shurik_00 Опубликовано 28 апреля, 2011 Опубликовано 28 апреля, 2011 Здравствуйте, прошу проверить мой нетбук, мне кажется с ним не все в порядке... Очень долго загружается нетбук (время до загрузки рабочего стола иногда доходит до 2 минут). Иногда в гуглхроме открываются левые сайты... У меня установлен антивирус Аваст, сканирование ничего не дает, вирусов не находит. Правила раздела прочитал, отчеты прикрепляю hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip
Tiare Опубликовано 28 апреля, 2011 Опубликовано 28 апреля, 2011 (изменено) Здравствуйте Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\fufouwap.exe',''); QuarantineFile('C:\WINDOWS\system32\zoufommouluw.exe',''); QuarantineFile('C:\WINDOWS\system32\jotourusouc.exe',''); QuarantineFile('C:\WINDOWS\system32\varyzad.exe',''); QuarantineFile('C:\windows\system32\system.exe',''); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); QuarantineFile('c:\program files\hp\hpbtwd.exe',''); QuarantineFile('Finishing DriverPacks Installation',''); DeleteFile('C:\WINDOWS\system32\fufouwap.exe'); DeleteFile('C:\WINDOWS\system32\zoufommouluw.exe'); DeleteFile('C:\WINDOWS\system32\jotourusouc.exe'); DeleteFile('C:\WINDOWS\system32\varyzad.exe'); DeleteFile('C:\windows\system32\system.exe'); DeleteFile('C:\WINDOWS\system32\userini.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hoorufa'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','userini'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','couwegou'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Services'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Services'); DeleteService('ajwa3iaaatia'); DeleteService('edep9oe1'); ExecuteSysClean; ExecuteRepair(1 ); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Niooiee@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKLM\..\Run: [couwegou] C:\WINDOWS\system32\varyzad.exe O4 - HKLM\..\Run: [hoorufa] C:\WINDOWS\system32\jotourusouc.exe O4 - HKLM\..\Run: [Services] C:\windows\system32\system.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Run: [Services] C:\windows\system32\system.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. + Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (есть будет). Дожидаетесь результата. Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме c:\program files\hp\hpbtwd.exe C:\WINDOWS\system32\drivers\Haspnt.sys Ссылки на результат проверки прикрепите к вашему ответу + Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + Повторите логи AVZ Важно! >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Это большая уязвимость для вашей системы, поэтому можете выполнить скрипт для отключения автозапуска с различных носителей (автозапуск с CD останется). begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RebootWindows(true); end. Жду ваших отчетов Изменено 28 апреля, 2011 пользователем Tiare
shurik_00 Опубликовано 29 апреля, 2011 Автор Опубликовано 29 апреля, 2011 Все сделал, автозапуск тоже решил отключить. Нетбук загружаться стал заметно быстрее))) Карантин отправил, ответ пришел такой Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди. hpbtwd.exe Файл в процессе обработки. С уважением, Лаборатория Касперского 123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru Вот ссылки на проверку файлов http://www.virustotal.com/file-scan/report...8074-1304062144 http://www.virustotal.com/file-scan/report...2c8e-1304062209 вот отчеты mbam_log_2011_04_29__01_38_01_.txt info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Что скажете?
Tiare Опубликовано 29 апреля, 2011 Опубликовано 29 апреля, 2011 shurik_00, удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken. Заражённые файлы: c:\documents and settings\HP\Desktop\vegas-pro-8\vegas-pro-8.0c\vegas-pro-8.0c\Keygen.exe (RiskWare.Tool.CK) -> No action taken. c:\documents and settings\HP\application data\wiaservg.log (Malware.Trace) -> No action taken. Удалять кейген или нет - это на ваше усмотрение. Подготовьте новые логи по правилам Проблемы какие-то остались у вас?
shurik_00 Опубликовано 1 мая, 2011 Автор Опубликовано 1 мая, 2011 Все сделал. Кряк удалил вместе с программой. Как думаете, мне нужно ставить другой антивирус? Что посоветуете? Да вроде нет больше проблем))) Спасибо! mbam_log_2011_05_01__23_02_56_.txt mbam_log_2011_05_02__00_17_32_.txt hijackthis2.log virusinfo_syscheck.zip virusinfo_syscure.zip
Tiare Опубликовано 2 мая, 2011 Опубликовано 2 мая, 2011 (изменено) shurik_00, по логам все чисто. Обязательно деинсталлируйте Malwarebytes' Anti-Malware! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. Обязательно! - обновите Java до актуальной версии - обновите Adobe Reader до актуальной версии Если Вы хотите избежать нового заражения, то желательно: - не работать за компьютером с правами администратора; - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность; - регулярно устанавливать обновления windows и обновлять антивирусные базы; - можно периодически проверять систему антивирусными утилитами CureIT и AVPTool. После завершения лечения советую вам посетить эту тему , чтобы узнать больше об эффективных мерах профилактики заражения. P.S. у вас было заражение почтовым червем, поэтому рекомендую не открывать вложения в письмах от неизвестных вам адресатов. Если же письмо пришло от друга, а вы его не ждали, или если очень интересно посмотреть вложение, то сначала сохраните вложение на жесткий диск, просканируйте антивирусом и только потом открывайте. Что касается смены антивируса, то однозначно нужно устанавливать комплексный продукт, т.е. антивирус + проактивная защита + файервол. Только антивирус не обеспечивает полноценную защиту, если ваш компьютер подключен к сети интернет. Изменено 2 мая, 2011 пользователем Tiare
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти