Решена заблокирована страница в контакте

Тема в разделе "Лечение компьютерных вирусов", создана пользователем natalusik, 25 сен 2011.

Статус темы:
Закрыта.
  1. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    хелп. вот логи
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      22,4 КБ
      Просмотров:
      5
    • virusinfo_syscure.zip
      Размер файла:
      11 КБ
      Просмотров:
      4
    • info.txt
      Размер файла:
      24,3 КБ
      Просмотров:
      5
    • log.txt
      Размер файла:
      31,7 КБ
      Просмотров:
      3
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    А почему первый лог AVZ делали в безопасном режиме?

    Добавлено через 1 минуту 15 секунд
    Сейчас погляжу остальные логи
     
    1 человеку нравится это.
  3. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    потому что сначала сделала все как написано до перезагрузки а после перезагрузки комп не загрузился (синий экран был... краш чего то там) поэтому в безопасном
     
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Windows\system32\wac.sys','');
     QuarantineFile('C:\Users\Натали\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Update.exe','');
     QuarantineFile('C:\Windows\system32\E262.tmp','');
     QuarantineFile('C:\Windows\system32\C6D7.tmp','');
     QuarantineFile('C:\Windows\system32\BC2D.tmp','');
     QuarantineFile('C:\Windows\system32\A8AD.tmp','');
     QuarantineFile('C:\Windows\system32\7DE5.tmp','');
     QuarantineFile('C:\Windows\system32\705E.tmp','');
     QuarantineFile('C:\Windows\system32\6576.tmp','');
     QuarantineFile('C:\Windows\system32\5E54.tmp','');
     DeleteFile('C:\Windows\system32\E262.tmp');
     DeleteFile('C:\Windows\system32\C6D7.tmp');
     DeleteFile('C:\Windows\system32\BC2D.tmp');
     DeleteFile('C:\Windows\system32\A8AD.tmp');
     DeleteFile('C:\Windows\system32\7DE5.tmp');
     DeleteFile('C:\Windows\system32\705E.tmp');
     DeleteFile('C:\Windows\system32\6576.tmp');
     DeleteFile('C:\Windows\system32\5E54.tmp');
     DeleteFile('C:\Users\Натали\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Update.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7823
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=
     
    Повторите логи AVZ и RSIT

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
    1 человеку нравится это.
  5. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    вроде все сделала
     

    Вложения:

  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Удалите в MBAM только следующие строки:

    Код (Text):
    HKEY_CURRENT_USER\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Casino Tropez (Adware.Casino) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.
    c:\Windows\pss\microsoft update.exe.startup (Trojan.Agent) -> No action taken.
    Затем пролечитесь так:

    http://support.kaspersky.ru/faq/?qid=208636926

    +

    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

    Подробнее в "ComboFix. Руководство по применению."
     
    1 человеку нравится это.
  7. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    ComboFix 11-09-26.01 - Натали 26.09.2011 5:14.1.4 - x86
    Microsoft Windows 7 Ultimate 6.1.7600.0.1251.7.1049.18.2486.1533 [GMT 6:00]
    Running from: D:\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
    SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
    SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    ADS - Windows: deleted 24 bytes in 1 streams.
    .
    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files\VRazvedke
    c:\program files\VRazvedke\release\cookies.txt
    c:\programdata\cf
    c:\windows\PFRO.log
    c:\windows\XSxS
    .
    .
    ((((((((((((((((((((((((( Files Created from 2011-08-25 to 2011-09-25 )))))))))))))))))))))))))))))))
    .
    .
    2011-09-25 18:28 . 2011-09-25 18:28 -------- d-----w- c:\users\Натали\AppData\Roaming\Malwarebytes
    2011-09-25 18:28 . 2011-09-25 18:28 -------- d-----w- c:\programdata\Malwarebytes
    2011-09-25 18:28 . 2011-09-25 18:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-09-25 18:28 . 2011-08-31 11:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-09-25 16:55 . 2011-09-25 18:20 -------- d-----w- c:\program files\trend micro
    2011-09-25 16:55 . 2011-09-25 16:55 -------- d-----w- C:\rsit
    2011-09-24 07:47 . 2011-09-24 07:47 -------- d-----w- c:\users\Натали\AppData\Local\Nokia
    2011-09-24 07:47 . 2011-09-24 07:47 -------- d-----w- c:\users\Натали\AppData\Roaming\PC Suite
    2011-09-22 13:33 . 2011-09-22 13:33 -------- d-----w- c:\users\Натали\AppData\Roaming\StageManager.BD092818F67280F4B42B04877600987F0111B594.1
    2011-09-22 13:33 . 2011-09-22 13:33 -------- d-----w- c:\users\Натали\AppData\Roaming\Adobe Mini Bridge CS5
    2011-09-22 13:24 . 2011-09-22 13:24 -------- d-----w- c:\programdata\regid.1986-12.com.adobe
    2011-09-22 13:10 . 2011-09-22 13:10 -------- d-----w- c:\program files\Common Files\Adobe AIR
    2011-09-21 11:29 . 2011-09-21 11:29 -------- d-----w- c:\program files\Google
    2011-09-19 18:14 . 2011-09-19 18:14 -------- d-----w- c:\users\Натали\AppData\Local\Stardock
    2011-09-19 18:14 . 2011-09-19 18:14 -------- d-----w- c:\program files\Stardock
    2011-09-11 04:47 . 2011-08-29 08:00 74752 ----a-w- c:\windows\system32\ff_vfw.dll
    2011-09-11 04:47 . 2011-07-16 14:17 151552 ----a-w- c:\windows\system32\ac3acm.acm
    2011-09-11 04:47 . 2011-06-24 14:44 243200 ----a-w- c:\windows\system32\xvidvfw.dll
    2011-09-11 04:47 . 2011-06-24 14:28 650752 ----a-w- c:\windows\system32\xvidcore.dll
    2011-09-11 04:47 . 2006-10-18 18:05 232448 ----a-w- c:\windows\system32\mp3fhg.acm
    2011-09-05 09:06 . 2011-09-05 09:06 -------- d-----w- c:\users\Натали\AppData\Roaming\Opera
    2011-09-04 15:29 . 2011-09-21 11:30 -------- d-----w- c:\users\Натали\AppData\Local\Google
    2011-08-31 16:20 . 2011-08-31 16:20 -------- d-----w- c:\users\РАБОТА
    2011-08-31 16:20 . 2011-08-31 16:20 -------- d-sh--w- c:\windows\ftpcache
    .
    .
    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-09-25 16:58 . 2011-08-02 12:15 11264 ----a-w- c:\windows\system32\drivers\uzm1ndaw.sys
    2011-09-22 10:56 . 2011-08-13 08:19 2516 --sha-w- c:\programdata\KGyGaAvL.sys
    2011-09-22 10:56 . 2011-08-13 08:19 88 --sh--r- c:\programdata\951B4DD514.sys
    2011-09-07 09:41 . 2011-05-02 16:09 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
    .
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2011-02-23 15:04 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
    "uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-03-29 399736]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-08-03 136216]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-08-03 171032]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2010-08-03 170008]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-04-15 1721640]
    "RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RtkNGUI.exe" [2010-12-20 5421672]
    "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
    "AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2011-09-22 500208]
    "SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
    "AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-02-21 406992]
    "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 0 (0x0)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv
    .
    [HKLM\~\startupfolder\C:^Users^Натали^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Update.exe]
    path=c:\users\Натали\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Update.exe
    backup=c:\windows\pss\Microsoft Update.exe.Startup
    backupExtension=.Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
    c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\2Gis Update Notifier]
    2011-05-31 05:57 4581208 ----a-w- c:\program files\2gis\3.0\2GISTrayNotifier.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
    2011-03-30 04:59 937920 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2011-06-08 04:02 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
    2007-06-27 14:03 152872 ----a-w- c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
