buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 также удалите записи в ветке[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] Удалил ... УРА заработало! А зачем делать логи по по правилам? Если проблема миновала, или это еще не все проблемы? Файл C:\Documents and Settings\Администратор\ms.exe также рекомендую переместить в любую другую папку, т.к. могут оказаться и другие ключи, которые его запускают Этого файла нет нигде, поиском специально искал. И в папке смотрел.
Roman_Five Опубликовано 5 мая, 2012 Опубликовано 5 мая, 2012 Если проблема миновала в системе должны были остаться следы заражения. их надо подчистить. делайте логи.
buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 ОК, делаю логи. Кстати индикатор жесткого диска странно работает. Полузагорается или полностью горит если грузится. Раньше такого не было.
buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 Логи сделал прикрепляю... info.rar log.rar virusinfo_syscheck.zip virusinfo_syscure.zip
icotonev Опубликовано 5 мая, 2012 Опубликовано 5 мая, 2012 + Сделайте лог полного сканирования МВАМ Подготовить еще: Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу. - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. • HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net R3 - Default URLSearchHook is missing
buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 (изменено) прилагаю лог полного сканирования GMER, и пофиксил строки в HijackThis лог_полного_сканирования_МВАМ.rar Изменено 5 мая, 2012 пользователем buraleks
Roman_Five Опубликовано 5 мая, 2012 Опубликовано 5 мая, 2012 (изменено) buraleks, там лог не MBAM, а GMER 1. Откройте Блокнот и скопируйте в него текст скрипта gmer.exe -del service xxugohtyr gmer.exe -del file "C:\WINDOWS\system32\lxdeq.dll" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xxugohtyr" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\xxugohtyr" gmer.exe -reboot 2. Нажмите Файл - Сохранить как 3. Выберите ту папку, где находится gmer.exe (gmer) 4. Укажите Тип файла - Все файлы (*.*) 5. Введите имя файла cleanup.bat и нажмите кнопку Сохранить 6. Запустите cleanup.bat ВНИМАНИЕ: Компьютер перезагрузится! Сделайте новый лог gmer + Сделайте лог полного сканирования МВАМ Изменено 5 мая, 2012 пользователем Roman_Five
buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 я перепутал там именно лог GMER я выложил
buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 Все просканировал: выкладываю логи GMER и MBAM + rasautou.exe находится в c:\windows\system32 постоянно подключает меня к интернету без моего разрешения автоматом и еще нашлась программа rasautou.exe-18B88A68.pf по адресу c:\windows\Prefetch + создался съемный диск I которого не было до появления вируса, на нем 0кб и места и занято 0кб log_GMER.rar mbam_log_2012_05_05__18_48_04_.rar
icotonev Опубликовано 5 мая, 2012 Опубликовано 5 мая, 2012 (изменено) Повторите сканирование в MBAM и удалите только следующие строки: HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято. HKCR\www.Asbiz.ru.eProtocol (Trojan.WebMoner) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\after.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\dir.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\dot.gif (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\key (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\logo.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\logo2.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\rules.css (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\scroll.css (Trojan.Agent) -> Действие не было предпринято. C:\Documents and Settings\Администратор\Application Data\winxrar\sview (Trojan.Agent) -> Действие не было предпринято. Плохого не увидел в Лог GMER..! ProxyServer = 46.73.145.127:1080 сами прописывали? Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. Подготовить новый лог с RSIT..! Изменения какие-либо есть? Изменено 5 мая, 2012 пользователем icotonev
buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 в MBAM и удалил строки - высылаю повторные логи. ProxyServer = 46.73.145.127:1080 сами прописывали? Этого я не прописывал. Изменения какие-либо есть? Особенных изменений не видел, только при загрузке виндовс очень долго грузился экран до рабочего стола, я думал что система нарушена и больше не загрузится винда. Но прогрузилось вроде нормально. mbam_log_2012_05_05__22_03_29_.rar
icotonev Опубликовано 5 мая, 2012 Опубликовано 5 мая, 2012 Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. Подготовить новый лог с RSIT..! Изменения какие-либо есть? Ждём....
buraleks Опубликовано 5 мая, 2012 Автор Опубликовано 5 мая, 2012 (изменено) Высылаю логи. Изменения какие-либо есть? Изменений не видно пока. virusinfo_syscheck.zip info.rar log.rar Изменено 5 мая, 2012 пользователем buraleks
Roman_Five Опубликовано 6 мая, 2012 Опубликовано 6 мая, 2012 деинсталлируйте MBAM Этого я не прописывал. пофиксите в Hijackthis: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 46.73.145.127:1080 После проведённого лечения рекомендуется: - установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * SP для Windows XP - SP3 - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти