Помогите удалить вирус, пожалуйста.

[Helper]

Запакуйте, пожалуйста, папку C:Qoobox и пришлите архив на anti-spyware2010yandex.ru(вместо at, @).
Сделали скришот, закачали на медиа хостинг(например, наhttp://img44.imageshack.us).Потом пишем [уrl=ссылку на сайт со скриншотом][йmg]и здесь тоже самое[/img][/url]
Заменил u на у и i на й, для того чтобы ссылки были неактивны. 🙂

[Аноним]

Посмотрите, пожалуйста, почту.

[Helper]

А как обстоят дела в других браузерах(IE, Google Chrome)?
И ещё, в логах видны остаки антивируса Panda Security, Вы сейчас используете ESET NOD32 Antivirus 4.0?

[Аноним]

В других то же самое, та же ошибка. А панду я удаляла, скачивала, когда проверяла на вирусы онлайн. NOD 32 работает. Только он стоит.

[Helper]

Перезагрузите компьютер и попробуйте сделать архив.Если не получится ,попробуйте другой архиватор, например, Winrar
или 7Zip.О результатах сообщите(если получится, вышлите архив мне на почту).
А когда, примерно, появилась проблема?

[Аноним]

Проблема около двух недель. Никак мне не решить ее.

[Helper]

Попробуем решить, Вы главное не отчаиваетесь. 😉
Попробуйте запаковать в архив папку C:QooboxQuarantine и прислать мне.

[Аноним]

У меня не может обновиться антивирус, это может быть связано с тем, что мы делали?

[Helper]

Папку получил. 🙂
Скажите, Вы можете зайти на этот сайт?
Антивирус, т.е. NOD 32?Судя по логу, Combofix не трогал модули nod32.Или ошибка антивируса…или уже поймали новых зловредов.А онлайн сканер от Касперского по-прежнему находит вирусы или перестал?Если полностью выгрузить nod32 и полностью отключить брандмауэр Windows, ошибка появляется?
Сделайте новый лог Combofix (запустите от имени администратора, выгрузите все ПО, ну как в первый раз делали).

[Аноним]

А что должно быть на сайте, там абра-кадабра какая-то :). Ошибка ни при каких обстоятельствах еще не исчезала, брандмауэр уже давно отключен, опять же в борьбе с ошибкой, и я его больше не вкл. При отключенном антивирусе тоже она есть. Буду делать дальше лог 🙂

[Аноним]

Новый лог:

ComboFix 12-07-27.03 — 1 28.07.2012 17:37:20.3.4 — x86
Microsoft Windows 7 Максимальная 6.1.7600.0.1251.7.1049.18.2046.1395 [GMT 3:00]
Running from: c:users1DownloadsComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *Disabled/Outdated* {CB0F8167-5331-BA19-698E-64816B6801A5}
SP: ESET NOD32 Antivirus 4.0 *Disabled/Outdated* {706E6083-750B-B597-533E-5FF310EF4B18}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Created a new restore point
.
.
((((((((((((((((((((((((( Files Created from 2012-06-28 to 2012-07-28 )))))))))))))))))))))))))))))))
.
.
2012-07-28 14:40 . 2012-07-28 14:40

