xAleka 0 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 (изменено) Скачал файл под видом обновления Adobe Flash , после чего Антивирус Касперского закричал о трояне пошли быстрые проверки ,перезагрузка,вход автоматом в безопасный режим,потом опять перезагрузка,выход в обычный режим, там посидел в интернете зашёл в контакт там ошибка error myrar.exe касперский включил режим усиленной защиты,потом меня ещё пару раз кинуло то в безопасный то в обычный режим работы,после чего скачав AVZ с сайта начал проверку и этот процесс видимо убил каспера,пока что вылетов и перезагрузок нет , но что делать дальше незнаю вот файлы которые нужны .Помогите пожалуйсто кто чем может. hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 19 июня, 2011 пользователем xAleka Цитата Ссылка на сообщение Поделиться на другие сайты
G.HosT 34 Опубликовано 20 июня, 2011 Share Опубликовано 20 июня, 2011 (изменено) Говорили вам всем и всегда качайте обновления с сайтов разработчиков программ... А лучше скачайте программу для проверки обновлений и удобно,безопасно и быстро. http://www.filehippo.com/updatechecker/ P.S. Спасибо Roman_Five =) Изменено 20 июня, 2011 пользователем G.HosT Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 20 июня, 2011 Share Опубликовано 20 июня, 2011 (изменено) xAleka, здраствуйте 1. Очистите временные файлы. Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. 2. Создайте новую контрольную точку восстановления системы и проведите очистку предыдущих: • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней. Отключите ПК от интернет/локальной сети, закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\windows\l1rezerv.exe'); TerminateProcessByName('c:\windows\update.tray-1-0\svchost.exe'); TerminateProcessByName('c:\windows\update.3\svchost.exe'); TerminateProcessByName('c:\windows\update.1\svchost.exe'); TerminateProcessByName('c:\windows\systemup.exe'); TerminateProcessByName('c:\windows\sysdriver32.exe'); SetServiceStart('srvsysdriver32', 4); StopService('srvsysdriver32'); QuarantineFile('c:\windows\l1rezerv.exe',''); QuarantineFile('c:\windows\update.tray-1-0\svchost.exe',''); QuarantineFile('c:\windows\update.3\svchost.exe',''); QuarantineFile('C:\Windows\update.2\svchost.exe',''); QuarantineFile('C:\Windows\update.1\svchost.exe',''); QuarantineFile('c:\windows\sysdriver32.exe',''); QuarantineFile('C:\Windows\sysdriver32_.exe',''); QuarantineFile('C:\Windows\systemup.exe',''); QuarantineFile('C:\Windows\services32.exe',''); QuarantineFile('C:\Windows\Temp\6650611.exe',''); QuarantineFile('C:\Windows\TEMP\4441576.exe',''); QuarantineFile('C:\Users\Алексей\AppData\Local\Temp\2559651.exe',''); QuarantineFile('C:\Users\CD86~1\AppData\Local\Temp\2559651.exe',''); QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys',''); QuarantineFile('c:\windows\system32\hale.exe',''); DeleteFile('c:\windows\l1rezerv.exe'); DeleteFile('c:\windows\update.tray-1-0\svchost.exe'); DeleteFile('c:\windows\update.3\svchost.exe'); DeleteFile('C:\Windows\update.1\svchost.exe'); DeleteFile('C:\Windows\update.2\svchost.exe'); DeleteFile('c:\windows\sysdriver32.exe'); DeleteFile('C:\Windows\sysdriver32_.exe'); DeleteFile('C:\Windows\systemup.exe'); DeleteFile('C:\Windows\services32.exe'); DeleteFile('C:\Windows\TEMP\4441576.exe'); DeleteFile('C:\Windows\Temp\6650611.exe'); DeleteFile('C:\Users\Алексей\AppData\Local\Temp\2559651.exe'); DeleteFile('C:\Users\CD86~1\AppData\Local\Temp\2559651.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2559651.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4441576.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6650611.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0'); DeleteService('srvsysdriver32'); DeleteFileMask('C:\Windows\update.1', '*.*', true); DeleteFileMask('C:\Windows\update.2', '*.*', true); DeleteFileMask('C:\Windows\update.3', '*.*', true); DeleteFileMask('C:\Windows\update.tray-1-0', '*.*', true); DeleteDirectory('C:\Windows\update.1'); DeleteDirectory('C:\Windows\update.2'); DeleteDirectory('C:\Windows\update.3'); DeleteDirectory('C:\Windows\update.tray-1-0'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R3 - URLSearchHook: (no name) - - (no file) O4 - HKLM\..\Run: [wxpdrv] C:\Windows\services32.exe O4 - HKLM\..\Run: [tray_ico0] C:\Windows\update.tray-1-0\svchost.exe O4 - HKLM\..\Run: [2559651.exe] "C:\Users\Алексей\AppData\Local\Temp\2559651.exe" O4 - HKLM\..\Run: [sysdriver32.exe] "C:\Windows\sysdriver32.exe" rezerv O4 - HKLM\..\Run: [sysdriver32_.exe] "C:\Windows\sysdriver32_.exe" rezerv O4 - HKLM\..\Run: [systemup] "C:\Windows\systemup.exe" stand O4 - HKLM\..\Run: [4441576.exe] "C:\Windows\TEMP\4441576.exe" O4 - HKLM\..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe" O4 - HKLM\..\Run: [6650611.exe] "C:\Windows\Temp\6650611.exe" O4 - HKLM\..\Run: [w_distrib.exe] "C:\Windows\update.3\svchost.exe" stand - обновите Adobe Reader до актуальной версии + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + c:\windows\system32\hale.exe -это вам знакомо? C:\ProgramData\VKSaver\VKSaver.exe -используете? Corbina Telecom - ваш провайдер? Сделайте новые логи по правилам, отчеты приложите к следующему посту Меняйте все пароли! Один из ваших зловредов - Trojan-PSW.Win32.VKont.bjc Изменено 20 июня, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
xAleka 0 Опубликовано 20 июня, 2011 Автор Share Опубликовано 20 июня, 2011 c:\windows\system32\hale.exe -это вам знакомо? нет C:\ProgramData\VKSaver\VKSaver.exe -используете? Да и довольно давно ,скачивает интересующую музыку из контакта не прибегая к поиску в сети... , Антивирус не ругается и впринцыпе это не вредоносное ПО. Corbina Telecom - ваш провайдер? да Спасибо за инструкции,я бы их обязательно выполнил вот только к тому моменту как я написал здесь свою тему и меня выкинуло в безопасный режим и я начал Dr.Web'ом проверять компьютер. После проверки и уничтожения вирусов просто не мог выйти в обычный режим,с каждой перезагрузкой автоматически запускался безопасный. Возврат параметров на 3и недели назад с помощью точки восстановления ни к чему не привёл, и я был вынужден переустановить Windows... в интернет из безопасного сами понимаете никак... А так Веб при проверке показал что вирус распространился на множество файлов из самой папки Windows такчто я думаю врядли бы удалось вылечить всё... Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 20 июня, 2011 Share Опубликовано 20 июня, 2011 (изменено) Раз уж переустановили систему, что теперь говорить об этом. Это ваш выбор. Пароли (почта, icq, скайп и прочее) меняйте в любом случае! Изменено 20 июня, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
xAleka 0 Опубликовано 20 июня, 2011 Автор Share Опубликовано 20 июня, 2011 Спасибо ) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.