    2009-01-29 22:20 57344 ----a-w- c:\program files\SlySoft\CloneCD\CloneCDTray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
    2010-04-01 09:16 357696 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dark]
    2009-11-25 16:45 88576 ----a-w- c:\program files\Microsoft\DarkSetup\Dark.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Download Master]
    2010-12-03 12:03 3902272 ----a-w- c:\program files\Download Master\dmaster.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
    2011-09-04 15:29 136176 ----atw- c:\users\Натали\AppData\Local\Google\Update\GoogleUpdate.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Quick Launch]
    2010-09-28 13:08 584760 ----a-w- c:\program files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAStorIcon]
    2010-04-13 04:57 284696 ----a-w- c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    2007-03-01 10:57 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
    2010-08-03 16:37 98304 ----a-w- c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
    2011-03-29 04:26 399736 ----a-w- c:\program files\uTorrent\uTorrent.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wmagent.exe]
    2009-10-19 11:47 210400 ----a-w- c:\program files\WebMoney Agent\wmagent.exe
    .
    R0 02004464;02004464;c:\windows\system32\drivers\73119728.sys [x]
    R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [x]
    R1 vdm1ndaw;AVZ-BC Kernel Driver;c:\windows\system32\Drivers\vdm1ndaw.sys [x]
    R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [2011-05-31 874328]
    R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
    R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [x]
    R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-11-30 327272]
    R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
    S1 aswSnx;aswSnx; [x]
    S1 aswSP;aswSP; [x]
    S1 uzm1ndaw;AVZ-RK Kernel Driver;c:\windows\system32\Drivers\uzm1ndaw.sys [2011-09-25 11264]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
    S1 WAC;WAC;c:\windows\system32\wac.sys [2011-01-01 241664]
    S2 AERTFilters;Andrea RT Filters Service;c:\program files\Realtek\Audio\HDA\AERTSrv.exe [2009-11-18 87968]
    S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-08-03 176128]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]
    S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2010-08-04 92216]
    S2 HPWMISVC;HPWMISVC;c:\program files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe [2010-09-28 26680]
    S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-04-13 13336]
    S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-08-31 366152]
    S2 RtVOsdService;RtVOsdService Installer;c:\program files\Realtek\RtVOsd\RtVOsdService.exe [2010-06-17 315392]
    S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-18 2320920]
    S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-08-03 5586432]
    S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-08-03 210432]
    S3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW73.sys [2010-11-17 101392]
    S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd32.sys [2010-08-03 8758272]
    S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2011-08-31 22216]
    .
    .
    Contents of the 'Scheduled Tasks' folder
    .
    .
    ------- Supplementary Scan -------
    .
    uDefault_Search_URL =
    mStart Page = about:blank
    mSearch Bar =
    IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
    IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
    IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
    IE: Передать на удаленную закачку DM - c:\program files\Download Master\remdown.htm
    TCP: DhcpNameServer = 192.168.0.1
    FF - ProfilePath - c:\users\Натали\AppData\Roaming\Mozilla\Firefox\Profiles\gsg800no.default\
    FF - prefs.js: browser.search.selectedEngine - Яндекс
    FF - prefs.js: browser.startup.homepage - about:home
    FF - prefs.js: keyword.URL - hxxp://go.mail.ru/search?utf8in=1&fr=fftbUFix&q=
    FF - prefs.js: network.proxy.type - 0
    .
    - - - - ORPHANS REMOVED - - - -
    .
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    HKCU-Run-AdobeBridge - (no file)
    SafeBoot-02004464.sys
    MSConfigStartUp-Guard.Mail.ru - c:\program files\Mail.Ru\Guard\GuardMailRu.exe
    MSConfigStartUp-jsafesurf - c:\program files\SafeSurf\safesurf.exe
    MSConfigStartUp-MAgent - c:\program files\Mail.Ru\Agent\MAgent.exe
    MSConfigStartUp-MgnADISRun - c:\program files\Maginfo\DiagnosticUtility\MgnAutoDiag.exe
    MSConfigStartUp-MgnVpnRenewer - c:\users\Натали\AppData\Roaming\Интернет Магинфо\vpnRepair.vbs
    AddRemove-Vpn интернет - c:\users\Натали\AppData\Roaming\Интернет Магинфо\uninstall.exe
    .
    .
    .
    --------------------- LOCKED REGISTRY KEYS ---------------------
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    Completion time: 2011-09-26 05:30:28
    ComboFix-quarantined-files.txt 2011-09-25 23:30
    .
    Pre-Run: 4*011*524*096 байт свободно
    Post-Run: 4*249*939*968 байт свободно
    .
    - - End Of File - - DD56C5875366BA28DF5FB330BAAEBF04
     
    Последнее редактирование модератором: 26 сен 2011
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    KillAll::

    Registry::
    [-HKLM\~\startupfolder\C:^Users^Натали^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Update.exe]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Натали^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Update.exe]

    Reboot::
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

    Лог TDSSKiller тоже приложите, находится в корне системного диска
     
    Последнее редактирование: 26 сен 2011
    1 человеку нравится это.
  9. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    запаковать в архив не могу т.к. не запускается винрар
     

    Вложения:

  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    И давно не запускается?

    После разблокировки контакта, смените все пароли, почта, аська и проч.

    Как в остальном самочувствие системы?
     
  11. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    до вируса все работало а сейчас многие приложения не запускаются, пишется "попытка произвести недопустимую операцию над параметром реестра помеченным на удаление"
    загружается с 3-го, 4-го раза, при загрузке винды вылезает синий экран, не успеваю прочитать что там написано что то про краш дамп систем и снова начинается загрузка как будто работа виндоус была завершена неправильно предлагает обычную загрузку виндоус или безопасный режим
    ну и контакт не фунциклирует а в остальном вроде бы как и было раньше

    программы запускаются только от имени администратора

    Добавлено через 30 минут 22 секунды
    после перезагрузки все стало нормально открываться и загрузился нормально, только контакт не работает и все
     
    Последнее редактирование: 26 сен 2011
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Запакуйте папку C:\Qoobox\Quarantine\ в архив Quarantine.zip c паролем virus и отправьте по форме указанной выше.

    Подготовьте лог uVS

    Выполните также заново правила.

    Контакт просто не открывается или говорит, что доступ закрыт, заблокирован, просит отправить SMS?
     
    1 человеку нравится это.
  13. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    вот что пишет: "С Вашей страницы неоднократно рассылался спам, поэтому она была заблокирована вчера в 21:00.
    Возможно, Ваша страница была взломана. В целях безопасности мы просим Вас изменить пароль, перед тем как войти на сайт."

    а если с телефона в контакте такая же фигня значит я на телефон такую же беду поймала?
     

    Вложения:

    Последнее редактирование модератором: 26 сен 2011
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Нет, это значит надо сменить пароли когда снимут блокировку.

    Логи смогу поглядеть только вечером.
     
  15. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    да я бы и рада пароль сменить да только ничего не происходит когда нажимаю изменить пароль
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Попробуйте в другом браузере.
    Когда закончится блокировка?

    Выполните скрипт в uVS:

    Код (Text):
    ;uVS v3.71 script [http://dsrt.dyndns.org]

    delall %Sys32%\DRIVERS\73119728.SYS
    delref HTTP://WEBALTA.RU
    delref HTTP://WEBALTA.RU/POISK
    delall OSETUP.DLL
    clrmd
    regt 13
    restart
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
     
    1 человеку нравится это.
  17. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    в контакт я зашла а вот синий экран вылезает при загрузке иногда прям раза с пятого запускается(((((

    Добавлено через 53 секунды
    попробую сейчас успеть прочитать что там написано
     
  18. Lexer
    Оффлайн

    Lexer Активный пользователь

    Сообщения:
    365
    Симпатии:
    70
    Для того, чтобы прочитать что там написано, а лучше сфотографировать и фото выложить сюда - Кликните правой клавишей на иконке "Мой компьютер", выберите "Свойства". Выберите закладку "Дополнительно", в ней раздел "Загрузка и восстановление". В этом разделе нажмите кнопку "Параметры". Уберите галку из пункта "Выполнить автоматическую перезагрузку" В секции "Запись отладочной информации" выберите "Малый дамп памяти (64кб)". Закройте все окна кнопками "ОК".

    Удалите все файлы из папки С:\Windows\Minidump.

    После очередного возникновения синего экрана компьютер скинет необходимую для понимания проблемы информацию в специальный файл. Вы сможете найти эти файлы тут:
    С:\Windows\Minidump и выложите три последних минидампа сюда.
     
    Последнее редактирование: 27 сен 2011
    1 человеку нравится это.
  19. natalusik
    Оффлайн

    natalusik Активный пользователь

    Сообщения:
    12
    Симпатии:
    1
    я сфотала синий экран
     

    Вложения:

    • DSC01410.jpg
      DSC01410.jpg
      Размер файла:
      57,8 КБ
      Просмотров:
      9
  20. Lexer
    Оффлайн

    Lexer Активный пользователь

    Сообщения:
    365
    Симпатии:
    70
    natalusik, вам нужно удалить или переустановить антивирус AVAST.
     
    Последнее редактирование: 27 сен 2011
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей