Созданные ответы форума
-
Сообщения
-
Немножко нужно подчистить.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:
Registry::
[-HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{11d4e039-fe5d-11d5-95bf-000ee8095c4e}]Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.
Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.Здравствуйте, добро пожаловать на SPyware-ru форум.
Вот только не пойму, почему по-прежнему происходит видоизменение инфы на подключаемой флешке? Всё так же существующие на поключаемых носителях папки получают статус «скрытый» + появляются .exe-шники с названиями существующих папок? 😕
После очередной перезагрузки больше не восстанавливается фоновый рисунок раб.стола…
Вирус мало того что жив остался, так ещё и гадить продолжает? 🙁Это потому что вирус уже прописался в реестр и запускается при каждой загрузке компьютера.
У вас установлены два антивируса Антивирусная система Eset NOD32 2.70 и Symantec AntiVirus Corporate Edition. Удалите один обязательно!
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:services
a469al1i
:reg
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"90093A"=-
:files
C:Documents and SettingsАдминистраторГлавное менюПрограммыАвтозагрузка90093A.lnk
C:WINDOWSsystem32EE8CB290093A.EXE
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.
Содержимое этого лога вставьте в ваш ответ и ещё приложите свежий RSIT лог (только log.txt).Здравствуйте, добро пожаловать на Spyware-ru форум.
Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено.
В конце работы будет показан лог, его содержимое вставьте в ваш ответ и ещё приложите свежий RSIT лог (только log.txt).Большинство наденных файлов находятся в разных карантинных папках.
Кроме нескольких:C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Indexsvchos.exe Зараженный: Packed.Win32.Tdss.f 1
C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkinstall.exe Зараженный: Packed.Win32.Tdss.f 1
C:Documents and SettingsAll UsersApplication DataMicrosoftwin.exe Зараженный: Packed.Win32.Tdss.f 1
C:Program FilesAshampooAshampoo Burning Studio 7burningstudio.exe Зараженный: Packed.Win32.Tdss.f 1
C:WINDOWSsystem32gorumiba.bak Зараженный: Trojan.Win32.Monder.blif 1
C:WINDOWSsystem32khfCuRlL.dll Зараженный: Trojan.Win32.Monderb.ackd 1
C:WINDOWSsystem32urqOIyaw.dll.vir Зараженный: Trojan.Win32.Monder.ahzl 1Найдите и удалите эти файлы. Очистите корзину.
мой Symantek не работает, то есть не включается
Не запускается автоматически или и вручную тоже ?
Проверьте ещё ваш компьютер используя Kaspersky Online Scanner, для этого кликните по этой ссылке.
Результаты сканирования запишите на рабочий стол.Откройте папку C:WindowsPCHealthHelpCtrBinaries и проверить наличие в ней файла HelpCtr.exe.
Если есть то попробуйте запустить его.В ваш ответ вставьте результаты сканирования онлайн сканером и свежий Combofix лог.
Здравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте сканер RSIT кликнув по этой ссылке и сохраните файл на вашем рабочем столе.
* Дважды кликните по скачанному файлу.
* Если у вас есть файрвал (firewall) и он покажет, что программа RSIT пытается выйти в Интернет, то разрешите ей.
* Кликните по кнопке Continue.
* Когда программа закончит работу, будут показаны два лога (log.txt и info.txt).Вставьте оба RSIT лога в ваш ответ. Каждый лог в отдельное сообщение.
файл GMER, антивирус показал его как зараженный
это ошибочное распознавание.
Как работает компьютер ?
Скачайте программу Avenger кликнув по этой ссылке и распакуйте её на Рабочий стол.
Запустите Avenger, при это убедитесь что стоит галочка в пункте «Scan for rootkits» и нет галочки в пункте «Automatically disable any rootkits found». Уберите или поставьте галочки в случае необходимости. Кликните Execute. Появится запрос о подтверждении ваших действий, нажмите Yes.
Avenger запуститься. В процессе работы возможны несколько перезагрузок компьютера.
По-окончании работы будет показан лог, запишите его на ваш рабочий стол.Прочитайте описание программы Malwarebytes Anti-malware (MBAM).
Скачайте и выполните сканирование вашего компьютера. Удалите всё что будет найдено. В конце работы будет показан лог.Жду от вас:
Avenger лог
MBAM лог
свежий RSIT логЗдравствуйте, добро пожаловать на Spyware-ru форум.
Скачайте OTMoveIt3 by OldTimer кликнув по этой ссылке.
Запустите OTMoveIt3 и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.:Processes
explorer.exe
:services
Adcoshibetdc
:reg
[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{F56797A8-4A72-48E4-938A-F94991F1C7F9}]
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"svhost"=-
"portmap.exe"=-
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
"1"=-
:files
C:WINDOWSsystem32portmap.exe
C:Documents and SettingsAll UsersApplication Datatsolib.dll
C:WINDOWSSystem32driverssvchost.exe
:Commands
[emptytemp]
[start explorer]
[Reboot]Проверьте вставленный скрипт, если слева перед директивами появились пробелы, то удалите их, скрипт должен выглядеть так же как в сообщении. Кликните по кнопке MoveIt!. В процессе работы возможна перезагрузка компьютера.
По-завершении работы программы должен будет показан лог. Если лог не будет показан, то его можно найти в папке C:_OTMoveItMovedFiles.Вставьте в ваше ответное сообщение содержимое этого лога. И приложите свежий RSIT лог (log.txt).
И пожалуйста содержимое логов вставляйте в сообщение, не присоединяйте их.Здравствуйте, добро пожаловать на Spyware-ru форум.
Не могли ли вы подробнее описать проблему, а точнее то сообщение, что выдаёт Windows ?
Подключаете флешку, а Windows говорит, что диск (имя флешки) не найден ?Ничего такого, что 100% указывало бы на троян.
Он сейчас себя проявляет ?ХМ, сам я к программе описанной выше отношение не имею, но спасибо за предупреждение.
Кстати, сам НОД очень легко вылавливает INF/Avtorun.gen-трояны при открытии флеш-носителей.
К сожалению не всегда всё происходит так благополучно. Существует случаи, когда НОД не срабатывает.
Остатки вируса удалились и теперь лог выглядит нормально.
Сейчас Касперский тестирует новую версию своего антивируса, так что можете бесплатно протестировать её и защитить компьтер.
http://downloads.kaspersky-labs.com/devbuilds/9.0.0.313/kav2010.0.0.313ru.exeСуществует несколько бесплатных и хороших антивирусов, но не все они имеют русскую версию.
Гляньте AVG (free.avg.com), Avira (avira.com), Avast (есть русская версия — http://files.avast.com/iavs4pro/setuprus.exe).Несколько завершающих действий.
1. Обновите ваши программы.
Зайдите на сайт update.microsoft.com и обновите Windows.2. Удалите все программы, которые вы использовали в процессе лечения, в случае необходимости, вы всегда сможете скачать их заново. Удаление их необходимо по-причине того, что они содержат компоненты, которые вирусы и трояны могут использовать в плохих целях.
Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.
Удалите RSIT и другие скачанные вами сканеры и небольшие утилиты, а так же все файлы и каталоги который были созданы в процессе лечения компьютера.
3. Создайте новую точку восстановления и удалите все старые.
Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.
После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.
Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.
4. И несколько дополнительных советов.
Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.
Всего доброго!
Возможно вирус так же блокирует загрузку или запуск DrWeb CureIt.
Попробуйте скачать эту утилиту: http://avptool.virusinfo.info/
Просканируйте компьютер. Вылечите всё что она найдет.
По-окончании сканирования, кликните по кнопке Отчёты и сохраните лог на ваш рабочий стол.Получившийся лог вставьте в ваш ответ (если он будет большой, то присоедините его к сообщению).
