Решена Изменились иконки программ

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Здравствуйте!

Ранее была проблема, что какой то вирус переименовывал папки с софтовыми дистрибутивами (и другие наверно тоже, точно не помню) доставляя перед стандартным названием буквы zw (Opera setup превращалась в zwOpera setup и т.д.)? также папка дистрибутива становилась полупрозрачной, как будто невидимой. Потом поудалял лишнее, вроде такая форма воздействия на файлы прекратилась.

Но совсем недавно (дней 10 может назад, как раз после того когда я обращался с другой проблемой на этом форуме - http://safezone.cc/forum/showthread.php?p=152601#post152601) появилась схожая проблема. Какой то вирусняк изменяет экзешные файлы запуска программ (картинка1) и другие , в том числе и текстовые, архивы. Все это еще сбивает потому что обновление виндовс делал после устранения 1й проблемы и там тоже стандартные папки менялись (обновлялись).

Делал проверку компа нодом32, очистил каких то 27 вирусов, оставшиеся файлы определил как потенциально опасные. В списке есть программы. которым я доверяю, но ведь в нем могли быть и реальные вирусы, трояны и т.д. Как распределить программы на "хорошие" и "плохие" не знаю, вдруг программы которым доверял тоже зараженые или трояны.

Вобщем помогите излечить комп от всевозможных вирусов пожалуйста
и в дополнение подскажите как правильно работать с нод32? Бывает нашел он вирус, вылечить не смог, удалить не может, а как тогда его вобще удалять?

Заранее спасибо

P.S.: прикрепил картинки файлов, которые думаю изменены вирусом.
 

Вложения

  • info.txt
    43.3 KB · Просмотры: 1
  • log.txt
    66.5 KB · Просмотры: 5
  • картинка1.png
    картинка1.png
    295 байт · Просмотры: 146
  • картинка2.png
    картинка2.png
    694 байт · Просмотры: 147
  • virusinfo_syscure.zip
    35.3 KB · Просмотры: 9
  • virusinfo_syscheck.zip
    32.5 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую RuMax, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Cканирование завершил
 

Вложения

  • MBAM-log-2013-07-23 (22-10-12).txt
    20.6 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Удалите в МВАМ
Обнаруженные ключи в реестре: 7
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\Admin\Local Settings\Temp\usft_ext.dll (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
А как это сделать? Не в самом же файле удалять? Или все же в файле? Что потом тогда?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Там написано что повторить процедуру сканирования полностью и выделить галочками то что вы скажите. А я после 1го сканирования когда прислал мвам не выключал сканер и он так и стоит . Можно я сейчас прям выделю что надо и удалю?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Удалил лишнее
 

Вложения

  • mbam-log-2013-07-23 (20-03-31).txt
    20.8 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
Изменений не произошло в положительную сторону?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Все что было изменено вирусами, так и осталось(я имею ввиду папки не стали снова нормальными). Ну всякие фунмодсы пока не лезут.

Добавлено через 35 минут 25 секунд
А что за вирусы были? Еще есть что нить?

- подскажите как правильно работать с нод32? Бывает нашел он вирус, вылечить не смог, удалить не может, а как тогда его вобще удалять?
 

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteRepair(8);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.


Бывает нашел он вирус, вылечить не смог, удалить не может, а как тогда его вобще удалять?
Или файла уже нет, или зайти в папку и удалить ручками.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Выполнил скрипт. Какой нибудь файл по результату выполнения нужен?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Вроде шустрей работать стал, в интернете быстрее точно чувствуется, а пусковые экзешники все также отображаются переделаными значками
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
у новых файлов нормальная иконка ?
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
У каких новых файлов?
Новых изменений иконок пока нет, только старые которые измены были остались.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
RuMax, скорее всего старые файлы были повреждены вирусом и потом пролечены вашим антивирусом, так что иконку им наверно уже не исправить. Постарайтесь эти дистирибутивы поудалять, а взамен скачать (найти у друзей, на дисках) новые.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

RuMax

Активный пользователь
Сообщения
372
Реакции
60
Баллы
328
Есть один нюанс. Вот например когда я загружаю какую любо загрузку (в том же фаерфоксе) пока загрузка до конца не прошла загружаемый файл и в загрузках браузера и в папке в которую загружаю отображается все той же иконкой, которой заменены экзешники. Когда загрузка заканчивается, то в браузере эта загрузка остается висеть вот такой вот нехорошой иконкой, а в папке куда загружал, файл принимает вид своей иконки.
Постарайтесь эти дистирибутивы поудалять, а взамен скачать (найти у друзей, на дисках) новые.
А если не удалять? Очень не хочется 1 программу удалять, гемороя много будет.
 

Вложения

  • SecurityCheck.txt
    2.6 KB · Просмотры: 4
Сверху Снизу