Второй ноутбук был полечен утилитой Dr.Web CureIt!
Есть подозрение, что что-то осталось, regedit блокируется.
Прошу посмотреть логи.
Второй ноутбук был полечен утилитой Dr.Web CureIt!
Есть подозрение, что что-то осталось, regedit блокируется.
Прошу посмотреть логи.
Уважаемый(ая) [B]Vlad_Bor[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Program Files (x86)\PennyBee\PennyBee.exe','');
QuarantineFile('C:\Users\Егорка\videos\videos.pif','');
QuarantineFile('C:\Users\Егорка\music\music.scr','');
QuarantineFile('C:\Users\Егорка\favorites\favorites.bat','');
QuarantineFile('C:\Users\Егорка\documents\documents.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('D:\ycszpuhsxg.bat','');
QuarantineFile('C:\Users\4A9D~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Windows\yiernyritiehldoy.exe','');
QuarantineFile('C:\Users\Егорка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif','');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif','32');
DeleteFile('C:\Users\4A9D~1\AppData\Local\Temp\bqrjkayukefnwtjyzrsig.exe','32');
DeleteFile('C:\Users\4A9D~1\AppData\Local\Temp\cis8714.exe','32');
DeleteFile('C:\Users\4A9D~1\AppData\Local\Temp\zmlbaokeskjpwrfsrhg.exe','32');
DeleteFile('C:\Users\Егорка\AppData\Local\Temp\lclsac.exe','32');
DeleteFile('C:\Users\Егорка\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.pif','32');
DeleteFile('C:\Windows\yiernyritiehldoy.exe','32');
DeleteFile('C:\Users\4A9D~1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\PennyBee.job','64');
DeleteFile('D:\ycszpuhsxg.bat','32');
DeleteFile('D:\autorun.inf','32');
DeleteFile('C:\autorun.inf','32');
DeleteFile('C:\Users\Егорка\documents\documents.exe','32');
DeleteFile('C:\Users\Егорка\favorites\favorites.bat','32');
DeleteFile('C:\Users\Егорка\music\music.scr','32');
DeleteFile('C:\Users\Егорка\videos\videos.pif','32');
DeleteFile('C:\Program Files (x86)\PennyBee\PennyBee.exe','32');
DeleteFileMask('C:\Program Files (x86)\PennyBee','*',true);
DeleteFileMask('C:\Users\4A9D~1\AppData\Roaming\PennyBee','*',true);
DeleteDirectory('C:\Program Files (x86)\PennyBee');
DeleteDirectory('C:\Users\4A9D~1\AppData\Roaming\PennyBee');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Карантин выслал, результаты скрипта прилагаю.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Полный образ автозапуска uVS.
Опа. При попытке загрузить файл выскакивает сообщение: превысил предел на форуме. И не могу нигде найти, что делать в этом случае?
[url=http://virusinfo.info/showthread.php?t=130567]Удалите старые вложения[/url] или загрузите на rghost.ru и дайте ссылку в теме.
Спасибо! Какой-то я невнимательный. Ведь заходил же в "Мой кабинет", но не заметил опции "Вложения". Даже сейчас с трудом нашёл.
Итак, Полный образ автозапуска uVS.
Вообще-то "старые" - имелось ввиду из предыдущих тем, начиная с самых старых, а вы и из этой вычистили...
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.84.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
offsgnsave
; C:\WINDOWS\MAARRGDYNGGNVRGUULLA.EXE
addsgn 988C1FEA242A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7277E5516073B09895FB55049713BDB4BBEA69CB0A77B7F2D3A17F56473 8 Worm.Win32.AutoRun.iea [Kaspersky]
; C:\USERS\ЕГОРКА\APPDATA\LOCAL\TEMP\ZANREGQ.EXE
addsgn 988C1F62E2284C9AE623514EDB5C120525013B1ECC08E0870CA62D37A45F4F1ADC0243F77C5516073B0989E77C5049713BDB4BF66F9CB0A77B7F2D3A4F3C6473 8 Trojan.Win32.AntiAV.pqv [Kaspersky]
; C:\USERS\ЕГОРКА\APPDATA\LOCAL\TEMP\VTSFNLKXFDC.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
; C:\WINDOWS\ZMLBAOKESKJPWRFSRHG.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCAL\TEMP\ZMLBAOKESKJPWRFSRHG.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCAL\TEMP\BQRJKAYUKEFNWTJYZRSIG.EXE
; C:\WINDOWS\BQRJKAYUKEFNWTJYZRSIG.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\STARTUP.PIF
; C:\YCSZPUHSXG.BAT
; C:\QWOXPWLYFQIH.BAT
; C:\QYSDXGXMVICDFV.BAT
; D:\YCSZPUHSXG.BAT
; D:\QWOXPWLYFQIH.BAT
; D:\QYSDXGXMVICDFV.BAT
; G:\YCSZPUHSXG.BAT
; G:\QWOXPWLYFQIH.BAT
; G:\QYSDXGXMVICDFV.BAT
; C:\WINDOWS\OAYNLYTMZQOTZTGSQF.EXE
; C:\WINDOWS\FQNBYKEWIYVZEXJUR.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCAL\TEMP\FQNBYKEWIYVZEXJUR.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\SENDTO\SENDTO.SCR
; C:\USERS\ЕГОРКА\DESKTOP\ПРОГРАММКИ\ПРОГРАММКИ.EXE
; C:\WINDOWS\SYSWOW64\FQNBYKEWIYVZEXJUR.EXE
; C:\WINDOWS\SYSWOW64\YIERNYRITIEHLDOY.EXE
; C:\WINDOWS\SYSWOW64\OAYNLYTMZQOTZTGSQF.EXE
; C:\WINDOWS\SYSWOW64\ZMLBAOKESKJPWRFSRHG.EXE
; C:\WINDOWS\SYSWOW64\MAARRGDYNGGNVRGUULLA.EXE
; C:\WINDOWS\SYSWOW64\BQRJKAYUKEFNWTJYZRSIG.EXE
; C:\WINDOWS\SYSWOW64\SIKDFWVSJEGPZXOEGZBSRO.EXE
; C:\WINDOWS\YIERNYRITIEHLDOY.EXE
; C:\WINDOWS\SIKDFWVSJEGPZXOEGZBSRO.EXE
; C:\USERS\ЕГОРКА\SAVED GAMES\MICROSOFT GAMES\SOLITAIRE\SOLITAIRE.BAT
; C:\PROGRAMDATA\MEGAFON MODEM\ONLINEUPDATE\PLUGINS\IMAGEFORMATS\IMAGEFORMATS.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCAL\YANDEX\YANDEX.PIF
; C:\USERS\ЕГОРКА\APPDATA\LOCAL\WEBALTA TOOLBAR\TOOLBAR.PIF
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\MICROSOFT\IMJP8_1\IMJP8_1.BAT
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\MICROSOFT\IMJP12\IMJP12.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\MICROSOFT\CRYPTNETURLCACHE\METADATA\METADATA.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\MICROSOFT\CRYPTNETURLCACHE\CONTENT\CONTENT.PIF
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\ADOBE\LINGUISTICS\DICTIONARIES\ADOBE CUSTOM DICTIONARY\RUS\RUS.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\ADOBE\LINGUISTICS\DICTIONARIES\ADOBE CUSTOM DICTIONARY\ALL\ALL.SCR
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\ADOBE\LINGUISTICS\DICTIONARIES\ADOBE CUSTOM DICTIONARY\CUSTOM DICTIONARY.BAT
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\YANDEX\TOOLBAR\BRANDING\{D58FC769-6B84-4DEF-900D-9E2F4BAF9B52}\LOCALE\CS\ABOUT\ABOUT.BAT
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\YANDEX\TOOLBAR\BRANDING\{D58FC769-6B84-4DEF-900D-9E2F4BAF9B52}\LOCALE\RU\RU.EXE
; C:\USERS\ЕГОРКА\APPDATA\LOCALLOW\YANDEX\TOOLBAR\BRANDING\{D58FC769-6B84-4DEF-900D-9E2F4BAF9B52}\LOCALE\KK\LOGOBUTTON\LOGOBUTTON.SCR
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\SYSTEMCERTIFICATES\MY\CERTIFICATES\CERTIFICATES.BAT
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\SYSTEMCERTIFICATES\MY\CRLS\CRLS.PIF
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\SYSTEMCERTIFICATES\MY\CTLS\CTLS.EXE
; C:\USERS\ЕГОРКА\DESKTOP\GAMES\GAMES.SCR
; C:\USERS\ЕГОРКА\DESKTOP\DESKTOP.PIF
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\START MENU.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ГЛАВНОЕ МЕНЮ.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PROGRAMS.PIF
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРОГРАММЫ.PIF
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSORIES.PIF
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSIBILITY\ACCESSIBILITY.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\TOOLS.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACRONIS\ACRONIS.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACRONIS\ACRONIS TRUE IMAGE HOME 2011\TRUE IMAGE HOME 2011.BAT
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACRONIS\ACRONIS TRUE IMAGE HOME 2011\ИНСТРУМЕНТЫ И УТИЛИТЫ\И УТИЛИТЫ.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\TOOLS.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASHAMPOO\ASHAMPOO.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASHAMPOO\ASHAMPOO BURNING STUDIO 12\BURNING STUDIO 12.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\FASTREPORTS\FASTREPORTS.PIF
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\FASTREPORTS\FASTREPORT 4\FASTREPORT 4.BAT
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\FORMATFACTORY\FORMATFACTORY.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GAMES\GAMES.SCR
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MAINTENANCE\MAINTENANCE.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE\MOBOGENIE.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PIRATES\PIRATES.BAT
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TOTAL COMMANDER\COMMANDER.PIF
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TOTAL COMMANDER\ПОЛЕЗНЫЕ УТИЛИТЫ\УТИЛИТЫ.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VIRTUAL DJ\VIRTUAL DJ.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WINRAR\WINRAR.SCR
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LAUNCH.SCR
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\TASKBAR.SCR
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\STARTMENU.EXE
; C:\USERS\ЕГОРКА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\IMPLICITAPPSHORTCUTS\IMPLICITAPPSHORTCUTS.EXE
; C:\USERS\ГОСТЬ\DESKTOP\DESKTOP.PIF
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\START MENU.EXE
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\ГЛАВНОЕ МЕНЮ.EXE
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PROGRAMS.PIF
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРОГРАММЫ.PIF
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSORIES.PIF
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSIBILITY\ACCESSIBILITY.EXE
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\TOOLS.EXE
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\TOOLS.EXE
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GAMES\GAMES.SCR
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MAINTENANCE\MAINTENANCE.EXE
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LAUNCH.SCR
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\TASKBAR.SCR
; C:\USERS\ГОСТЬ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\IMPLICITAPPSHORTCUTS\IMPLICITAPPSHORTCUTS.EXE
; C:\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LAUNCH.SCR
; C:\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\TASKBAR.SCR
; C:\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\IMPLICITAPPSHORTCUTS\IMPLICITAPPSHORTCUTS.EXE
; C:\USERS\PUBLIC\DESKTOP\DESKTOP.PIF
; C:\USERS\PUBLIC\DESKTOP\РАБОЧИЙ СТОЛ.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\START MENU.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\ГЛАВНОЕ МЕНЮ.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PROGRAMS.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ПРОГРАММЫ.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\4MEDIA\4MEDIA.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\4MEDIA\VIDEO CONVERTER ULTIMATE\CONVERTER ULTIMATE.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ABBYY FINEREADER 10 HOME EDITION\FINEREADER 10 HOME EDITION.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSORIES.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\ACCESSIBILITY\ACCESSIBILITY.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\SYSTEM TOOLS\TOOLS.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\TABLET PC\TABLET PC.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACCESSORIES\WINDOWS POWERSHELL\POWERSHELL.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACRONIS\ACRONIS.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ACRONIS\ACRONIS TRUE IMAGE HOME 2011\TRUE IMAGE HOME 2011.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ADMINISTRATIVE TOOLS\TOOLS.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ADOBE LIVECYCLE ES2\LIVECYCLE ES2.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\AOMEI PARTITION ASSISTANT STANDARD EDITION 5.5\PARTITION ASSISTANT STANDARD EDITION 5.5.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASHAMPOO\ASHAMPOO.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASHAMPOO\ASHAMPOO BURNING STUDIO 12\BURNING STUDIO 12.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CANON CANOSCAN LIDE 90 MANUAL\CANOSCAN LIDE 90 MANUAL.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CANOSCAN LIDE 90\LIDE 90.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CONNECTIFY\CONNECTIFY.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CYRIL & METHODIUS\& METHODIUS.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CYRIL & METHODIUS\БОЛЬШАЯ ЭНЦИКЛОПЕДИЯ 2009 (DVD)\ЭНЦИКЛОПЕДИЯ 2009 (DVD).PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\DAEMON TOOLS LITE\TOOLS LITE.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\FINALWIRE\FINALWIRE.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\FINALWIRE\AIDA64 EXTREME\EXTREME.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GAMES\GAMES.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GAMESPY ARCADE\ARCADE.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\GOOGLE CHROME\CHROME.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\INTEL\INTEL.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\K-LITE CODEC PACK\CODEC PACK.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\K-LITE CODEC PACK\CODEC TWEAK TOOL\TWEAK TOOL.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\K-LITE CODEC PACK\CONFIGURATION\CONFIGURATION.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\K-LITE CODEC PACK\HELP\HELP.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\K-LITE CODEC PACK\TOOLS\TOOLS.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\K-LITE CODEC PACK\UNINSTALL\UNINSTALL.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LIZARDTECH\LIZARDTECH.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LIZARDTECH\DJVU BROWSER PLUGIN 4.5\BROWSER PLUGIN 4.5.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LIZARDTECH\DJVU BROWSER PLUGIN 4.5\EXAMPLES\EXAMPLES.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LIZARDTECH\DJVU BROWSER PLUGIN 4.5\EXAMPLES\ELECTRONIC\ELECTRONIC.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\LIZARDTECH\DJVU BROWSER PLUGIN 4.5\EXAMPLES\SCANNED\SCANNED.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MAINTENANCE\MAINTENANCE.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MATHCAD\MATHCAD.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MATHCAD\MATHCAD 14\MATHCAD 14.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MCAFEE SECURITY SCAN PLUS\SECURITY SCAN PLUS.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEGAFON MODEM\MODEM.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\METATRADER 4 TELETRADE\4 TELETRADE.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MICROSOFT GAMES FOR WINDOWS - LIVE\GAMES FOR WINDOWS - LIVE.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MICROSOFT OFFICE\OFFICE.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MICROSOFT OFFICE\СРЕДСТВА MICROSOFT OFFICE 2010\MICROSOFT OFFICE 2010.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NEED FOR SPEED MOST WANTED\FOR SPEED MOST WANTED.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NEOSMART TECHNOLOGIES\TECHNOLOGIES.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NEOSMART TECHNOLOGIES\EASYBCD\EASYBCD.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NERO 8\NERO 8.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NERO 8\NERO MANUALS\MANUALS.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\NERO 8\NERO TOOLKIT\TOOLKIT.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ORACLE VM VIRTUALBOX\VM VIRTUALBOX.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\PDF READER\READER.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\REMOTE MANIPULATOR SYSTEM - HOST\MANIPULATOR SYSTEM - HOST.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\REMOTE MANIPULATOR SYSTEM - VIEWER\MANIPULATOR SYSTEM - VIEWER.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ROCKSTAR GAMES\GAMES.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SAFEIP\SAFEIP.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SHAREPOINT\SHAREPOINT.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\SKYPE\SKYPE.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TABLET PC\TABLET PC.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TOTAL COMMANDER\COMMANDER.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\TOTAL COMMANDER\ПОЛЕЗНЫЕ УТИЛИТЫ\УТИЛИТЫ.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ULTRAISO\ULTRAISO.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\UVSCREENCAMERA\UVSCREENCAMERA.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VIRTUAL DJ\VIRTUAL DJ.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WINDOWS MEDIA\MEDIA.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WINDOWS MEDIA PLAYER FILTER\MEDIA PLAYER FILTER.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WINRAR\WINRAR.SCR
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АНТОЛОГИЯ EURO TRUCK\EURO TRUCK.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\АНТОЛОГИЯ EURO TRUCK\АНТОЛОГИЯ EURO TRUCK\EURO TRUCK.EXE
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ЯНДЕКС\ЯНДЕКС.BAT
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ЯНДЕКС\ЭЛЕМЕНТЫ ЯНДЕКСА\ЯНДЕКСА.PIF
; C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ЯНДЕКС\ЯНДЕКС.БАР\ЯНДЕКС.БАР.PIF
;------------------------autoscript---------------------------
chklst
delvir
regt 28
;-------------------------------------------------------------
del G:\AUTORUN.INF
del D:\AUTORUN.INF
del %SystemDrive%\AUTORUN.INF
delref %SystemDrive%\USERS\8CED~1\LOCALS~1\TEMP\CCJVZIAE.SCR
uidel C:\Program Files (x86)\Mobogenie\uninst.exe
uidel C:\Program Files (x86)\PennyBee\uninstall.exe
delref %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE\PENNYBEEW.EXE
delref G:\AUTORUN.EXE
delref I:\AUTORUN.EXE
delref E:\AUTORUN\AUTORUNX\AUTORUNX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MOBOGENIE.EXE
deltmp
restart[/code]Компьютер перезагрузится.
Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
[QUOTE=Vvvyg;1177808]Вообще-то "старые" - имелось ввиду из предыдущих тем, начиная с самых старых, а вы и из этой вычистили...
[/QUOTE]
Виноват, поторопился...:(
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Скрипт выполнил, правда, сам компьютер не перегрузился, вышло сообщение о закрытии программы. Перегрузил вручную, сделал полный образ автозапуска uVS.
Его можно взять вот здесь: http://rghost.ru/58675441
Хорошо, червя задавили, дочистим остальное.
Выполните скрипт в UVS:[CODE];uVS v3.84.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
delref %SystemDrive%\USERS\8CED~1\LOCALS~1\TEMP\CCJVZIAE.SCR
delref HTTP://WWW.TOP-PAGE.RU/3
delref %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE\PENNYBEEW.EXE
delref HTTP://ZAGUGLI.COM
delref HTTP://WEBALTA.RU/SEARCH?FROM=FF&Q=
regt 29
delref %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MOBOGENIE.EXE
restart[/CODE]
После перезагрузки сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
[QUOTE=Vvvyg;1178011]Хорошо, червя задавили, дочистим остальное.
Выполните скрипт в UVS:[CODE];uVS v3.84.2 [http://dsrt.dyndns.org]
[/QUOTE]
Радует Ваш оптимизм. :>
Скрипт сделал, отчёт AdwCleaner (by Xplode) прилагаю.
Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B], по окончании сканирования уберите галочки на вкладке [B]Папки[/B] со всех пунктов, где упоминаются Mail.Ru [B]если используете соответствующие программы[/B].
Затем нажмите [B]Очистить[/B] и по окончании удаления перезагрузите систему по требованию программы.
Что с проблемами?
[QUOTE=Vvvyg;1178294]Что с проблемами?[/QUOTE]
Вроде проблемы решены. На всякий случай прилагаю отчёт об удалении.
Единственно: не могу запустить regedit. Пишет, что редактирование реестра запрещено администратором, хотя я пытаюсь запуститься с правами админа. Нет ли тут какого подвоха?
Выполните скрипт в UVS:[CODE];uVS v3.84.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
regt 2[/CODE]
Перезагрузите систему и проверьте проблему.
Да, реестр разблокирован.
Огромное спасибо за Ваши труды!
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url] при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Спасибо, буду воевать с уязвимостями!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\pennybee\pennybee.exe - [B]not-a-virus:WebToolbar.MSIL.Agent.g[/B] ( BitDefender: Adware.Generic.1015628 )[*] c:\programdata\microsoft\windows\start menu\programs\startup\startup.pif - [B]Worm.Win32.AutoRun.iea[/B] ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )[*] c:\windows\yiernyritiehldoy.exe - [B]Worm.Win32.AutoRun.iea[/B] ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )[*] d:\ycszpuhsxg.bat - [B]Worm.Win32.AutoRun.iea[/B] ( DrWEB: Trojan.MulDrop5.14836, BitDefender: Trojan.Dropper.VIO, AVAST4: Win32:Chydo [Drp] )[/LIST][/LIST]