Решена Лечение систем от вредоносных программ

Статус
В этой теме нельзя размещать новые ответы.

Лотта

Новый пользователь
Сообщения
8
Реакции
0
Лотта, в недавнее время мы вынуждены были неоднократно замораживать Вашу страницу. В целях безопасности, на этот раз страница была заморожена до завтра, 13:59.
что делать? не могу зайти((
 

Вложения

  • virusinfo_syscheck.zip
    22.3 KB · Просмотры: 5
  • info.txt
    19.4 KB · Просмотры: 1
  • log.txt
    42 KB · Просмотры: 10
Посмотрю...

Добавлено через 20 минут 33 секунды
Здравствуйте!!!

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\79e953jm4h.exe','');
 DeleteFile('C:\WINDOWS\79e953jm4h.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srv32');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Пофиксите
Код:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: windows

- Повторите логи АВЗ и РСИТ.

- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно.
 
в смысле как он проверит вам все отправить? и не чего не удалять?
 
вот скопировала)
 

Вложения

  • mbam-log-2012-01-15 (01-58-13).txt
    2.6 KB · Просмотры: 4
вот скопировала)

Повторите сканирование в MBAM и удалите только следующие строки:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
c:\documents and settings\Admin\application data\chkntfs.dat (Malware.Trace) -> No action taken.

Файл

Код:
c:\WINDOWS\notepad.exe

Проверьте на Virustotal, результат сообщите.

+

Повторите логи АВЗ и РСИТ
 
Файл

Код:

c:\WINDOWS\notepad.exe

что с этим сделать? куда код вести?

Проверьте на Virustotal, результат сообщите.
и где это взять?)))
 
Лог RSIT еще разик приложите
 
точнозабыла)
 

Вложения

  • log.txt
    42.1 KB · Просмотры: 19
Как самочувствие системы?
 
да вроде нормальное) я не разбираюсь просто))
 
Последнее редактирование:
Проверьте еще этот файл на Virustotal

Код:
C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe
 
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe


:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу