Решена Изменились иконки программ

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Здравствуйте!

Ранее была проблема, что какой то вирус переименовывал папки с софтовыми дистрибутивами (и другие наверно тоже, точно не помню) доставляя перед стандартным названием буквы zw (Opera setup превращалась в zwOpera setup и т.д.)? также папка дистрибутива становилась полупрозрачной, как будто невидимой. Потом поудалял лишнее, вроде такая форма воздействия на файлы прекратилась.

Но совсем недавно (дней 10 может назад, как раз после того когда я обращался с другой проблемой на этом форуме - http://safezone.cc/forum/showthread.php?p=152601#post152601) появилась схожая проблема. Какой то вирусняк изменяет экзешные файлы запуска программ (картинка1) и другие , в том числе и текстовые, архивы. Все это еще сбивает потому что обновление виндовс делал после устранения 1й проблемы и там тоже стандартные папки менялись (обновлялись).

Делал проверку компа нодом32, очистил каких то 27 вирусов, оставшиеся файлы определил как потенциально опасные. В списке есть программы. которым я доверяю, но ведь в нем могли быть и реальные вирусы, трояны и т.д. Как распределить программы на "хорошие" и "плохие" не знаю, вдруг программы которым доверял тоже зараженые или трояны.

Вобщем помогите излечить комп от всевозможных вирусов пожалуйста
и в дополнение подскажите как правильно работать с нод32? Бывает нашел он вирус, вылечить не смог, удалить не может, а как тогда его вобще удалять?

Заранее спасибо

P.S.: прикрепил картинки файлов, которые думаю изменены вирусом.
 

Вложения

  • info.txt
    43.3 KB · Просмотры: 1
  • log.txt
    66.5 KB · Просмотры: 5
  • картинка1.png
    картинка1.png
    295 байт · Просмотры: 166
  • картинка2.png
    картинка2.png
    694 байт · Просмотры: 167
  • virusinfo_syscure.zip
    35.3 KB · Просмотры: 9
  • virusinfo_syscheck.zip
    32.5 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,053
Реакции
143
Приветствую RuMax, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,904
Реакции
2,599
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Cканирование завершил
 

Вложения

  • MBAM-log-2013-07-23 (22-10-12).txt
    20.6 KB · Просмотры: 2

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,667
Удалите в МВАМ
Обнаруженные ключи в реестре: 7
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\Admin\Local Settings\Temp\usft_ext.dll (PUP.BitCoinMiner) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
А как это сделать? Не в самом же файле удалять? Или все же в файле? Что потом тогда?
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Там написано что повторить процедуру сканирования полностью и выделить галочками то что вы скажите. А я после 1го сканирования когда прислал мвам не выключал сканер и он так и стоит . Можно я сейчас прям выделю что надо и удалю?
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Удалил лишнее
 

Вложения

  • mbam-log-2013-07-23 (20-03-31).txt
    20.8 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Изменений не произошло в положительную сторону?
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Все что было изменено вирусами, так и осталось(я имею ввиду папки не стали снова нормальными). Ну всякие фунмодсы пока не лезут.

Добавлено через 35 минут 25 секунд
А что за вирусы были? Еще есть что нить?

- подскажите как правильно работать с нод32? Бывает нашел он вирус, вылечить не смог, удалить не может, а как тогда его вобще удалять?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteRepair(8);
 RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.


Бывает нашел он вирус, вылечить не смог, удалить не может, а как тогда его вобще удалять?
Или файла уже нет, или зайти в папку и удалить ручками.
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Выполнил скрипт. Какой нибудь файл по результату выполнения нужен?
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Вроде шустрей работать стал, в интернете быстрее точно чувствуется, а пусковые экзешники все также отображаются переделаными значками
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,376
у новых файлов нормальная иконка ?
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
У каких новых файлов?
Новых изменений иконок пока нет, только старые которые измены были остались.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,376
RuMax, скорее всего старые файлы были повреждены вирусом и потом пролечены вашим антивирусом, так что иконку им наверно уже не исправить. Постарайтесь эти дистирибутивы поудалять, а взамен скачать (найти у друзей, на дисках) новые.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

RuMax

Активный пользователь
Сообщения
391
Реакции
61
Есть один нюанс. Вот например когда я загружаю какую любо загрузку (в том же фаерфоксе) пока загрузка до конца не прошла загружаемый файл и в загрузках браузера и в папке в которую загружаю отображается все той же иконкой, которой заменены экзешники. Когда загрузка заканчивается, то в браузере эта загрузка остается висеть вот такой вот нехорошой иконкой, а в папке куда загружал, файл принимает вид своей иконки.
Постарайтесь эти дистирибутивы поудалять, а взамен скачать (найти у друзей, на дисках) новые.
А если не удалять? Очень не хочется 1 программу удалять, гемороя много будет.
 

Вложения

  • SecurityCheck.txt
    2.6 KB · Просмотры: 4
Сверху Снизу