вирусы на ноуте

[красноджан]

вирус не дает установить касперского, удаляет dr.web, и не дает обновится авасту, а еще блокирует доступ в интернет Internet explorer, Opera, Google hrome

[Mark D. Pearlstone]

Правила раздела снова не выполнили.

[красноджан]

я не забыл

 

вот второй, а virusinfo_cure выставлять?

hijackthis.log

virusinfo_syscure.zip

[Mark D. Pearlstone]

я не забыл

 

вот второй, а virusinfo_cure выставлять?

virusinfo_syscheck.zip нужен.

Сообщение от модератора Mark D. Pearlstone

Запомните. Сначала выполняете правила раздела (делаете логи), потом создаёте тему.

[красноджан]

а virusinfo_syscheck.zip у меня нету

[Roman_Five]

а virusinfo_syscheck.zip у меня нету

10 пункт правил.

уже не смешно.

 

+

Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

[Tiare]

Здравствуйте, прежде чем приступить к лечению компьютера, выполните следующие правила:

 

1. Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

2. Создайте новую контрольную точку восстановления системы и проведите очистку предыдущих:

• Создание новой точки восстановления:

Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

• Очистка всех предыдущих точек восстановления:

Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

 

 

Перед выполнением следующих пунктов отключите интернет, закройте все программы, включая антивирусное программное обеспечение и firewall.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\documents and settings\Святик\local settings\application data\{13f13724-8fe2-1bd7-5a46-ac5f253bbaa7}\.exe');
QuarantineFile('c:\documents and settings\Святик\local settings\application data\{13f13724-8fe2-1bd7-5a46-ac5f253bbaa7}\.exe','');
QuarantineFile('C:\WINDOWS\sysdriver32.exe','');
QuarantineFile('C:\Documents and Settings\Святик\1042420943\1042420943.exe','');
QuarantineFile('C:\WINDOWS\av_soft.exe','');
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
QuarantineFile('C:\Documents and Settings\Святик\Мои документы\golosa_vkontakte.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\C7xUSBX3.sys','');
QuarantineFile('c:\docume~1\72fe~1\locals~1\temp\torrent2exe\t2e.exe','');
DeleteFile('c:\documents and settings\Святик\local settings\application data\{13f13724-8fe2-1bd7-5a46-ac5f253bbaa7}\.exe');
DeleteFile('C:\WINDOWS\sysdriver32.exe');
DeleteFile('C:\Documents and Settings\Святик\1042420943\1042420943.exe');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
DeleteFile('C:\WINDOWS\av_soft.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_soft.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
DeleteService('srvsysdriver32');
BC_ImportAll;  
ExecuteSysClean;
BC_DeleteSvc('srvsysdriver32');
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Пофиксите в HijackThis следующие строчки:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: Shell=C:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Святик\1042420943\1042420943.exe
O4 - HKLM\..\Run: [av_soft.exe] "C:\WINDOWS\av_soft.exe" 2 0
O4 - HKLM\..\RunOnce: [AD Network] "C:\Documents and Settings\Святик\Local Settings\Application Data\{13F13724-8FE2-1BD7-5A46-AC5F253BBAA7}\.exe" ?
O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

+

 

Проверьте эти файлы на virustotal

 

c:\docume~1\72fe~1\locals~1\temp\torrent2exe\t2e.exe 
C:\Documents and Settings\Святик\Мои документы\golosa_vkontakte.exe
C:\WINDOWS\system32\DRIVERS\C7xUSBX3.sys
C:\WINDOWS\system32\asr_fmt.exe
C:\WINDOWS\system32\asr_ldm.exe
C:\WINDOWS\system32\asr_pfu.exe

Ссылки на результаты проверки прикрепите к вашему сообщению.

 

Выполните новые логи по правилам. Не забудьте перед этим обновить базы AVZ

 

Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Запустите AVZ и обновите базы ("Файл" => "Обновление баз")

 

 

Кроме того, у вас в системе несколько антивирусов (Microsoft Security Essentials, AVAST, DrWeb)! Ненужные программы деинсталлируйте. Подробности тут

[красноджан]

у меня avz и avast не обновляются!

[Mark D. Pearlstone]

у меня avz и avast не обновляются!

Обновите сначала базы на том компьютере, с которого сейчас пишите, а потом скиньте AVZ на заражённый.

[thyrex]

C:\Documents and Settings\Святик\Мои документы\golosa_vkontakte.exe - это вредонос. Можно смело сносить

[красноджан]

это из-за него меня вечно вконтакте взламывают?

 

я его не вижу и как его удалить?

[Roman_Five]

Выполните по максимум всё то, о чём говорилось здесь

 

не забудьте приложить ВСЕ новые логи

[красноджан]

у меня все равно Internet Explorer не работает

[Mark D. Pearlstone]

не забудьте приложить ВСЕ новые логи

Строгое предупреждение от модератора Mark D. Pearlstone

красноджан, либо вы наконец-то начнёте выполнять то, что вас просят, либо вам будет вынесено предупреждение в ЦП, а тема будет закрыта.

[красноджан]

вот новые логи

virusinfo_syscure.zip

hijackthis.log