Не удается удалить вирусы до конца

[akoK]

Ладно пойдем более длинным путем:

 

 

Очистите временные файлы с помощью ATF Cleaner и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

 

 

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[diary]

Все выполнила. Но только у меня стоит 3-я версия НОДа, поэтому и сейчас, и раньше выключала, как написано на официальном сайте - через его настройки, в диспетчере задач он все равно висел. По-другому не нашла как.

 

И после combofix.exe компьютер перезагрузился. А так как Outpost у меня стоит в автозагрузке, он начал выдавать сообщения про попытки изменить критические объекты. Я ему все разрешала... Все правильно? А то там появлялось сообщение про файл с названием catchme.cfexe.

 

Отчеты прилагаю.

SDFix.zip

ComboFix.zip

RSIT.zip

Изменено 14 декабря, 2008 пользователем diary

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Folder::
c:\temp\{D9226EB1-C528-48AC-B423-BD9240E1F60B}

FileLook::
C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
c:\windows\system32\wscntfy.exe
c:\program files\mozilla firefox\components\jsd3250.dll
c:\program files\mozilla firefox\components\myspell.dll
c:\program files\mozilla firefox\components\spellchk.dll
c:\program files\mozilla firefox\components\xpinstal.dll

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

 

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

 

Необходимо систему обновить в авральном порядке до SP3 + все хотфиксы

FlashGet - деинсталируйте

Изменено 14 декабря, 2008 пользователем akoK

[diary]

Когда сохранится новый отчет ComboFix, скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте ComboFix.txt и прикрепите к сообщению.

Прикрепила.

 

Необходимо систему обновить в авральном порядке до SP3 + все хотфиксы

FlashGet - деинсталируйте

Хм. С пакетами обновлений дела еще не имела. Попробую.

ComboFix.zip

[akoK]

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

 

 

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Скачайте OTCleanIt, запустите, нажмите Clean up

[diary]

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ и C:\SDFix\backups\backups.zip с паролем virus и пришлите на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Извините за глупый вопрос, но у меня в папке C:\SDFix\backups\ только backupreg.zip. Его и отправлять?

Пока ждала ответ, решила деинсталлировать ComboFix, backupreg.zip тоже ушел... Quarantine сохранила.

Изменено 14 декабря, 2008 пользователем diary

[akoK]

backupreg.zip - нет ненужно...эта папка создается на случай ошибочного удаления

[diary]

Quarantine отправила. OTCleanIt запустила.

Теперь буду разбираться с обновлением.

 

wise-wistful, akoK - огромное искреннее спасибо, что помогаете.

 

 

Уже ответ пришел:

 

Здравствуйте,

 

a3kebook.ini.vir, akebook.ini.vir, ANS2000.INI.vir, catchme.log, Legacy_OREANS32.reg.dat, reg.dat2, reg.dat3, Service_oreans32.reg.dat, tcpip.reg_

 

Вредоносный код в файлах не обнаружен.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

Изменено 15 декабря, 2008 пользователем Falcon
Поправил тэги. Falcon.

[akoK]

Это последствия жизнедеятельности...их вирлабы не детектят

Изменено 14 декабря, 2008 пользователем akoK

[ТроПа]

Как система-то сейчас?

[diary]

Как система-то сейчас?

Вроде, нормально. Проверяла НОДом компьютер - ничего не нашел. Во время проверки Ad-aware'ом - тоже не ругался. Tracking Cookie за сегодня ни разу не попались. Окошко с просьбой принять куки с незагруженного сайта тоже перестало выскакивать. Красота. Надеюсь, на этот раз все закончилось.

[diary]

Даа... Запустила полную проверку Outpost'ом сегодня - нашел аж четыре гадости: Malware, Trojan, Backdoor и Несанкционированное изменение реестра. Интересно, это что-то новое или это он старое, наконец, нашел?...

 

 

Опять "вероятно модифицированный Win32/PSW.Agent" в папке Temp. Это может быть из-за того, что систему еще не обновила или просто не все вычистили?

Изменено 15 декабря, 2008 пользователем diary

[akoK]

Возможно, использована уязвимость