01.10.2010, 00:37 | #1 (ссылка) |
Новичок
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
|
Вирусы
В компе была их целая куча, вроде все удалила, но после этого папка мои документы начала сама запускаться. Как это убрать? в автозапуске ее нет. http://exfile.ru/128690 и http://exfile.ru/128691
|
01.10.2010, 05:55 | #2 (ссылка) |
Мастер
|
khimik, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('gupdate1ca7398b5a8ba3c.sys',''); DeleteFile('gupdate1ca7398b5a8ba3c.sys'); DeleteFile('C:\WINDOWS\system32\rescue32.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue'); DeleteService('gupdate1ca7398b5a8ba3c'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('TSW',2,3,true); RebootWindows(true); end. |
01.10.2010, 10:48 | #3 (ссылка) |
Новичок
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
|
Папка мои документы все равно сама открывается http://exfile.ru/128736
|
01.10.2010, 12:29 | #4 (ссылка) |
Мастер
|
khimik, пофиксите в HijackThis следующие строки:
Код:
R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file) O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10 Сколько у Вас антивирусов? Видны следы NOD, аваст, панда ненужные удалите. |
01.10.2010, 14:26 | #5 (ссылка) |
Новичок
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
|
стоит аваст, а как удалить следы старых? в HijackThis было только R3 - URLSearchHook: (no name) - - (no file), остальных не было
---------- Добавлено в 13:26 ---------- Предыдущее сообщение было написано в 12:42 ---------- http://exfile.ru/128773 |
01.10.2010, 14:59 | #6 (ссылка) |
Мастер
|
khimik, Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ekrn'); DeleteService('EhttpSrv'); DeleteFile('C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe'); DeleteFile('C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe'); DeleteFile('C:\WINDOWS\system32\qtplugin.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
01.10.2010, 15:17 | #7 (ссылка) |
Новичок
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
|
при запуске винды папка мои документы все равно открывается http://exfile.ru/128780 http://exfile.ru/128781
|
01.10.2010, 15:28 | #8 (ссылка) | |
Мастер
|
khimik, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); RebootWindows(true); end. Вот такой лог сделайте: Цитата:
|
|
Ads | |
01.10.2010, 18:54 | #10 (ссылка) |
Мастер
|
khimik, удалите в МВАМ:
Код:
KEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\4 элемента (P2P.Dropper) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\сокровища монтесумы (P2P.Dropper) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken. Зараженные папки: C:\Documents and Settings\Наташа\Application Data\FieryAds (Adware.FieryAds) -> No action taken. Зараженные файлы: C:\Documents and Settings\Наташа\Мои документы\Downloads\Office Enterprise\keygen.exe (RiskWare.Tool.CK) -> No action taken. C:\Documents and Settings\Наташа\Мои документы\My Games\TheTreasuresOfMontezumaRus_1472.exe (P2P.Dropper) -> No action taken. C:\Documents and Settings\Наташа\Мои документы\My Games\TheTreasuresOfMontezumaRus_1573.exe (P2P.Dropper) -> No action taken. C:\Program Files\Alawar\4 элемента\Uninstall.exe (P2P.Dropper) -> No action taken. C:\Program Files\Alawar\Сокровища Монтесумы\Uninstall.exe (P2P.Dropper) -> No action taken. C:\Program Files\Port_Movie+Maker_v2.6\Movie Maker\Movie Maker\WMM2EXT.dll (Malware.Packer.Gen) -> No action taken. C:\Program Files\Port_Movie+Maker_v2.6\Movie Maker\Movie Maker\WMM2FILT.dll (Malware.Packer.Gen) -> No action taken. C:\Documents and Settings\Наташа\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken. Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('C:\Documents and Settings\Наташа\Application Data\FieryAds', '*.*', true); DeleteDirectory('C:\Documents and Settings\Наташа\Application Data\FieryAds'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирусы. | Тимофей17 | Безопасность | 0 | 02.12.2010 01:02 |
вирусы... | aldin | Безопасность | 3 | 29.11.2010 10:15 |
Вирусы или нет | khimik | Безопасность | 4 | 10.11.2010 21:45 |
Вирусы | SacredHash | Безопасность | 8 | 20.09.2010 20:31 |
вирусы | facker | Безопасность | 3 | 03.09.2010 19:10 |
Вирусы | rereirf | Безопасность | 3 | 20.08.2010 18:53 |
Вирусы | need_help | Безопасность | 2 | 09.08.2010 20:25 |
вирусы | Фокс | Безопасность | 7 | 09.07.2010 11:23 |
вирусы! | hellandsteel | Безопасность | 9 | 07.07.2010 17:02 |
вирусы? | Qiker | Безопасность | 5 | 18.08.2009 17:15 |
ВИРУСЫ | Smyshlik | Безопасность | 2 | 17.01.2008 15:26 |