lawyer Опубликовано 30 января, 2009 Опубликовано 30 января, 2009 Описание: Постоянно в нижнем левом углу экрана висит "предупреждение". При нажатии на него открывается некий сайт, где начинает что-то грузить и проверять. Опыт подсказывает что лучше окончания подобных "тестирований" не дожидаться, поэтому что происходит дальше рассказать не могу Также иногда браузер открывается сам, появляется диалоговое окно, предлагающее просканировать windows антивирусами. Что уже сделал: 1) В гугле поискал, но способов лечения не нашел. 2) Проверял НОДом - ничего не нашел. Скриншоты: Логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log p.s на подобные форумы обращаюсь в первый раз. Если что-то не так, пожалуйста, не ругайтесь))
Falcon Опубликовано 30 января, 2009 Опубликовано 30 января, 2009 (изменено) Добро пожаловать на форум! Выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('c:\docume~1\home\locals~1\temp\a.exe'); TerminateProcessByName('c:\docume~1\home\locals~1\temp\b.exe '); TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpa.exe '); TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpc.exe '); QuarantineFile('C:\WINDOWS\system32\drivers\CDAC15BA.SYS',''); DeleteFile('c:\docume~1\home\locals~1\temp\a.exe'); DeleteFile('c:\docume~1\home\locals~1\temp\b.exe'); DeleteFile('c:\docume~1\home\locals~1\temp\~tmpa.exe'); DeleteFile('c:\docume~1\home\locals~1\temp\~tmpc.exe'); DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end. ПК перезагрузится. Затем выполните следующий скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите в теме. Пофиксить в HJT: O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - D:\Program Files\WebMoney Advisor\wmadvisor.dll O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe Повторите логи. Изменено 30 января, 2009 пользователем Falcon
lawyer Опубликовано 30 января, 2009 Автор Опубликовано 30 января, 2009 Большое спасибо. Окна уже не появляются. Сделал все, кроме: O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe Такие строки просто отсутствовали. Свежие логи: hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip
Falcon Опубликовано 30 января, 2009 Опубликовано 30 января, 2009 Пофиксите: O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing) O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing) O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing) Повторите лог HijackThis. Проблемы больше не появляются?
lawyer Опубликовано 30 января, 2009 Автор Опубликовано 30 января, 2009 Проблемы больше не появляются? Нет. Еще раз большое спасибо. Лог: hijackthis.log
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти