При загрузке системы появляется сообщение...

[belush]

Привет всем! Ситуация такая. На днях во время серфинга по интернету вылез баннер типа "положите деньги на такой-то номер, иначе система будет убита через 12 часов" (при этом управление компьютером было блокировано). После перезагрузки компьютера баннер исчез, но в автозапуск была добавлена какая-то программа (непонятный набор символов) - на рабочий стол вылезало 2 диалоговых окна с "выполнить" или "отмена" двух файлов "info.exe" и "calc.exe". Я отменил запуск этих файлов и удалил из автозагрузки "новобранца". После этого просканировал штатным антивирусником и дополнительно Dr. Web Curelt - никаких подозрительных объектов они не нашли. Теперь при загрузке системы вылезает вот такое окно ошибки: ""Windows не удалось найти "C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files\Content.IE5\X5MLEUOH\calc[1].exe". Проверьте, что имя введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выполните команду "Найти"."" Вопрос в том, как убрать это сообщение?

[gortaur]

Цитата:

Сообщение от belush

Вопрос в том, как убрать это сообщение?

ответ-вот это сделать

[OlegSh]

Скачайте утилиту Autoruns, запустите и снимите галку с запуска C:\Documents and Settings\имя пользователя\Local Settings\Temporary Internet Files\Content.IE5\X5MLEUOH\calc[1].exe

[gortaur]

OlegSh, следы то от зловреда все равно в системе останутся в этом случае

[OlegSh]

Цитата:

Сообщение от gortaur

OlegSh, следы то от зловреда все равно в системе останутся в этом случае

Если верить belush, то

Цитата:

Сообщение от belush

После этого просканировал штатным антивирусником и дополнительно Dr. Web Curelt - никаких подозрительных объектов они не нашли

---------- Добавлено в 18:14 ---------- Предыдущее сообщение было написано в 17:56 ----------

Да и вообще, сообщение-то какое:

Цитата:

Сообщение от belush

Windows не удалось найти

[gortaur]

OlegSh, это после вот этого то система чистая?

Цитата:

Сообщение от belush

вылез баннер типа "положите деньги на такой-то номер, иначе система будет убита через 12 часов" (при этом управление компьютером было блокировано)

повторюсь-следы зловреда в любом случае остались и авторанс эту проблему не решит-ИМХО

[belush]

http://exfile.ru/179398 и http://exfile.ru/179399 (логи AVZ и HiJackThis)

[OlegSh]

))) gortaur, я целиком согласен, что возможно у него еще и остались зловреды, но тут ведь проблема в том, что после уничтожения зловреда осталась запись в реестре на запуск ненужного софта (возможно именно на тело зловреда). Вот это и надо отключить. да и сама постановка вопроса какая была?

Цитата:

Сообщение от belush

Вопрос в том, как убрать это сообщение?

belush, уберете это надоедливое сообщение и, для пущей убедительности, добро пожаловать сюда: http://pchelpforum.ru/f26/t6442/

[belush]

Цитата:

Сообщение от FreddikMerfi

belush, еси долго ждать не хочется решения логов, то поправьте реестр - Пуск - Выполнить - regedit - ОК - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run - спарва посмотрите нет ли строкового параметра с этим файлом GV31DKVG\calc[1].exe если есть то удалите его, и ещё гляньте по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и справа параметр Sheel в нём должно быть прописано только одно Explorer.exe если что то дальше ещё написано, то удалите.

Все посмотрел - ничего лишнего нет. После выполнения скриптов в AVZ и дальнейшей перезагрузки сообщение больше не вылезает.

[gortaur]

belush, все же дождитесь проверки логов специалистами - там еще есть что почистить

[Powwow]

belush, выполните скрипт в AVZ (Файл - Выполнить скрипт...):

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\nsis_loader.dll','');
 QuarantineFile('C:\WINDOWS\Installer\e09d4.msi','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\sysext\esscdbk\esscdbk.msi','');
 DeleteFile('C:\WINDOWS\system32\nsis_loader.dll');
 DeleteFile('C:\WINDOWS\Installer\e09d4.msi');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\sysext\esscdbk\esscdbk.msi');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip.

[belush]

Цитата:

Сообщение от Powwow

belush, выполните скрипт в AVZ (Файл - Выполнить скрипт...):

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\nsis_loader.dll','');
 QuarantineFile('C:\WINDOWS\Installer\e09d4.msi','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\sysext\esscdbk\esscdbk.msi','');
 DeleteFile('C:\WINDOWS\system32\nsis_loader.dll');
 DeleteFile('C:\WINDOWS\Installer\e09d4.msi');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Kodak\EasyShareSetup\sysext\esscdbk\esscdbk.msi');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните в AVZ стандартный скрипт 2 и выложите файл лога virusinfo_syscheck.zip.

http://exfile.ru/179429

[Powwow]

В логах больше ничего не вижу, может более опытные товарищи ещё чего разглядят. Что с проблеммой ?

[belush]

Powwow, проблемы больше нет (загрузка системы проходит чисто). В общем, большое спасибо всем откликнувшимся за участие! Если у кого-то будут дополнения, то пишите свои соображения и рекомендации. Заранее благодарен.