Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 01.10.2010, 00:37   #1 (ссылка)
Новичок
 
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
По умолчанию Вирусы

В компе была их целая куча, вроде все удалила, но после этого папка мои документы начала сама запускаться. Как это убрать? в автозапуске ее нет. http://exfile.ru/128690 и http://exfile.ru/128691
khimik вне форума  
Старый 01.10.2010, 05:55   #2 (ссылка)
Мастер
 
Аватар для Iljeben
 
Регистрация: 27.10.2008
Сообщений: 9,488
Записей в блоге: 4
Репутация: 702
По умолчанию

khimik, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('gupdate1ca7398b5a8ba3c.sys','');
 DeleteFile('gupdate1ca7398b5a8ba3c.sys');
 DeleteFile('C:\WINDOWS\system32\rescue32.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');
 DeleteService('gupdate1ca7398b5a8ba3c');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.
Iljeben вне форума  
Старый 01.10.2010, 10:48   #3 (ссылка)
Новичок
 
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
По умолчанию

Папка мои документы все равно сама открывается http://exfile.ru/128736
khimik вне форума  
Старый 01.10.2010, 12:29   #4 (ссылка)
Мастер
 
Аватар для Iljeben
 
Регистрация: 27.10.2008
Сообщений: 9,488
Записей в блоге: 4
Репутация: 702
По умолчанию

khimik, пофиксите в HijackThis следующие строки:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O4 - HKLM\..\Run: [RegistryMonitor1] C:\WINDOWS\system32\qtplugin.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.157 85.255.112.10
Проверьте что с проблемой.

Сколько у Вас антивирусов? Видны следы NOD, аваст, панда ненужные удалите.
Iljeben вне форума  
Старый 01.10.2010, 14:26   #5 (ссылка)
Новичок
 
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
По умолчанию

стоит аваст, а как удалить следы старых? в HijackThis было только R3 - URLSearchHook: (no name) - - (no file), остальных не было

---------- Добавлено в 13:26 ---------- Предыдущее сообщение было написано в 12:42 ----------

http://exfile.ru/128773
khimik вне форума  
Старый 01.10.2010, 14:59   #6 (ссылка)
Мастер
 
Аватар для Iljeben
 
Регистрация: 27.10.2008
Сообщений: 9,488
Записей в блоге: 4
Репутация: 702
По умолчанию

khimik, Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ekrn');
 DeleteService('EhttpSrv');
 DeleteFile('C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe');
 DeleteFile('C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe');
 DeleteFile('C:\WINDOWS\system32\qtplugin.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip. Плюс новый лог HijackThis.
Iljeben вне форума  
Старый 01.10.2010, 15:17   #7 (ссылка)
Новичок
 
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
По умолчанию

при запуске винды папка мои документы все равно открывается http://exfile.ru/128780 http://exfile.ru/128781
khimik вне форума  
Старый 01.10.2010, 15:28   #8 (ссылка)
Мастер
 
Аватар для Iljeben
 
Регистрация: 27.10.2008
Сообщений: 9,488
Записей в блоге: 4
Репутация: 702
По умолчанию

khimik, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться.
Вот такой лог сделайте:
Цитата:
1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссыку выложите на форум.
Iljeben вне форума  
Ads
Старый 01.10.2010, 16:59   #9 (ссылка)
Новичок
 
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
По умолчанию

http://exfile.ru/128800
khimik вне форума  
Старый 01.10.2010, 18:54   #10 (ссылка)
Мастер
 
Аватар для Iljeben
 
Регистрация: 27.10.2008
Сообщений: 9,488
Записей в блоге: 4
Репутация: 702
По умолчанию

khimik, удалите в МВАМ:
Код:
KEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\4 элемента (P2P.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\сокровища монтесумы (P2P.Dropper) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Наташа\Application Data\FieryAds (Adware.FieryAds) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Наташа\Мои документы\Downloads\Office Enterprise\keygen.exe (RiskWare.Tool.CK) -> No action taken.
C:\Documents and Settings\Наташа\Мои документы\My Games\TheTreasuresOfMontezumaRus_1472.exe (P2P.Dropper) -> No action taken.
C:\Documents and Settings\Наташа\Мои документы\My Games\TheTreasuresOfMontezumaRus_1573.exe (P2P.Dropper) -> No action taken.
C:\Program Files\Alawar\4 элемента\Uninstall.exe (P2P.Dropper) -> No action taken.
C:\Program Files\Alawar\Сокровища Монтесумы\Uninstall.exe (P2P.Dropper) -> No action taken.
C:\Program Files\Port_Movie+Maker_v2.6\Movie Maker\Movie Maker\WMM2EXT.dll (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Port_Movie+Maker_v2.6\Movie Maker\Movie Maker\WMM2FILT.dll (Malware.Packer.Gen) -> No action taken.
C:\Documents and Settings\Наташа\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\Documents and Settings\Наташа\Application Data\FieryAds', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Наташа\Application Data\FieryAds');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта комп перезагрузиться. Смотрим что с проблемой
Iljeben вне форума  
Старый 01.10.2010, 22:03   #11 (ссылка)
Новичок
 
Регистрация: 15.07.2010
Сообщений: 37
Репутация: 0
Thumbs up

Спасибо, вроде бы все нормально работает
khimik вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вирусы. Тимофей17 Безопасность 0 02.12.2010 01:02
вирусы... aldin Безопасность 3 29.11.2010 10:15
Вирусы или нет khimik Безопасность 4 10.11.2010 21:45
Вирусы SacredHash Безопасность 8 20.09.2010 20:31
вирусы facker Безопасность 3 03.09.2010 19:10
Вирусы rereirf Безопасность 3 20.08.2010 18:53
Вирусы need_help Безопасность 2 09.08.2010 20:25
вирусы Фокс Безопасность 7 09.07.2010 11:23
вирусы! hellandsteel Безопасность 9 07.07.2010 17:02
вирусы? Qiker Безопасность 5 18.08.2009 17:15
ВИРУСЫ Smyshlik Безопасность 2 17.01.2008 15:26


Текущее время: 14:03. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.