Помогите пожалуйста, эта ошибка уже причинила не мало неудобств.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Помогите пожалуйста, эта ошибка уже причинила не мало неудобств.
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
Последний раз редактировалось Getter; 08.06.2013 в 12:58.
Уважаемый(ая) Getter, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
> Выполните скрипт в AVZ:
После выполнения скрипта компьютер будет перезагружен.Код:BEGIN ClearQuarantine; IF NOT IsWOW64 THEN begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\WINDOWS\system32\45.exe',''); QuarantineFile('C:\WINDOWS\system32\31.exe',''); DeleteFile('C:\WINDOWS\system32\31.exe'); DeleteFile('C:\WINDOWS\system32\45.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); END.
> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.
> Повторите действия, указанные в правилах и подготовьте новые отчеты AVZ и hijackthis.
Подготовьте отчет MBAM.
_________________
> как выполнить скрипт в AVZ
октройте в блокноте и напишите здесь его содержимое.Код:C:\WINDOWS\system32\linkdel.cmd
Удалите в MBAM только
Просканируйте заново и прикрепите новый лог сканированя MBAMКод:Обнаруженные ключи в реестре: 4 HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные параметры в реестре: 2 HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято. Объекты реестра обнаружены: 6 HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято. Обнаруженные папки: 1 C:\Program Files\KOA GIOAF\LpZ (Trojan.Agent) -> Действие не было предпринято. C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. C:\Program Files\KOA GIOAF\LpZ\faka.sa (Trojan.Agent) -> Действие не было предпринято.
+если есть такой файл проверьте его на http://www.virustotal.com/ ссылку на результат проверки напишите здесь.Код:C:\WINDOWS\TEMP\Amsmpu4p.sys
C:\WINDOWS\system32\linkdel.cmd
:: Определение версии операционной системы
FOR /F "usebackq tokens=* delims==" %%i IN (`REG QUERY "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" /v CurrentVersion`) do set CV=%%i
set ver=%CV:~-3%
::ЏҐаҐб®авЁа®ўЄ* ¬Ґ*о ЏгбЄ
cmdow @ /HID
MOVE "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Internet Explorer.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\Internet Explorer.lnk"
MOVE "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Outlook Express.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\Outlook Express.lnk"
MOVE "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\“¤*«Ґ***п Ї®¬®йм.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\“¤*«Ґ**л© Ї®¬®й*ЁЄ.lnk"
MOVE "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\“¤*«Ґ**л© Ї®¬®й*ЁЄ.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\“¤*«Ґ**л© Ї®¬®й*ЁЄ.lnk"
MOVE "%AllUsersProfile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Windows Movie Maker.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\Windows Movie Maker.lnk"
MOVE "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Џа®ЁЈалў*⥫м Windows Media.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\Џа®ЁЈалў*⥫м Windows Media.lnk"
MOVE "%AllUsersProfile%\ѓ«*ў*®Ґ ¬Ґ*о\Windows Update.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\Windows Update.lnk"
MOVE "%AllUsersProfile%\ѓ«*ў*®Ґ ¬Ґ*о\Microsoft Update.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\Microsoft Update.lnk"
MOVE "%AllUsersProfile%\ѓ«*ў*®Ґ ¬Ґ*о\Љ*в*«®Ј Windows.lnk" "%userprofile%\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\‘в**¤*ав*лҐ\Љ*в*«®Ј Windows.lnk"
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /V LinkDel /f
reg import desktop.reg
taskkill /f /im explorer.exe
if %ver%==5.0 exit
::пауза
::ping -n seconds -w 10 127.0.0.1 > nul
:: удаление лишних папок и файлов
IF EXIST %systemdrive%\DP*.ini del %systemdrive%\DP*.ini
IF EXIST %systemdrive%\msocache RD /Q /S %systemdrive%\msocache
explorer.exe
del %~n0.cmd
MBAM-log-2013-06-09 (06-09-01).txt
C:\WINDOWS\TEMP\Amsmpu4p.sys - Не обнаружил
Последний раз редактировалось Getter; 09.06.2013 в 20:08.
А дальше то что?
Файл desktop.reg тоже откройте в блокноте и покажите, скорее всего он тоже будет лежать в
Удалите в MBAMКод:C:\WINDOWS\system32\desktop.reg
сделайте новый лог сканирования MBAMКод:Обнаруженные параметры в реестре: 3 HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: Поиск WebAlta -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Getter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.