Ibrahimović Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 (изменено) В общем, в названии темы и изложена вся суть. Меня беспокоит это: 10.09.2009 14:03:34 Обнаружено: Packed.Win32.Klone.bj C:\WINDOWS\system32\csrcs.exe/PE_Patch.UPX/UPX KIS его после перезагрузки удалил, но дело в том, что это было уже 3-е пришествие этого файла после того, как KIS его уже 2 раза в своё время удалял. Раньше компьютер вообще при каждом запуске писал ошибку, что он не может найти данный файл, и советовал мне воспользоваться поиском. Надеюсь на Ваш скорый ответ. Логи прилагаются. http://www.getsysteminfo.com/read.php?file...79a13fdacc75e1d virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log GetSystemInfo_IBRAHIMOVIC_Домашний_2009_09_12_10_19_09.zip Изменено 12 сентября, 2009 пользователем Ibrahimović
миднайт Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 Удалите бунжур. Если используете антивирус касперского, то удалите остатки доктора веба из системы! В HJT пофиксите строчки: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing) O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg
Ibrahimović Опубликовано 12 сентября, 2009 Автор Опубликовано 12 сентября, 2009 (изменено) Удалите бунжур.Если используете антивирус касперского, то удалите остатки доктора веба из системы! В HJT пофиксите строчки: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing) O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg HJT пофиксил, "Бунжур" удалил, а вот с "Доктором Вебом" Вы меня лично огорошили, так как я никогда данное ПО не устанавливал. Изменено 12 сентября, 2009 пользователем Ibrahimović
миднайт Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web® У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe Повторите лог HJT + AVZ стандартный скрипт номер 2. 1
Ibrahimović Опубликовано 12 сентября, 2009 Автор Опубликовано 12 сентября, 2009 (изменено) Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe Повторите лог HJT + AVZ стандартный скрипт номер 2. Выполнил попрошенные Вами логи. Использовал ремувер для "Веба", насчёт результата ничего не знаю. P. S. Мне надо уйти, вернусь примерно в 15:30 или 16:00. Не подумайте, что я всё бросил. hijackthis.log virusinfo_syscheck.zip Изменено 12 сентября, 2009 пользователем Ibrahimović
миднайт Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили?
Ibrahimović Опубликовано 12 сентября, 2009 Автор Опубликовано 12 сентября, 2009 (изменено) Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили? "Бунжур" удалял через "Панель управления" ---> "Установка и удаление программ". Файл "hosts" редактировал лично сам, для того, чтобы поиграть в одну игру по И-нету. Изменено 12 сентября, 2009 пользователем Ibrahimović
thyrex Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 Проверьте в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием. В папке system32 могут быть еще два файлика autorun.in, autorun.i Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923
Ibrahimović Опубликовано 12 сентября, 2009 Автор Опубликовано 12 сентября, 2009 Проверьте в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием. В папке system32 могут быть еще два файлика autorun.in, autorun.i Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923 Сделал всё, как вы сказали. В результате махинаций с реестром открылся доступ к скрытым файлам и папкам компьютера. "Bonjour" по схеме, предложенной на выложенном Вами сайте, я удалил. не понял только что делать с utorun.in и autorun.i. Файлы эти в данной директории есть. Их удалять надо или нет? Все свои расшаренные папки я прикрыл.
thyrex Опубликовано 12 сентября, 2009 Опубликовано 12 сентября, 2009 (изменено) Эти файлы удаляйте. Это следы Clone.bj Кроме того, этот вирус может попадать на компьютер с флэшек. Изменено 12 сентября, 2009 пользователем thyrex 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти