Созданные ответы форума
-
Сообщения
-
Если вы внимательно взглянули на этот форум, то заметили, что множество людей обращаются за помощью.
Поэтому всё в порядке очереди.
Но раз вы решили свою проблему самостоятельно, то это тоже результат 🙂Всего доброго.
Если у вас подобная проблема то создайте новый топик, прочитайте предварительно ЧИТАТЬ ОБЯЗАТЕЛЬНО!!! Как вылечить компьютер, первые шаги.
Если вы автор этой темы и хотите её продолжить, то обратитесь к модератору.
Тема закрыта.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Вы пробовали воспользоваться этой инструкцией http://www.kaspersky.ru/support/wks6mp3/error?qid=208636215 для лечения червя win32.kido ?
Стоит их включить (я их отключал, потому, что система постоянно пытается что-то обновить…
Это на ваш выбор.
Malwarebytes Anti-malware в данном случае не совсем корректно себя ведёт, так как эти два параметра что она находит, пользователь может отключать самостоятельно, хотя если честно, так в первую очередь поступают вирусы и трояны.
Поэтому, можете игнорироватьHKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterFirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterUpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.Пока их не получу — продолжаю пытаться протестировать комп Касперским…
В вашем случае, это конечно проблематично использовать онлайн сервисы. Раз Combofix и MBAM ничего не показывают, то с большей долей вероятности всё в порядке.
Как компьютер сейчас работает ?Avenger удалил основную часть трояна, но нужно ещё немного поработать.
Запустите HijackThis, для этого кликните Пуск, Выполнить, введитеC:Program Filestrend microAdmin.exeи нажмите Enter.
Кликните по кнопке Do a system scan only.
Далее отметьте галочкой (слева) следующие строки, если они присутствуют:F2 - REG:system.ini: UserInit=C:WINDOWSSystem32userinit.exe
O17 - HKLMSystemCCSServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS1ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS1ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS2ServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCS2ServicesTcpip..{1E0132EC-A7D9-49B1-AC6C-301DE0375662}: NameServer = 85.255.112.69,85.255.112.209
O17 - HKLMSystemCCSServicesTcpipParameters: NameServer = 85.255.112.69,85.255.112.209Закройте все запущенные программы (включая InternetExplorer) и окна Windows.
Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.
Перезагрузите компьютер.Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:reg
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{239107d4-032d-11de-a4d5-001485c2c8e4}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a3f2a112-fbf8-11dd-a4b4-001485c2c8e4}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{afb184e7-f600-11dd-a49a-001485c2c8e4}]
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{db706e39-4a87-11de-a5c0-001485c2c8e4}]
:files
C:WINDOWSs3a4a74y8.exe
C:WINDOWSsystem32gxvxctloxustuygiahkmdckfxmvmkfcsxbqik.dll
C:WINDOWSsystem32gxvxcatnpxlvpgfksaordqaqbwbbtynpankuh.dll
C:WINDOWStasks{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог (только log.txt). Так же сообщите как работает ваш компьютер.
Лог выглядит нормально, но нужно удалить ещё один каталог, который был создан паразитом.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Folder::
c:documents and settingsNetworkServiceApplication DataAdSubscribeЗапишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Как сейчас работает ваш компьютер ?
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено.
В конце работы будет показан лог, вставьте его в ваш ответ + приложите свежий RSIT лог (только log.txt), причём запускайте RSIT после MBAM.Единственное: после всей выполненной процедуры и перезагрузки появлялось сообщение, что Брэндмауэр Windows отключен. Он мог отключиться в процессе сканирования? Или мы что-то сделали не так?
Паразит которого мы удалили просто блокировал показ этого сообщения, а Combofix восстановил всё по умолчанию. Так что можете снова отключить это предупреждение или включить брандмауэр.
Проблема в том, что причин из-за которой не загружается explorer.exe довольно много. Разные трояны поступают по разному, начиная от простой подмены файла (после удаления трояна соответственно explorer.exe не грузится) и заканчивая тем, что трояны создают зеркальные ветки в реестре Windows со своими настройками. Поэтому чаще проще предотвратить заражение, чем его вылечить.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Проверим ещё одной программой.
Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.Примечание: перед использованием Combofix обязательно установите Recovery console. Как это сделать будет описано на странице, ссылку на которую я привёл выше.
Рад помочь 🙂
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
Рад был помочь, хотя скажем честно, помощи особой не оказал 🙂
плохо что он на англ. языке
Тут вам поможет переводчик от гугла http://translate.google.com/translate_t#ru|en
Здравствуйте, добро пожаловать на Spyware-ru форум.
Запустите блокнот (Пуск, Выполнить, введите notepad и нажмите Enter).
Откройте в нём следующий файл: C:WINDOWSsystem32driversetchosts (не забудьте в диалоге Открыть файл, в поле тип файлов выставить все файлы).
Отредактируйте этот файл, удалив следующие строки):127.0.0.1 vkontakte.ru
127.0.0.1 yandex.ru
127.0.0.1 mail.ru
127.0.0.1 google.com
127.0.0.1 www.vkontakte.ru
127.0.0.1 www.yandex.ru
127.0.0.1 www.mail.ru
127.0.0.1 www.google.com
127.0.0.1 icq.comЗапишите файл и закройте блокнот.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:reg
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"GREATZERO BOT"=-
:files
C:WINDOWShtml1.txt
C:WINDOWSrun_.exe
C:run_.exe
C:WINDOWSmYrh.exe
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог (только log.txt).
