После удаления или лечения его касперским, он появляется опять.
Printable View
После удаления или лечения его касперским, он появляется опять.
Уважаемый(ая) [B]Smolik[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Smolik\appdata\roaming\closer.exe','');
QuarantineFile('C:\Windows\system32\oledsp32.dll','');
DeleteFile('C:\Users\Smolik\appdata\roaming\closer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Команду выполнил, карантин отправил, новые логи прикрепил.
У Вас файловый вирус
Пролечитесь так [url]http://support.kaspersky.ru/viruses/rescuedisk[/url]
После этого сделайте новые логи AVZ
Вроде все вылечил дистрибутивом. И файл oledsp32.dll вроде бы исчез. Выкладываю новые логи AVZ.
Проведите [URL="http://virusinfo.info/content.php?r=290-virus-detector"][B]эту[/B][/URL] процедуру. Полученную ссылку после загрузки карантина [B]virusinfo_auto_имя_вашего_ПК.zip[/B] через [url=http://virusinfo.info/virusdetector/uploadform.php][B]данную форму[/B][/url] сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
Сделайте новые лог MBAM.
+ [LIST=1][*]Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.[*][LIST][*]Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".[*]Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)[/LIST]
[*]Введите sfc /scannow и нажмите Энтер.[*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.[*]После того как закончится проверка в командной строке введите команду:
[CODE]findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt[/CODE][*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.[/LIST]
Выкладываю. regist, сделал все как Вы сказали, но не обнаружил искомого файла в корне диска. Единственное что могу сказать, что после проверки в консоли было написано что-то наподобие "Windows не обнажил поврежденных системных файлов.".
В MBAM удалите или удалите вручную папку C:\Users\Smolik\AppData\Roaming\smwdgt
[CODE]
Обнаруженные папки: 1
C:\Users\Smolik\AppData\Roaming\smwdgt (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Users\Smolik\AppData\Roaming\smwdgt\manifest.json (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Smolik\AppData\Roaming\smwdgt\dzdwMaPaeE.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Smolik\AppData\Roaming\smwdgt\icon128.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Smolik\AppData\Roaming\smwdgt\icon16.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Smolik\AppData\Roaming\smwdgt\icon48.png (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Smolik\AppData\Roaming\smwdgt\MKnODOejgeMVcVf.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Smolik\AppData\Roaming\smwdgt\urrZjgtQwR.js (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
C:\Users\Smolik\AppData\Roaming\smwdgt\WGwpuHUQFqnUX.html (PUP.Optional.BetterSmile.A) -> Действие не было предпринято.
[/CODE]
Удалил вручную.
Что с проблемой?
Файл oledsp32.dll удален, проблем вроде больше нет. Если в логах все чисто, спасибо за помощь :)
[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
Выкладываю.
[B]Обновляйте:[/B]
Service Pack не установлен [color=red][b]Внимание! [url=http://www.microsoft.com/ru-ru/download/details.aspx?id=5842]Скачать обновления[/url][/b][/color]
[color=blue][b]^Возможно потребуется повторная активация Windows^[/b][/color]
Internet Explorer 8.0.7600.16385 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-10/worldwide-languages]Скачать обновления[/url][/b][/color]
[color=red][b]Контроль учётных записей пользователя отключен (-1)[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Adobe Flash Player 11 ActiveX v.11.7.700.169 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_12_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Reader X (10.1.9) - Russian v.10.1.9 [color=red][b]Внимание! [url=http://get.adobe.com/reader/]Скачать обновления[/url][/b][/color]
Mozilla Firefox 26.0 (x86 ru) v.26.0 [color=red][b]Внимание! [url=http://www.mozilla.org/ru/firefox/fx]Скачать обновления[/url][/b][/color]
Opera 11.61 v.11.61.1250 [color=red][b]Внимание! [url=http://ftp.opera.com/pub/opera/win/1216/int/Opera_1216_int_Setup.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^[/b][/color]
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\smolik\appdata\roaming\closer.exe - [B]Virus.Win32.Sality.t[/B] ( DrWEB: Trojan.Siggen5.54370, BitDefender: Win32.Sality.QJ, AVAST4: Win32:SaliDrop [Drp] )[*] c:\windows\system32\oledsp32.dll - [B]Virus.Win32.Sality.t[/B] ( DrWEB: Win32.HLLP.Sector, BitDefender: Trojan.Agent.10815, NOD32: Win32/Sality.T virus, AVAST4: Win32:Sality-AS [Wrm] )[/LIST][/LIST]