Swim 0 Опубликовано 6 июня, 2011 Share Опубликовано 6 июня, 2011 После загрузки Windows не загружается explorer.exe. В процессах не отображается. В ручную не запускается - блокируется Ad-watch live сообщает об угрозе Trojan.Win32.Generic!bt. AVZ не помог, сканирование не обнаружило вирусов. Восстановление explorer не помогло. CureIt не обнаружил ничего. Avast не обнаружил. Ad-watch live обнаруживает Trojan.Win32.Generic!bt но не убивает. SuperaAntiSpyware - находит Trojan.Agent.Gen вроде убивает но картина не меняется SpyHunter 4 - находит Malware Generic указывает на заражение ApplicationUpdater.exe но для лечения требуется полная платная версия программы. sfc /scannow - не помогло. Помогите одолеть бяку...! virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на сообщение Поделиться на другие сайты
Tiare 107 Опубликовано 6 июня, 2011 Share Опубликовано 6 июня, 2011 Swim, здравствуйте. Внимание ! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Обновите базы AVZ ((Файл - Обновление баз) и переделайте логи AVZ по правилам Ссылка на сообщение Поделиться на другие сайты
Swim 0 Опубликовано 6 июня, 2011 Автор Share Опубликовано 6 июня, 2011 Сделал... Еще сканировал Mdam лог приложил, если это поможет прояснить картину hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip mbam_log_2011_06_06__21_39_07_.txt Ссылка на сообщение Поделиться на другие сайты
Tiare 107 Опубликовано 6 июня, 2011 Share Опубликовано 6 июня, 2011 (изменено) Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" Begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\program files\application updater\applicationupdater.exe'); SetServiceStart('Application Updater', 4); StopService('Application Updater'); QuarantineFile('c:\program files\application updater\applicationupdater.exe',''); QuarantineFile('C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll',''); QuarantineFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe',''); QuarantineFile('C:\Program Files\IObit Toolbar\IE\4.4\iobitToolbarIE.dll',''); QuarantineFile('jurugx.sys',''); QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys',''); QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys',''); QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys',''); QuarantineFile('C:\Program Files\Anti Trojan Elite\ATEPMon.sys',''); QuarantineFile('C:\WINDOWS\system32\GameMon.des',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys',''); QuarantineFile('C:\Program Files\IObit\IObit Malware Fighter\datastate.dll',''); QuarantineFile('c:\program files\iobit\advanced systemcare 4\pmonitor.exe',''); QuarantineFile('c:\program files\iobit\iobit malware fighter\imfsrv.exe',''); QuarantineFile('c:\program files\iobit\advanced systemcare 4\ascservice.exe',''); QuarantineFile('C:\Program Files\IObit\Protected Folder\PfShellExtension.dll',''); DeleteFile('c:\program files\application updater\applicationupdater.exe'); DeleteFile('C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll'); DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe'); DelBHO('DFDC8970-FD66-4385-B8C0-835A4AA1DA00'); DelBHO('8984B388-A5BB-4DF7-B274-77B879E179DB'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); DeleteService('Application Updater'); BC_ImportAll; ExecuteSysClean; BC_QrFile('jurugx.sys'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. + Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7828/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe" O9 - Extra button: (no name) - DctMapping - (no file) + Проверьте эти файлы на virustotal e:\install\диагностика\norton windoctor 2009\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE e:\install\диагностика\norton windoctor 2009\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe e:\Proram\Eror\erpsetup.exe e:\Proram\error repair professional\errorrepairprofessional.exe Если заражение подтвердится, тогда удаляйте в MBAM. удалите эти файлы в MBAM. После удаления откройте лог и прикрепите его к вашему сообщению. Зараженные модули в памяти: c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken. Зараженные ключи в реестре: HKEY_CURRENT_USER\Software\ErrorRepairPro (Rogue.ErrorRepairProfessional) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> No action taken. