Решена Лечение систем от вредоносных программ

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Лотта, 14 янв 2012.

Статус темы:
Закрыта.
  1. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0
    Лотта, в недавнее время мы вынуждены были неоднократно замораживать Вашу страницу. В целях безопасности, на этот раз страница была заморожена до завтра, 13:59.
    что делать? не могу зайти((
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      22,3 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      19,4 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      42 КБ
      Просмотров:
      10
  2. Techno
    Оффлайн

    Techno Ассоциация VN

    Сообщения:
    881
    Симпатии:
    407
    Посмотрю...

    Добавлено через 20 минут 33 секунды
    Здравствуйте!!!

    - Отключите антивирус/фаервол и интернет;
    - Выполните в АВЗ:
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\WINDOWS\79e953jm4h.exe','');
     DeleteFile('C:\WINDOWS\79e953jm4h.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('srv32');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

    - Пофиксите
    Код (Text):
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O1 - Hosts: windows
    - Повторите логи АВЗ и РСИТ.

    - Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно.
     
    2 пользователям это понравилось.
  3. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0
    в смысле как он проверит вам все отправить? и не чего не удалять?
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Только переслать карантин, удаление производится при помощи скриптов.
     
  5. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0
    вот скопировала)
     

    Вложения:

  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Повторите сканирование в MBAM и удалите только следующие строки:

    Код (Text):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
    c:\documents and settings\Admin\application data\chkntfs.dat (Malware.Trace) -> No action taken.
    Файл

    Код (Text):
    c:\WINDOWS\notepad.exe
    Проверьте на Virustotal, результат сообщите.

    +

     
  7. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0
    Файл

    Код:

    c:\WINDOWS\notepad.exe

    что с этим сделать? куда код вести?

    Проверьте на Virustotal, результат сообщите.
    и где это взять?)))
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    2 пользователям это понравилось.
  9. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0

    Вложения:

  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Лог RSIT еще разик приложите
     
  11. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0
    точнозабыла)
     

    Вложения:

    • log.txt
      Размер файла:
      42,1 КБ
      Просмотров:
      18
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Как самочувствие системы?
     
  13. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0
    да вроде нормальное) я не разбираюсь просто))
     
    Последнее редактирование: 15 янв 2012
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
    Проверьте еще этот файл на Virustotal

    Код (Text):
    C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe
     
  15. Лотта
    Оффлайн

    Лотта Пользователь

    Сообщения:
    8
    Симпатии:
    0
    а у меня такого там нету chkntfs.exe )
     
  16. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.443
    Симпатии:
    13.950
    Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
    Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
    временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
    Код (Text):

    :Processes
    explorer.exe


    :Reg
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe]
    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]
     
    В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

    Компьютер перезагрузится.

    После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей