Здравствуйте,
Примерно неделю назад Avast начал выкидывать угрозу при запуске Skype. Время от времени находит вирус в exe файлах которые были установлены много лет назад. Все логи прилагаются.
Printable View
Здравствуйте,
Примерно неделю назад Avast начал выкидывать угрозу при запуске Skype. Время от времени находит вирус в exe файлах которые были установлены много лет назад. Все логи прилагаются.
Уважаемый(ая) [B]Валентина Костишена[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;
procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;
procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;
procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;
procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;
procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
RestoreStrParam(Root, Param, Value);
end;
procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;
procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;
// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;
{ Выполнение исправление всех ключей в ветках -
'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS' then
FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;
CheckAndRestoreSection(RootStr);
CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
for i:= 0 to 999 do
begin
if i > 0 then
CCSNumber := FormatFloat('ControlSet000', i)
else
CCSNumber := 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;
CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);
if Srv = 'BITS' then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;
SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;
CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);
SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;
SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;
{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft\WaterMark.exe','');
DeleteFile('C:\Program Files\Microsoft\WaterMark.exe');
QuarantineFile('c:\program files\microsoft\watermark.exe','');
DeleteFile('c:\program files\microsoft\watermark.exe','32');
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
begin
DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ := 'Автоматическое обновление';
DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg := '–––– Восстановление завершено ––––';
RestoreMsg := 'Восстановлено разделов\параметров: ';
FixMsg := 'Исправлено параметров: ';
CheckMsg := 'Проверено разделов\параметров: ';
RegSectMsg := 'Раздел реестра HKLM\';
ParamMsg := 'Параметр ';
ParamValueMsg := 'Значение параметра ';
InRegSectMsg := ' в разделе реестра HKLM\';
CorrectMsg := ' исправлено на оригинальное.';
RestMsg := 'восстановлен.';
end
else if LangID = '0409' then
begin
DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS := 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg := '–––– Restoration finished ––––';
RestoreMsg := 'Sections\parameters restored: ';
FixMsg := 'Parameters corrected: ';
CheckMsg := 'Sections\parameters checked: ';
RegSectMsg := 'Registry section HKLM\';
ParamMsg := 'Parameter ';
ParamValueMsg := 'Value of parameter ';
InRegSectMsg := ' in registry section HKLM\';
CorrectMsg := ' corrected on original.';
RestMsg := ' restored.';
end;
AddToLog('');
{ Определение папки X:\Windows\System32\ }
NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;
CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');
AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
Скрипт выполнила. Логи в приложении.
Ссылка на результаты проверку тут - [url]http://virusinfo.info/virusdetector/report.php?md5=BA0E83FB6DD4255A843D4D054FB2A1EE[/url]
пролечитесь как указано в этой теме: [url=http://virusinfo.info/showthread.php?t=15927]Как лечить файловый вирус?[/url], потом сделайте новые логи.
Лечила через Dr.Web LiveUSB. Аваст все еще ругается на Win32:Rmn.Drp
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('c:\program files\microsoft\watermark.exe','');
QuarantineFile('C:\WINDOWS.0\System32\drivers\tgyvv.sys','');
DeleteFile('c:\program files\microsoft\watermark.exe','32');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
При загрузке карантина выдает ошибку - Ошибка загрузки. Данный файл уже был загружен
Сканы сделаны. Логи в приложении.
1) файлы
[CODE]c:\program files\autogk\autogk.exe
c:\program files\nokia\nokia pc suite 7\phonebrowser.dll
c:\program files\k-lite codec pack\ffdshow\ff_libfaad2.dll
c:\program files\k-lite codec pack\filters\vsfilter.dll
c:\program files\microsoft office\office11\bidi32.dll
c:\program files\microsoft office\office11\multiq.dll
c:\program files\microsoft office\office11\1049\poce98.dll
c:\program files\microsoft office\office11\1049\pocelang.dll
c:\program files\microsoft office\office11\addins\msvcr71.dll
c:\program files\microsoft office\office11\addins\otkloadr.dll
c:\program files\unlocker\unlocker.exe
c:\program files\unlocker\unlockercom.dll
c:\program files\winiso\winiso.exe
c:\program files\imgburn\imgburn.exe
c:\program files\common files\ti shared\ticonnect\tishlext.dll
c:\program files\common files\microsoft shared\proof\mslid.dll
c:\program files\common files\microsoft shared\proof\msspell3.dll
C:\WINDOWS.0\system32\Windows\svchost.exe[/CODE]
Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
2) [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] только
[CODE]Registry Keys: 38
Trojan.BHO, HKU\S-1-5-21-1644491937-706699826-839522115-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}, , [cb3529d7bf41c23e66d9112120e2fe02],
Trojan.WebMoner, HKLM\SOFTWARE\CLASSES\Bonus.eProtocol, , [d62ae41c60a04db3ec4d79a712f0758b],
Trojan.WebMoner, HKLM\SOFTWARE\CLASSES\NPS.eProtocol, , [05fbab55c43ccb3585b41f017a885fa1],
Trojan.WebMoner, HKLM\SOFTWARE\CLASSES\SECRETmoney.eProtocol, , [05fbab55c43ccb3585b41f017a885fa1],
Trojan.WebMoner, HKLM\SOFTWARE\CLASSES\sercet_of_money.eProtocol, , [05fbab55c43ccb3585b41f017a885fa1],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}, , [14ece020ca36e31d12d1a7c8f60af20e],
Virus.Ramnit, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\MYCOMPUTER\NAMESPACE\{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}, , [14ece020ca36e31d12d1a7c8f60af20e],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{0180E49C-13BF-46DB-9AFD-9F52292E1C22}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{525F116F-04AD-40A2-AE2F-A0C4E1AFEF98}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{60765CF5-01C2-4EE7-A44B-C791CF25FEA0}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{93A22E7A-5091-45EF-BA61-6DA26156A5D0}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{9852A670-F845-491B-9BE6-EBD841B8A613}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{A8B25C0E-0894-4531-B668-AB1599FAF7F6}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{ACE4747B-35BD-4E97-9DD7-1D4245B0695C}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{C2D6D98F-09CA-4524-AF64-1049B5665C9C}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{CE77C59C-CFD2-429F-868C-8B04D23F94CA}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{F544E0F5-CA3C-47EA-A64D-35FCF1602396}, , [09f7dc24db253fc1489b7ef1d12ffb05],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{55190940-CDE3-4215-A378-1B6CB340E513}, , [9e6225db24dc956b2bb9a8c7ca36e818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{05741520-C4EB-440A-AC3F-9643BBC9F847}, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\TYPELIB\{C04E4E5E-89E6-43C0-92BD-D3F2C7FBA5C4}, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\INTERFACE\{000C0601-0000-0000-C000-000000000046}, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\otkloadr.WRLoader.1, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\otkloadr.WRLoader, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{A08A033D-1A75-4AB6-A166-EAD02F547959}, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\otkloadr.WRAssembly.1, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\otkloadr.WRAssembly, , [c43c13ed50b0ed13ce16452ae719b44c],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}, , [8d73718f18e8d927faea264932cee21e],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{137EB833-7E47-40D3-A7A6-33F2C9372AC7}, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\TYPELIB\{3FCEF003-09A4-11D4-8D3B-D12F9D3D8B02}, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\INTERFACE\{3FCEF00F-09A4-11D4-8D3B-D12F9D3D8B02}, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\INTERFACE\{4DF4CF13-41F7-43F7-A13D-E5D6A8911CA6}, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\INTERFACE\{E4C92A47-3675-4231-8B68-2A9A48C1CAF4}, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\TIShelEx.TIFileDlg.1, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\TIShelEx.TIFileDlg, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\CLSID\{3FCEF010-09A4-11D4-8D3B-D12F9D3D8B02}, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\FileTime.FileTimeShlExt.1, , [916ff40c57a9a759dd06333c04fce818],
Virus.Ramnit, HKLM\SOFTWARE\CLASSES\FileTime.FileTimeShlExt, , [916ff40c57a9a759dd06333c04fce818],
PUP.Optional.DefaultTab.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\DefaultTabSearch, , [619fec1416eac13fbce0166d8e751ae6],
PUP.Optional.Somoto.A, C:\Documents and Settings\??????N??µ\Local Settings\TempDIR\BetterInstaller.exe, , [2cd4c53b97698b7566ff3bdbce330af6],
Trojan.Downloader, C:\Documents and Settings\??????N??µ\Application Data\Sun\Java\Deployment\cache\6.0\8\43ee0b48-5b5c2c5f, , [8f71c63a50b0847c4d504218ae5222de],
PUP.Optional.PCPerformer.A, C:\WINDOWS.0\system32\roboot.exe, , [639d966a18e8b54b4a809c84758be21e],
PUP.BitcoinMiner, D:\miner-skype\cudaminer-2013-11-20\x64\cudaminer.exe, , [8779936d619f2cd47f8c36334fb239c7],
PUP.Optional.DefaultTab.A, C:\Documents and Settings\??????N??µ\Application Data\Mozilla\Firefox\Profiles\v4ru78p7.default\searchplugins\SEARCH-HERE.XML, , [728e3ec2ea169d63f6e5ca99659dc739],
[/CODE]
3) это не понятно, что за файл
[CODE]Trojan.Ransom, C:\Documents and Settings\??????N??µ\?????? ??????N????µ??N?N?\Downloads\foto 17.11.2012 profile.zip, , [c04049b737c9d32d2206b9f0669a13ed],
Adware.InstallBrain, C:\Documents and Settings\All Users.WINDOWS.0\Application Data\IBUPDATERSERVICE\REPOSITORY.XML[/CODE]
если не очень нужен, то лучше тоже удалите.
4) [B]Обновите базы[/B] вашего avast и сделайте [B]полное сканирование системы[/B], у вас остались зараженные файлы. Возможно снова придётся лечить с Live CD.
5) Сделайте новый лог MBAM.
В карантин добавились только 2 файла, для других ошибка - Карантин с использованием прямого чтения - ошибка
Провела полный скан Авастом и LiveUSB. Логи в приложении.
Лог требовался другой. Внимательно читайте инструкцию по MBAM.
+ Проведите [URL="http://virusinfo.info/content.php?r=290-virus-detector"][B]эту[/B][/URL] процедуру. Полученную ссылку после загрузки карантина [B]virusinfo_auto_имя_вашего_ПК.zip[/B] через [url=http://virusinfo.info/virusdetector/uploadform.php][B]данную форму[/B][/url] сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\autogk\autogk.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Graftor.3813, AVAST4: Win32:Malware-gen )[*] c:\program files\microsoft\watermark.exe - [B]Worm.Win32.AutoRun.cefp[/B] ( DrWEB: Trojan.Inject.14349, BitDefender: Trojan.Generic.5110778, NOD32: Win32/Ramnit.A virus, AVAST4: Win32:MalOb-IJ [Cryp] )[*] c:\windows.0\system32\windows\svchost.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Graftor.3813, AVAST4: Win32:Malware-gen )[/LIST][/LIST]