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. Зараженные папки: c:\documents and settings\Admin\application data\winxrar (Trojan.Agent) -> No action taken. Зараженные файлы: c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> No action taken. c:\program files\total commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken. e:\install\диагностика\norton windoctor 2009\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE (Trojan.Backdoor) -> No action taken. e:\install\диагностика\norton windoctor 2009\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe (Trojan.Backdoor) -> No action taken. e:\Proram\Eror\erpsetup.exe (Rogue.ErrorRepairProfessional) -> No action taken. e:\Proram\error repair professional\errorrepairprofessional.exe (Rogue.ErrorRepairProfessional) -> No action taken. c:\documents and settings\Admin\application data\winxrar\after.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\dir.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\logo.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\rules.css (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\application data\winxrar\sview (Trojan.Agent) -> No action taken. + Установите Internet Explorer 8 (даже если им не пользуетесь) + обновите Java до актуальной версии + обновите Adobe Reader до актуальной версии Все это вам нужно? Деинсталлируйте то, что не используете. lavasoft\ad-awareiobit\advanced systemcare 4 iobit\iobit malware fighter SpywareTerminator SUPERAntiSpyware spyhunter Anti Trojan Elite После всего выполните новые логи по правилам + отчет MBAM Проблемы какие остались? Изменено 7 июня, 2011 пользователем Tiare 2 Ссылка на сообщение Поделиться на другие сайты
Swim 0 Опубликовано 8 июня, 2011 Автор Share Опубликовано 8 июня, 2011 Quarantine.zip отправил, ответа еще не получил. Аваст отключить не получилось - пришлось убить, причем в ручную т.к. деинсталяция блокировалась. Скрипт AVZ - сделал. HijackThis - пофиксил. Проверить файлы на Virustotal не получилось, выдавало сообщение, что файл слишком большой. Убил в ручную все папки полностью. Произвести удаление через MBAM указанных зараженных файлов не получилось - он их не видит (по этому пункту выполнить не удалось). Explorer 8 - обновил Java - обновил Adobe Reader - обновил Пока проблема не решена, по прежнему explorer.exe не грузится. Ссылка на сообщение Поделиться на другие сайты
Tiare 107 Опубликовано 8 июня, 2011 Share Опубликовано 8 июня, 2011 Swim, После всего выполните новые логи по правилам + отчет MBAM Насчет MBAM, вы запускали полную проверку? Попробуйте еще раз. Ссылка на сообщение Поделиться на другие сайты
Swim 0 Опубликовано 9 июня, 2011 Автор Share Опубликовано 9 июня, 2011 ответа все еще нету! Логи сделал - прилагаю. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log mbam_log_2011_06_09__21_35_39_.txt Ссылка на сообщение Поделиться на другие сайты
Tiare 107 Опубликовано 10 июня, 2011 Share Опубликовано 10 июня, 2011 (изменено) Swim, здравствуйте. Эти папки вы удаляли самостоятельно? e:\Proram\Erore:\Proram\error repair professional Проверьте, есть ли у вас в системе папка c:\documents and settings\Admin\application data\winxrar? Если есть, удалите ее. E:\Proram\Процесс\Process Lasso\processgovernor.exe – сами устанавливали? Используете? Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe C:\Program Files\IObit Toolbar\IE\4.4\iobitToolbarIE.dll C:\Program Files\Anti Trojan Elite\ATEPMon.sys C:\WINDOWS\system32\GameMon.des (или C:\WINDOWS\system32\GameMon.des.exe) C:\WINDOWS\system32\Drivers\SmartDefragDriver.sys C:\Program Files\IObit\IObit Malware Fighter\datastate.dll c:\program files\iobit\iobit malware fighter\imfsrv.exe C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\UrlFilter.sys C:\Program Files\IObit\IObit Malware Fighter\drivers\wxp_x86\regfilter.sys C:\Program Files\IObit\IObit Malware Fighter\Drivers\wxp_x86\FileMonitor.sys c:\program files\iobit\advanced systemcare 4\pmonitor.exe c:\program files\iobit\advanced systemcare 4\ascservice.exe C:\Program Files\IObit\Protected Folder\PfShellExtension.dll + У вас в системе очень много лишних программ. Вы это все используете? Не следует перегружать систему таким количеством программ. Толку от них, как видите, особо нет, а вот проблемы могут быть серьезные. На время лечения, деинсталлируете лишние программы. lavasoft\ad-awareiobit\advanced systemcare 4 iobit\iobit malware fighter SpywareTerminator SUPERAntiSpyware spyhunter Anti Trojan Elite Guard.Mail.ru Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" Begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe'); DelBHO('17FA5CD6-5737-45c2-B194-74C8A4A7F7E7'); DelBHO('0BDA0769-FD72-49F4-9266-E1FB004F4D8F'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SearchSettings'); DeleteDirectory('C:\Program Files\Common Files\Spigot '); DeleteFileMask('C:\Program Files\Common Files\Spigot ', '*.*', true); DelAutorunByFileName('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe'); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. + Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe" После всего подготовьте новые логи по правилам раздела Какие проблемы остались? Изменено 10 июня, 2011 пользователем Tiare Ссылка на сообщение Поделиться на другие сайты
Swim 0 Опубликовано 10 июня, 2011 Автор Share Опубликовано 10 июня, 2011 все сделал, по пунктам в файле "отчет1" на данный момент все так же explorer.exe не грузится. В папке C:\WINDOWS не наблюдается, есть только explorer.scf есть ли смысл скопировать его с установочного диска? (при работе в безопасном режиме - запускал с диспетчера задач, работало) virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log отчет1.txt Ссылка на сообщение Поделиться на другие сайты
Tiare 107 Опубликовано 10 июня, 2011 Share Опубликовано 10 июня, 2011 В папке C:\WINDOWS не наблюдается, есть только explorer.scfесть ли смысл скопировать его с установочного диска? Да, попробуйте. Пуск->Настройки->Панель управления->Назначенные задания-> ……удалить данные задания Ad-Aware Update (Weekly).jobASC4_PerformanceMonitor.job В автозагрузку сами ставили? Если нет - пофиксите в HijackThis C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f Проверьте систему этими утилитами, о результатах напишите http://www.kaspersky.ru/support/faq/?qid=208639606 http://support.kaspersky.ru/viruses/solutions?qid=208636131 P.S. у вас в системе остались хвосты удаленных вами программ, проверьте, все ли папки удалили? Если ничего не найдете, завтра доудаляем скриптом Ссылка на сообщение Поделиться на другие сайты
Swim 0 Опубликовано 11 июня, 2011 Автор Share Опубликовано 11 июня, 2011 скопировал explorer.exe - рабочий стол загрузился но потеряно много ярлыков. При работе с "Мой компьютер" на определенном этапе выскакивает окно в ДОС-формате. Пуск->Настройки->Панель управления->Назначенные задания-> - выполнить не удалось, Панель управления не открывается (скрин приложил). В ручную через Total Commander тоже не получилось - блокируется. В автозагрузку сами ставили? Если нет - пофиксите в HijackThis в автозагрузку не ставил, в HijackThis не нашел указанные Вами ссылки По утилитам TDSSKiller - нашел подозрительный объек (скрин). Что делать с ним? SalityKiller - здесь как я понял чисто. в системе остались хвосты удаленных программ ... уф, уже запутался в этих удаляемых программах! какие "хвосты" искать? Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 11 июня, 2011 Share Опубликовано 11 июня, 2011 TDSSKiller - нашел подозрительный объек (скрин). Что делать с ним? ничего. Проверьте системный раздел скандиском. пуск-выполнить-chkdsk C: /v /f /r /x нажать Y перезагрузиться. подождать. Проверьте целостность системы (может потребоваться диск с Windows) пуск-выполнить-sfc /scannow Установите все обновления (может потребоваться активация). Ссылка на сообщение Поделиться на другие сайты
Swim 0 Опубликовано 11 июня, 2011 Автор Share Опубликовано 11 июня, 2011 Проверьте системный раздел скандиском - выполнил. Проверьте целостность системы - выполнил. Установите все обновления (может потребоваться активация) - не выполнил. "Панель управления"по-прежнему не функциональна Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 11 июня, 2011 Share Опубликовано 11 июня, 2011 Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Ссылка на сообщение Поделиться на другие сайты
Swim 0 Опубликовано 11 июня, 2011 Автор Share Опубликовано 11 июня, 2011 Combofix - обнаруживает антивирусы которые я удалял. Подскажите как от них избавиться окончательно!? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти