Решена Лечение систем от вредоносных программ

[Лотта]

Лотта, в недавнее время мы вынуждены были неоднократно замораживать Вашу страницу. В целях безопасности, на этот раз страница была заморожена до завтра, 13:59.
что делать? не могу зайти((

 

[Techno]

Посмотрю...

Добавлено через 20 минут 33 секунды
Здравствуйте!!!

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\79e953jm4h.exe','');
 DeleteFile('C:\WINDOWS\79e953jm4h.exe');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('srv32');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Пофиксите

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O1 - Hosts: windows

- Повторите логи АВЗ и РСИТ.

- Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - Показать результаты - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того, что будет отмечено, удалять ничего не нужно.

 

[Лотта]

в смысле как он проверит вам все отправить? и не чего не удалять?

 

[akok]

в смысле как он проверит вам все отправить? и не чего не удалять?

Только переслать карантин, удаление производится при помощи скриптов.

 

[Лотта]

вот скопировала)

 

[Severnyj]

вот скопировала)

Повторите сканирование в MBAM и удалите только следующие строки:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
c:\documents and settings\Admin\application data\chkntfs.dat (Malware.Trace) -> No action taken.

Файл

c:\WINDOWS\notepad.exe

Проверьте на Virustotal, результат сообщите.

+

Повторите логи АВЗ и РСИТ

 

[Лотта]

Файл

Код:

c:\WINDOWS\notepad.exe

что с этим сделать? куда код вести?

Проверьте на Virustotal, результат сообщите.
и где это взять?)))

 

[Severnyj]

Здесь проверьте:

https://www.virustotal.com/

 

[Лотта]

https://www.virustotal.com/file/60a...87c29762911222fd62bf81f319553290bb6/analysis/
вот проверила если то что нужно)

 

[Severnyj]

Лог RSIT еще разик приложите

 

[Лотта]

точнозабыла)

 

[Severnyj]

Как самочувствие системы?

 

[Лотта]

да вроде нормальное) я не разбираюсь просто))

 

[Severnyj]

Проверьте еще этот файл на Virustotal

C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe

 

[Лотта]

а у меня такого там нету chkntfs.exe )

 

[akok]

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe


:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.