа: http://dsrt.dyndns.org:8888/Скрипт: 001 - & - MSI_2024-12-24_16-07-15_v4.14.6 ---------- 1) Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск WIM 2) Вариант: Добавить в меню команду: Выделить свободное место на диске ( Создать диск Х  ) ; создать загрузочный диск и скопировать на диск прошедшие проверку системные файлы\файлы образа. Это всё можно сделать заранее - до заражения системы. Кроме того далеко не всегда проблемы в работе системы связанны с вирусами. А так флешка не нужна - всё всегда на месте.  
×