куча вирусов

Printable View

28.10.2008, 11:59
shmelsmel

Вложений: 3

куча вирусов

Здравствуйте , проблемка в том что цепанул вирусов , если хоть раз открыл какую либо программу она больше не открывается . все ярлыки на рабочем столе не работают . мозила не запускается ,опера тоже , експлорер с папки програм файлс запускается .Cureit находит удаляет ,но толку никакого появляются опять ,сначала trojan.proxy.1739,trojan.fakealert, теперь вроде тех нет но появились эти trojan.muldrop.17829,trojan.blackmailer.origin,а еще trojan.beckdoor был конечно ,как без него . С авз вроде разобрался а вот хайджек ваш... немогу создать лог , он создает токо вот блоктон .может из-за того что скачать могу токо инсталятор и он сразу же запускается .[B]4. Распакуйте [/B]из архива HiJackThis и поместите в новую отдельную папку. это правило выполнить неудается архива никакого нет,только инсталятор. Вот еще, полчаса думаю как отправить то что только что написал, вижу токо кнопку "предварительный просмотр". Извините наверное не то загрузил
28.10.2008, 12:33
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteService('WpdUsb');
DeleteService('Winnu42');
DeleteService('Winls64');
DeleteService('nrnrrvzn');
QuarantineFile('C:\WINDOWS\system32\drivers\nrnrrvzn.sys','');
DeleteService('winmgmtseclogonW32Time');
DeleteService('winmgmtseclogon');
DeleteService('TermServicedmadmin');
DeleteService('srserviceSchedule');
DeleteService('ShellHWDetectionLanmanServer');
DeleteService('MSDTCRemoteRegistry');
DeleteService('EventlogSamSs');
DeleteService('Ati LM Service');
DeleteService('AppMgmtCOMSysApp');
DeleteService('ALGRpcLocator');
QuarantineFile('srv.exe','');
TerminateProcessByName('c:\windows\system32\brastk.exe');
QuarantineFile('c:\windows\system32\brastk.exe','');
DeleteFile('c:\windows\system32\brastk.exe');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\nrnrrvzn.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu42.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\wpdusb.sys');
DeleteFile('atiataxx.dll');
DeleteFile('karna.dat');
DeleteFile('C:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин соглано приложения 3 правил
повторите логи
28.10.2008, 12:50
shmelsmel

логи

карнтин вроде прислал , скажите есть ли он . нащет логов я так понял надо сдлеать все по новому как вначале ? только проблема эьто занимает очень много времени из-за temporery internet files, удалить я их немогу так как в указаной папке их нет . но если на папке нажать свойства то начинает щитать ее обьем и выдает около 100 000 файлов .
28.10.2008, 13:35
Гриша

Удалите мусор с ПК [url]http://virusinfo.info/showthread.php?t=10025[/url] , повторите логи..
28.10.2008, 14:04
shmelsmel

Вложений: 3

Вот вам новые логи ,еще забыл сказать что при нажати на рабочий стол запускается инсталяха ATI Catalyst Control, при попытке открыть офис тоже запускается инсталяха офиса итд, раньше при попытке открыть некоторые приложения например фотошоп или аську прямиком запускалась antispywareXP или что-то типа того пишу по памяьи так как она исчезла , только винда по прежнему пишет your computer is infected, и хочет чтоб я что-то запутил, о ее и хочет запустить
28.10.2008, 14:10
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [brastk] brastk.exe
O20 - Winlogon Notify: atiataxx - C:\WINDOWS\[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\brastk.exe');
DeleteFile('c:\windows\brastk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...
28.10.2008, 14:17
shmelsmel

Гриша , 1. Скачать программу HijackThis. и сохранить её на диске в специальной, но ни в коем случае не темп-папке. В противном случае Вы не сможете отменить ошибочно сделанные изменения .*), что значит специальная папка ? или не заморачиватся востанавливать ничео не придется?
28.10.2008, 14:22
Гриша

На рабочий стол положите ее...
28.10.2008, 14:30
shmelsmel

Спасибо так и сделал , профиксил вроде , осталось скрипт пустить но это не проблема ,проблема все так же по адресу C:\Documents and Settings\User\Local Settings\Temporary Internet Files, папка Temporary Internet Files занимает 2,13 Гб, а в ней ничего нет , ваши советы смотрел делал непомогло. Просто жалко времени оно логи делает час , и 50 минут из них тратит на Temporary Internet Files

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

сделал , то что комп так резко перегружается после выполнения скрипта ,это так надо?
28.10.2008, 14:31
Гриша

Да...
28.10.2008, 14:43
shmelsmel

во опять , все антивирусы находят в папке Temporary Internet Files папку content IE5, а в ней еще 20 папок . а я немогу их найти и удалить их никак не получается , а я помню что когда-то так делал. ато если удалять через експлорер очистить временные файлы то оно просто зависает навсегда .а оно поубывало те все прграмы которых вроде нет или они потом будут работать ?
28.10.2008, 14:48
V_Bond

раздел форума "чаво" - удаление мусора с компьютера .... вам же написали
28.10.2008, 15:50
shmelsmel

Вложений: 3

Вот логи еще
28.10.2008, 16:15
V_Bond

выполните скрипт
[code]
begin
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('Ati2evxx.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip повторите
28.10.2008, 16:44
shmelsmel

Вложений: 1

сделал
28.10.2008, 16:46
Гриша

Чисто, жалобы есть?
28.10.2008, 17:27
shmelsmel

ну красный кружок пропал в трее . Жалобы нет . скорее вопросы: правой мышкой на рабочем столе -запуск установки ATI Catalist control Centre. после чего сразу -Версия компонента instalScript на этом компе более ранняя ,чем трбуется для установки,Установите последнюю версию пакета ISScript.msi или обратитесь в службу поддержки .
2 значки офиса есть но при нажатии включается инсталер и ненаходит файл PRO.msi,
3 Mozzilla- Couldn"t read aplication.ini

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Ну так и скажите что мы этим не занимаемся . вроде в папке виндовс cureit ничего не нашол . "V_Bond" и "Гриша"-Большое вам спасибо !!!!!!

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

Всетаки нет чувства завершонности .
У [B]HijackThis[/B] есть возможность отмены сделанных с помощью него изменений в системе. Запустите [B]HijackThis[/B], нажмите кнопку [B]View the list of backups[/B]. Отметьте то, что хотите вернуть и нажмите кнопку [B]Restore[/B].
Єто надо делать после успешного лечения или необязательно ?
28.10.2008, 17:46
V_Bond

этого не делать ... может вы и зловредов назад вернуть хотите ?