Ibrahimović 2 Опубликовано 12 сентября, 2009 Share Опубликовано 12 сентября, 2009 (изменено) В общем, в названии темы и изложена вся суть. Меня беспокоит это: 10.09.2009 14:03:34 Обнаружено: Packed.Win32.Klone.bj C:\WINDOWS\system32\csrcs.exe/PE_Patch.UPX/UPX KIS его после перезагрузки удалил, но дело в том, что это было уже 3-е пришествие этого файла после того, как KIS его уже 2 раза в своё время удалял. Раньше компьютер вообще при каждом запуске писал ошибку, что он не может найти данный файл, и советовал мне воспользоваться поиском. Надеюсь на Ваш скорый ответ. Логи прилагаются. http://www.getsysteminfo.com/read.php?file...79a13fdacc75e1d virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log GetSystemInfo_IBRAHIMOVIC_Домашний_2009_09_12_10_19_09.zip Изменено 12 сентября, 2009 пользователем Ibrahimović Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 12 сентября, 2009 Share Опубликовано 12 сентября, 2009 Удалите бунжур. Если используете антивирус касперского, то удалите остатки доктора веба из системы! В HJT пофиксите строчки: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing) O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg Цитата Ссылка на сообщение Поделиться на другие сайты
Ibrahimović 2 Опубликовано 12 сентября, 2009 Автор Share Опубликовано 12 сентября, 2009 (изменено) Удалите бунжур.Если используете антивирус касперского, то удалите остатки доктора веба из системы! В HJT пофиксите строчки: R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing) O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg HJT пофиксил, "Бунжур" удалил, а вот с "Доктором Вебом" Вы меня лично огорошили, так как я никогда данное ПО не устанавливал. Изменено 12 сентября, 2009 пользователем Ibrahimović Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 12 сентября, 2009 Share Опубликовано 12 сентября, 2009 Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web® У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe Повторите лог HJT + AVZ стандартный скрипт номер 2. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Ibrahimović 2 Опубликовано 12 сентября, 2009 Автор Share Опубликовано 12 сентября, 2009 (изменено) Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe Повторите лог HJT + AVZ стандартный скрипт номер 2. Выполнил попрошенные Вами логи. Использовал ремувер для "Веба", насчёт результата ничего не знаю. P. S. Мне надо уйти, вернусь примерно в 15:30 или 16:00. Не подумайте, что я всё бросил. hijackthis.log virusinfo_syscheck.zip Изменено 12 сентября, 2009 пользователем Ibrahimović Цитата Ссылка на сообщение Поделиться на другие сайты
миднайт 21 Опубликовано 12 сентября, 2009 Share Опубликовано 12 сентября, 2009 Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили? Цитата Ссылка на сообщение Поделиться на другие сайты
Ibrahimović 2 Опубликовано 12 сентября, 2009 Автор Share Опубликовано 12 сентября, 2009 (изменено) Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили? "Бунжур" удалял через "Панель управления" ---> "Установка и удаление программ". Файл "hosts" редактировал лично сам, для того, чтобы поиграть в одну игру по И-нету. Изменено 12 сентября, 2009 пользователем Ibrahimović Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 сентября, 2009 Share Опубликовано 12 сентября, 2009 Проверьте в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием. В папке system32 могут быть еще два файлика autorun.in, autorun.i Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923 Цитата Ссылка на сообщение Поделиться на другие сайты
Ibrahimović 2 Опубликовано 12 сентября, 2009 Автор Share Опубликовано 12 сентября, 2009 Проверьте в реестре в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием. В папке system32 могут быть еще два файлика autorun.in, autorun.i Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923 Сделал всё, как вы сказали. В результате махинаций с реестром открылся доступ к скрытым файлам и папкам компьютера. "Bonjour" по схеме, предложенной на выложенном Вами сайте, я удалил. не понял только что делать с utorun.in и autorun.i. Файлы эти в данной директории есть. Их удалять надо или нет? Все свои расшаренные папки я прикрыл. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 сентября, 2009 Share Опубликовано 12 сентября, 2009 (изменено) Эти файлы удаляйте. Это следы Clone.bj Кроме того, этот вирус может попадать на компьютер с флэшек. Изменено 12 сентября, 2009 пользователем thyrex 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.