---

d

---

w- c:usersPublicAppDataLocaltemp
2012-07-28 14:40 . 2012-07-28 14:40

---

d

---

w- c:usersDesktopAppDataLocaltemp
2012-07-28 14:40 . 2012-07-28 14:40

---

d

---

w- c:usersDefaultAppDataLocaltemp
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-09 17:21 . 2010-07-06 17:43 178688 —-a-w- c:windowssystem32unrar.dll
2012-06-02 22:19 . 2010-07-10 07:28 53784 —-a-w- c:windowssystem32wuauclt.exe
2012-06-02 22:19 . 2010-07-10 07:28 45080 —-a-w- c:windowssystem32wups2.dll
2012-06-02 22:19 . 2010-07-10 07:28 35864 —-a-w- c:windowssystem32wups.dll
2012-06-02 22:19 . 2010-07-10 07:28 577048 —-a-w- c:windowssystem32wuapi.dll
2012-06-02 22:19 . 2010-07-10 07:28 1933848 —-a-w- c:windowssystem32wuaueng.dll
2012-06-02 22:12 . 2010-07-10 07:28 2422272 —-a-w- c:windowssystem32wucltux.dll
2012-06-02 22:12 . 2010-07-10 07:28 88576 —-a-w- c:windowssystem32wudriver.dll
2012-06-02 12:19 . 2010-07-10 07:28 171904 —-a-w- c:windowssystem32wuwebv.dll
2012-06-02 12:12 . 2010-07-10 07:28 33792 —-a-w- c:windowssystem32wuapp.exe
2012-06-14 22:19 . 2010-07-09 11:37 85472 —-a-w- c:program filesmozilla firefoxcomponentsbrowsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2012-06-04 8921912]
.
[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]
.
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerToolbarWebbrowser]
«{91397D20-1446-11D4-8AF4-0040CA1127B6}»= «c:program filesYandexYandexBarIEyndbar.dll» [2012-06-04 8921912]
.
[HKEY_CLASSES_ROOTclsid{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOTYandex.Toolbar.1]
[HKEY_CLASSES_ROOTTypeLib{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOTYandex.Toolbar]
.
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«Steam»=»c:program filesSteamSteam.exe» [2009-05-17 1242448]
«KSS»=»c:program filesKaspersky LabKaspersky Security Scan 2.0kss.exe» [2012-04-25 202296]
.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«HFALoader»=»c:program filesHamster SoftHamster Free ZIP ArchiverHamster.Archiver.UI.exe» [2011-02-18 2874368]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2005-12-07 30208]
«LanguageShortcut»=»c:program filesCyberLinkPowerDVDLanguageLanguage.exe» [2006-05-18 49152]
«egui»=»c:program filesESETESET NOD32 Antivirusegui.exe» [2009-09-29 2054360]
.
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«ConsentPromptBehaviorAdmin»= 5 (0x5)
«ConsentPromptBehaviorUser»= 3 (0x3)
«EnableUIADesktopToggle»= 0 (0x0)
.
[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001
.
R2 gupdate;Служба Google Update (gupdate);c:program filesGoogleUpdateGoogleUpdate.exe [x]
R3 gupdatem;Служба Google Update (gupdatem);c:program filesGoogleUpdateGoogleUpdate.exe [x]
R3 MozillaMaintenance;Mozilla Maintenance Service;c:program filesMozilla Maintenance Servicemaintenanceservice.exe [x]
S1 ehdrv;ehdrv;c:windowssystem32DRIVERSehdrv.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:windowssystem32atiesrxx.exe [x]
S2 ekrn;ESET Service;c:program filesESETESET NOD32 Antivirusekrn.exe [x]
S2 epfwwfpr;epfwwfpr;c:windowssystem32DRIVERSepfwwfpr.sys [x]
S2 Guard.Mail.ru;Guard.Mail.ru;c:program filesMail.RuGuardGuardMailRu.exe [x]
S2 KSS;Kaspersky Security Scan Service;c:program filesKaspersky LabKaspersky Security Scan 2.0kss.exe [x]
S3 amdkmdag;amdkmdag;c:windowssystem32DRIVERSatikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:windowssystem32DRIVERSatikmpag.sys [x]
S3 yukonw7;Драйвер минипорта NDIS6.2 для контроллера Marvell Yukon Ethernet;c:windowssystem32DRIVERSyk62x86.sys [x]
.
.
Contents of the ‘Scheduled Tasks’ folder
.
2010-07-28 c:windowsTasksGoogleUpdateTaskMachineCore.job
— c:program filesGoogleUpdateGoogleUpdate.exe [2009-05-17 10:28]
.
2012-07-28 c:windowsTasksGoogleUpdateTaskMachineUA.job
— c:program filesGoogleUpdateGoogleUpdate.exe [2009-05-17 10:28]
.
2010-07-27 c:windowsTasksGoogleUpdateTaskUserS-1-5-21-658594599-2077197361-2868622353-1000Core.job
— c:users1AppDataLocalGoogleUpdateGoogleUpdate.exe [2010-07-19 13:20]
.
2012-07-28 c:windowsTasksGoogleUpdateTaskUserS-1-5-21-658594599-2077197361-2868622353-1000UA.job
— c:users1AppDataLocalGoogleUpdateGoogleUpdate.exe [2010-07-19 13:20]
.
.

---

Supplementary Scan

---

.
uStart Page = hxxp://www.yandex.ru/?clid=930634
uInternet Settings,ProxyOverride =
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
TCP: DhcpNameServer = 87.237.112.10 77.241.40.178
FF — ProfilePath — c:users1AppDataRoamingMozillaFirefoxProfilesnahd6ha2.default
FF — prefs.js: browser.search.defaulturl — hxxp://go.mail.ru/search?fr=fftb&utf8in&q=
FF — prefs.js: browser.search.selectedEngine — mail.ru: РџРѕРёСЃРє РІ Интернете
FF — prefs.js: browser.startup.homepage — hxxp://www.yandex.ru/?clid=140465
FF — prefs.js: keyword.URL — hxxp://go.mail.ru/search?utf8in=1&fr=fftbUFix&q=
.
.
Completion time: 2012-07-28 17:41:42
ComboFix-quarantined-files.txt 2012-07-28 14:41
ComboFix2.txt 2010-07-27 21:30
ComboFix3.txt 2010-07-27 20:32
.
Pre-Run: 41 449 865 216 байт свободно
Post-Run: 41 272 598 528 байт свободно
.
— — End Of File — — 52C63E696DBC40CDF9F0148D02735151

У меня на раб столе появились полупрозрачные ярлычки desktop.ini, их можно удалить?

[Аноним]

Ураааа!!! кажется, все получилось, ошибки нет :)))))). Не сглазить бы, надеюсь, она не появится. Спасибо огромное за помощь. Я уже почти плакала :))). Спасибо!!! а что это такое было, ужас какой-то, и как такое не подхватить? :))

[Аноним]

и можно все удалить, что у меня накопилось? логи, программы.

[Helper]

Не спешите Вы так, обо всем по порядку. 🙂
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку «ОК«

Скачайте OTCleanIt , запустите, нажмите Clean up.
Несколько рекомендаций для предотвращения заражений:

1.Версия Вашего антивируса устарела.Скачайте новую по этой официальной ссылкеАнтивирусные базы, модули должные обновлять постоянно.

2. Большинство троянов и вирусов разработаны для поражения Internet Explorer`а, поэтому рекомендую установить и использовать Оперу, Chrome или Firefox.

3. Создавайте время от времени новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Кроме этого можно делать полный бэкап системного диска.

4. Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

5. Не посещайте незнакомые сайты и очень осторожно относитесь к файлам скаченным с Интернета.Всего доброго. 🙂

[Аноним]

Можно последний вопрос :). После каждой перезагрузки выскакивает сообщение, что драйвер защиты StarForse заблокирован из-за несовместимости с Windows. С этим надо что-то делать или пускай себе выскакивает :)?

[Автор]

Сообщения