- This topic has 6 ответов, 2 участника, and was last updated 16 years, 2 months назад by
.
-
Сообщения
-
я прочитал все, что здесь написано побывал программой Avira Antivir Rescue System почистить, да она убиват его но после перезогрыски компа проходит некоторое время и если есть доступ к интернету то он снова наченает работать если вырубиш инет и снова почистить с помощью Avira Antivir Rescue System и не включая доступ к инету то можно работать, не будет выскакивать system security но как только врубаеш инет он автоматом скачивает что то с него и все вирус опять работает. побывал редклинером удалить с авто загрузки все удаляет но после перезагрузки заходиш в авто запуск он там есть как удалить не знаю что мне делать может кто еще что знает? помогите пожалуйста
да и еще сходно с парнем что пишет вые каждую. минуту обнаруживал в папке Local Settings/Temp файл .tmp и говорил, что это Trojan.DownLoad.,после удаления или лечения всё равно появляются. Вообщем спустя 3 часа (спасибо вашему сайту) я System Securiry удалил, но вот антавирус никак не успокаиваится, также обнаруживает эти файлы. Подскажите что делать плз.
антивирус стоит нод32
я сделал все что вы советовали ему.
Тоесть
Судя по логу компьютер ещё заражён autorun.inf трояном.
Прочитайте эту инструкцию Flash_Disinfector ещё одно оружие против autorun.inf троянов.
* Отключите ваш антивирус.
* Скачайте и запустите Flash_Disinfector.
* По требованию программы вставьте ваш флэш диск или подключите другие внешние устройства хранения информации.Примечание: запускайте программу столько раз, сколько нужно чтобы очистить все ваши подключаемые диски.
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Скопируйте ниже приведённый текст в Input script Box:
Код: Выделить всё
Drivers to delete:
acpi32
ayz8sn3pFiles to delete:
c:RECYCLERS-1-6-21-2438476501-1644491937-701003331-1213NirCmd.exe
C:Documents and SettingsСергейСергей.exeКликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, запишите его на ваш рабочий стол.Кликните Пуск, Выполнить.
Введите notepad и нажмите Enter.
Вставьте в блокнот следующий текст:
Код: Выделить всё
Windows Registry Editor Version 5.00[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
«Сергей»=-[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{14c721fe-461f-11de-a434-001a4d9a3f35}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{163c4f2a-feba-11dd-a34b-001a4d9a3f35}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{f1ffbb34-0491-11de-a35e-001a4d9a3f35}]Запишите получившийся файл на ваш рабочий стол под именем fix.reg. При этом в диалоге Сохранить как, не забудьте выбрать тип файлов Все файлы.
Закройте блокнот.
Кликните дважды по созданному нами файлу, появится запрос о подтверждении добавления информации в реестр, кликните Да.Просканируйте компьютер программой RSIT.
Жду от вас:
— Avenger лог
— RSIT лог (только log.txt)
Не помоглоя просконировал как вы пишете комп Просканируйте компьютер программой RSIT.
получилось
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:39, on 02.07.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: NormalRunning processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesCrypto ProCSPcprmcsp.exe
C:Program FilesCrypto ProCSPcpinit.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesAcronisSchedule2schedul2.exe
C:Program FilesSKBKonturKontur-ExternKontur-Extern LiteFirebirdSQL 1.5binfbserver.exe
C:Program FilesEsetnod32krn.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32svchost.exe
C:Program FilesESETnod32kui.exe
C:Program FilesMicrosoft OfficeOFFICE11WINWORD.EXE
C:Program FilesTrend MicroHijackThisHijackThis.exe
C:Documents and SettingsГалина НиколаевнаГалина Николаевна.exeR0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = https://r24.kontur-extern.ru/
R1 — HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 192.168.0.50:3128
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O3 — Toolbar: &Радио — {8E718888-423F-11D2-876E-00A0C9082467} — C:WINDOWSSystem32msdxm.ocx
O4 — HKCU..Run: [Галина Николаевна] C:Documents and SettingsГалина НиколаевнаГалина Николаевна.exe /i
O4 — HKCU..Run: [as1258] C:Documents and SettingsГалина Николаевнаas1258.exe /i
O4 — HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘LOCAL SERVICE’)
O4 — HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 — HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘SYSTEM’)
O4 — HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User ‘Default user’)
O4 — Global Startup: Центр управления NOD32.lnk = C:Program FilesESETnod32kui.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 — Extra button: Справочные материалы — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 — Extra button: Related — {c95fe080-8f5d-11d2-a20b-00aa003c157a} — C:WINDOWSwebrelated.htm
O9 — Extra ‘Tools’ menuitem: Show &Related Links — {c95fe080-8f5d-11d2-a20b-00aa003c157a} — C:WINDOWSwebrelated.htm
O17 — HKLMSystemCCSServicesTcpip..{6BD64CC1-4B2D-419F-BF39-695B72A98006}: NameServer = 192.168.1.1
O17 — HKLMSystemCCSServicesTcpip..{F51118ED-8A64-482D-A6F9-470558F65539}: NameServer = 192.168.1.10
O20 — Winlogon Notify: reset5 — C:WINDOWSSYSTEM32reset5.dll
O23 — Service: Acronis Scheduler2 Service (AcrSch2Svc) — Acronis — C:Program FilesCommon FilesAcronisSchedule2schedul2.exe
O23 — Service: Служба инициализации Крипто-Про CSP (cpinit) — Компания Крипто-Про — C:Program FilesCrypto ProCSPcpinit.exe
O23 — Service: Служба хранения и использования ключей Крипто-Про CSP (cprmcsp) — Компания Крипто-Про — C:Program FilesCrypto ProCSPcprmcsp.exe
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Firebird Server — KELiteInstance (FirebirdServerKELiteInstance) — The Firebird Project — C:Program FilesSKBKonturKontur-ExternKontur-Extern LiteFirebirdSQL 1.5binfbserver.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSSystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSSystem32mnmsrvc.exe
O23 — Service: Служба сетевого DDE (NetDDE) — Корпорация Майкрософт — C:WINDOWSsystem32netdde.exe
O23 — Service: Диспетчер сетевого DDE (NetDDEdsdm) — Корпорация Майкрософт — C:WINDOWSsystem32netdde.exe
O23 — Service: NOD32 Kernel Service (NOD32krn) — Eset — C:Program FilesEsetnod32krn.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Модуль поддержки смарт-карт (SCardDrv) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSSystem32wbemwmiapsrv.exe—
End of file — 4852 bytesи просконировал RSIT лог (только log.txt)
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.comPlatform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.Backups directory opened successfully at C:Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.comPlatform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.Backups directory opened successfully at C:Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!Completed script processing.
*******************
Finished! Terminate.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Запустите HijackThis.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:O4 - HKCU..Run: [Галина Николаевна] C:Documents and SettingsГалина НиколаевнаГалина Николаевна.exe /i
O4 - HKCU..Run: [as1258] C:Documents and SettingsГалина Николаевнаas1258.exe /iЗакройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.
* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.
- Для ответа в этой теме необходимо авторизоваться.
