Трояны + Автоматическое открытие папок при загрузке.
Здравствуйте уважаемые хэлперы и администраторы раздела.
Постараюсь кратко описать проблему:
1. Выполняя по пунктам ПРАВИЛА - Диагностика на этапе сканирования вэбом в безопасном режиме с внешнего носителя обнаружены и как я понимаю удалены:
Trojan.StartPage.1834 в файле laf80.tmp
Trojan.Spambot.2486 в файле winlogon.exe
Trojan.Spambot.2486 в файле A0118132.sys
Trojan.Spambot.2486 в файле A0111333.sys
Trojan.PWS.Webomier в файле msdnc1.exe
2. Проделав все процедуры я так и не решил проблему, из-за которой я оказался на Вашем форуме и проделал указанную выше диагностику - при загрузке система папка Мои Документы открывается дважды. Прикладываю лог антивирусного сканирования.
Заранее благодарен, надеюсь сделал всё по инструкции
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Что значит "повторить логи"? Опять сканировать в безопасном режиме? по полной всеми инструментами?
Добавлено через 43 секунды
Карантин выслал.
Добавлено через 4 минуты
в процессе запуска скрипта аваст поймал какой-то win.trojan.gen если я правильно запомнил название прежде чем нажал УДАЛИТЬ. название мне что-то совсем не понравилось))
Последний раз редактировалось yakuza; 01.02.2008 в 01:17.
Причина: Добавлено
1. Всё выполнил.
2. Из указанного - нужен только запуск с CD наверное. Остальное я просто половины даже не знаю.
3. Оставшаяся проблема - при запуске теперь вместо двух папок Мои Документы открывается уже одна.
4. Пропали все контакты ICQ, Но после выкл/вкл ICQ появились снова...
Последний раз редактировалось yakuza; 01.02.2008 в 10:34.
Причина: нашёл ещё
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000
сохраните как 1.reg запустите и разрешите добавить в реестр ...
Добавлено через 4 минуты
и такой скрипт выполните ...
Код:
begin
BC_DeleteSvc('Modeprocsqd');
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось V_Bond; 01.02.2008 в 20:27.
Причина: Добавлено
сделайте экпорт ветки в текстовый файл ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
и приложите к сообщению ...
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Убедитесь, что все значения в этих разделах не содержат неправильных, незавершенных и пустых записей (таких как "")
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: