-
Junior Member
- Вес репутации
- 52
Помогите вычистить остатки вируса-вымагателя
После лечения компа попрежнему остаются баги:
- на диске С: визуально не наблюдается папка "Windows"( в т.ч. среди скрытых), хотя судя по работе АВЗ он ее таки проверяет и видит 4 подозрительных файла в папке Инсталлер в Винде;
- не подключаются флешки;
- у картинки на рабочем столе виден только правый верхний ее угол, такое впечатление, что картинку сместили по диагонали влево вниз.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В Hijackthis пофиксите:
Код:
R3 - URLSearchHook: (no name) - - (no file)
В AVZ выполните скрипт:
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 52
проделал все как Вы посоветовали, но все выше описанные мною баги остались неизменными.
Флешки в оборудованиях светятся с желтым знаком. в сведениях записано "Драйвер для этого устройства был отключен. Возможно, необходимые функции исполняет другой драйвер. (Код 32)"
обновление драйвера через инет пишет что более подходящий драйвер чем тот что установлен не найден.
-
Junior Member
- Вес репутации
- 52
еще один отчет забыл прикрепить
-
Junior Member
- Вес репутации
- 52
также касперский находит вот єти два вируса, но не может их удалить.
15.01.2010 15:21:49 Обнаружено: Trojan.BAT.Reboot.v D:\System Volume Information\_restore{B617D548-B296-408D-AC32-20C0B32C9A11}\RP158\A0039215.exe/6/UPX/ha12setup.bat
15.01.2010 15:21:50 Обнаружено: Trojan-Ransom.Win32.Krotten.lb D:\System Volume Information\_restore{B617D548-B296-408D-AC32-20C0B32C9A11}\RP158\A0047251.exe
-
Junior Member
- Вес репутации
- 52
Папка Винды видна, флешки подключились после предварительного их удаления в устройствах.
Остался (из замеченных мной) глюк с картинкой на рабочем столе. картинка по прежнему сильно сдвинута влево вниз (виден только верхний правый ее угол (прим 20%), если кто знает как это подправить буду признателен. скорее всего это гдето в настройках регулируется..
К сообщению прикрепляю отчет Комбофикса, единственное что из него понял c:\windows\system32\winlogon.exe . . . is infected!!
но пока не понял как это влияет на работу компа.
-
Выполните оичстку всех точек восстановления системы на D и С.
MBAM и прочие остатки антивирусных продуктов деисталлируйте (в логе виден Symantec и Kaspersky)
Отключите все защитное ПО.
Выполните скрипт в AVZ:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\win.ini','');
QuarantineFile('c:\windows\system32\winlogon.bak','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\windows\system32\sfcfiles.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 52
закачал. правда при выполнении первого скрипта в АВЗ быстро пронеслись красные строчки со словом "Ошибка", вот только так быстро что не успел прочесть...(
-
Скопируйте файлы (те которые найдете)
c:\windows\system32\win.ini
c:\windows\system32\winlogon.bak
c:\windows\system32\winlogon.exe
с помощью IceSword и пришлите по правилам.
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
миднайт
с помощью IceSword и пришлите по правилам.
По правилам это через "Прислать запрошенный карантин"?
В ссылке из Вашего письма расписано как удалять файл с помощью IceSword. К тому же файл winlogon.exe у меня свободно копируется в любую дерикторию.
Вот ссылка на проверку этого файла через VT
http://www.virustotal.com/ru/analisi...0a2-1261589826
-
Если файлы свободно копируются, то добавьте их в карантин и пришлите по правилам. [По ссылке по IceSword вместо удаления просто выберите копировать ]
-
-
Junior Member
- Вес репутации
- 52
Кроме c:\windows\system32\winlogon.exe других файлов нет.
Пытаюсь добавить через АВЗ файл в карантин. Вроде как ошибок не выдает, но карантин за сегодня пуст. вручную скопировал файл в папку карантин, когда пытаюсь заархивировать карантин с помощью все той же АВЗ файла в папке не видно, хотя через виндовский проводник он там наблюдается.
Через айссворд пытаюсь скопировать открывается окно для копирования но в строчке "имя файла пусто, и соответственно ничего никуда не копируется.
могу заархивировать вручную файл и отправляю по правилам.
-
Файл чистый.
Посмотрим еще на лог Gmer
-
-
Junior Member
- Вес репутации
- 52
не могу проверить этой прогой. виснет комп. уже даже на ночь оставлял, пришлось утром перегружаться резетом.
Из негативных последствий осталась только сдвинутая картинка рабочего стола. может это в настройках можно гдето подправить, а не искать новые вирусы?
Вчера установил контрстрайк и в игре изменял разрешение экрана, так вот после выхода с контры картинка как и нужно по центру рабочего стола установилась, но стоит поменять картинку или перегрузить комп, опять виден только правый верхний угол. при этом все ярлыки по столу размещены верно.
-
Попробуйте обновить драйвера на видеокарту.
Лог gmer нужно делать выгрузив все защитное ПО.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-