Ibrahimović Опубликовано 12 сентября, 2009 Поделиться Опубликовано 12 сентября, 2009 (изменено) В общем, в названии темы и изложена вся суть. Меня беспокоит это: 10.09.2009 14:03:34 Обнаружено: Packed.Win32.Klone.bj C:\WINDOWS\system32\csrcs.exe/PE_Patch.UPX/UPX KIS его после перезагрузки удалил, но дело в том, что это было уже 3-е пришествие этого файла после того, как KIS его уже 2 раза в своё время удалял. Раньше компьютер вообще при каждом запуске писал ошибку, что он не может найти данный файл, и советовал мне воспользоваться поиском. Надеюсь на Ваш скорый ответ. Логи прилагаются. http://www.getsysteminfo.com/read.php?file...79a13fdacc75e1d virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log GetSystemInfo_IBRAHIMOVIC_Домашний_2009_09_12_10_19_09.zip Изменено 12 сентября, 2009 пользователем Ibrahimović Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 12 сентября, 2009 Поделиться Опубликовано 12 сентября, 2009 Удалите бунжур. Если используете антивирус касперского, то удалите остатки доктора веба из системы! В HJT пофиксите строчки: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing) O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg Ссылка на комментарий Поделиться на другие сайты Поделиться
Ibrahimović Опубликовано 12 сентября, 2009 Автор Поделиться Опубликовано 12 сентября, 2009 (изменено) Удалите бунжур.Если используете антивирус касперского, то удалите остатки доктора веба из системы! В HJT пофиксите строчки: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing) O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg HJT пофиксил, "Бунжур" удалил, а вот с "Доктором Вебом" Вы меня лично огорошили, так как я никогда данное ПО не устанавливал. Изменено 12 сентября, 2009 пользователем Ibrahimović Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 12 сентября, 2009 Поделиться Опубликовано 12 сентября, 2009 Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web® У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe Повторите лог HJT + AVZ стандартный скрипт номер 2. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Ibrahimović Опубликовано 12 сентября, 2009 Автор Поделиться Опубликовано 12 сентября, 2009 (изменено) Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe Повторите лог HJT + AVZ стандартный скрипт номер 2. Выполнил попрошенные Вами логи. Использовал ремувер для "Веба", насчёт результата ничего не знаю. P. S. Мне надо уйти, вернусь примерно в 15:30 или 16:00. Не подумайте, что я всё бросил. hijackthis.log virusinfo_syscheck.zip Изменено 12 сентября, 2009 пользователем Ibrahimović Ссылка на комментарий Поделиться на другие сайты Поделиться
миднайт Опубликовано 12 сентября, 2009 Поделиться Опубликовано 12 сентября, 2009 Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили? Ссылка на комментарий Поделиться на другие сайты Поделиться
Ibrahimović Опубликовано 12 сентября, 2009 Автор Поделиться Опубликовано 12 сентября, 2009 (изменено) Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили? "Бунжур" удалял через "Панель управления" ---> "Установка и удаление программ". Файл "hosts" редактировал лично сам, для того, чтобы поиграть в одну игру по И-нету. Изменено 12 сентября, 2009 пользователем Ibrahimović Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 12 сентября, 2009 Поделиться Опубликовано 12 сентября, 2009 Проверьте в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием. В папке system32 могут быть еще два файлика autorun.in, autorun.i Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923 Ссылка на комментарий Поделиться на другие сайты Поделиться
Ibrahimović Опубликовано 12 сентября, 2009 Автор Поделиться Опубликовано 12 сентября, 2009 Проверьте в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием. В папке system32 могут быть еще два файлика autorun.in, autorun.i Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923 Сделал всё, как вы сказали. В результате махинаций с реестром открылся доступ к скрытым файлам и папкам компьютера. "Bonjour" по схеме, предложенной на выложенном Вами сайте, я удалил. не понял только что делать с utorun.in и autorun.i. Файлы эти в данной директории есть. Их удалять надо или нет? Все свои расшаренные папки я прикрыл. Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 12 сентября, 2009 Поделиться Опубликовано 12 сентября, 2009 (изменено) Эти файлы удаляйте. Это следы Clone.bj Кроме того, этот вирус может попадать на компьютер с флэшек. Изменено 12 сентября, 2009 пользователем thyrex 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти