При запуске windows открывается папка "Мои документы"

Printable View

11.10.2010, 18:50
grishka13

При запуске windows открывается папка "Мои документы"

+ помогите почистить комп, антивирус куреит нашёл 8 троянов при полной проверке.
11.10.2010, 19:07
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
TerminateProcessByName('c:\windows\system32\umdmgr.exe');
TerminateProcessByName('c:\windows\widrive32.exe');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\kppghnn.exe','');
QuarantineFile('C:\WINDOWS\hpjwhwr.exe','');
QuarantineFile('C:\WINDOWS\widrive32.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\jjigrcc.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\57.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\jjigrcc.exe');
DeleteFile('C:\WINDOWS\widrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','318');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','945');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','143');
DeleteFile('C:\WINDOWS\hpjwhwr.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\kppghnn.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи
11.10.2010, 21:55
grishka13

Папка всё ещё открывается....
Карантин отправил.
Вот новые логи =)
11.10.2010, 22:04
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\Documents and Settings\Admin\Application Data\gbhlipu.exe');
DeleteFile('C:\WINDOWS\kyjtoeo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
DeleteFile('C:\RECYCLER\S-1-5-21-7300471196-8802417060-751989780-0107\mcssc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Повторите логи АВЗ + сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]
12.10.2010, 00:41
grishka13

Спасибо, "Мои документы" не открываются.
Лог почему-то сохранился не в ту директорию =) вот отчёт в формате .txt

В принципе из заражённых файлов я бы удалил все 7, мне из них ни один не нужен =)
Хотя установка неро и ультраИСО может ещё пригодится, но если их желательно удалить, без проблем =) скачать всегда можно ^_^
12.10.2010, 02:19
Никита Соловьев

[QUOTE]C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\RGO61XCQ\war[1].gif (Extension.Mismatch) -> No action taken.
C:\WINDOWS\innounp.exe (Malware.Packer.Gen) -> No action taken.[/QUOTE]Это можно удалить. Больше ничего плохого.
12.10.2010, 03:01
grishka13

Спасибо за помощь =)
12.10.2010, 07:54
olejah

Рекомендуется

- Установить все [url=http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru]важные обновления[/url].
- Установить [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/url] - даже если Вы им не пользуетесь.

Просто ради интереса - "Мои документы" открываются, это ещё ладно, а Вы в курсе, что у Вас целая кипа вирусов была? Это к тому, что будьте осторожны в будущем.
12.10.2010, 13:33
grishka13

да, в курсе. Последнее время комп ловит вирусы только так. Я видел как много вирусов Вы удалили и добавили в карантин. Вот ещё "советы после лечения" сделал все :) надеюсь дополнения в мозиле помогут :) да и периодически уже задумываюсь, может вообще перейти на линукс :)
Ещё раз Вам большое спасибо :)
13.10.2010, 13:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\application data\\jjigrcc.exe - [B]P2P-Worm.Win32.Palevo.axbq[/B] ( DrWEB: Trojan.DownLoader1.28582, BitDefender: Trojan.Generic.KDV.50006, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Trojan-gen )[*] c:\\documents and settings\\networkservice\\application data\\kppghnn.exe - [B]P2P-Worm.Win32.Palevo.axbq[/B] ( DrWEB: Trojan.DownLoader1.28582, BitDefender: Trojan.Generic.KDV.50006, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\hpjwhwr.exe - [B]P2P-Worm.Win32.Palevo.axbq[/B] ( DrWEB: Trojan.DownLoader1.28582, BitDefender: Trojan.Generic.KDV.50006, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\umdmgr.exe - [B]Trojan.Win32.Scar.cywj[/B] ( DrWEB: Trojan.DownLoader1.28625, BitDefender: Trojan.Generic.5044547, AVAST4: Win32:Agent-AMGN [Trj] )[*] c:\\windows\\system32\\00.exe - [B]P2P-Worm.Win32.Palevo.axbq[/B] ( DrWEB: Trojan.DownLoader1.28582, BitDefender: Trojan.Generic.KDV.50006, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\57.exe - [B]P2P-Worm.Win32.Palevo.axbq[/B] ( DrWEB: Trojan.DownLoader1.28582, BitDefender: Trojan.Generic.KDV.50006, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\widrive32.exe - [B]Trojan.Win32.Jorik.SdBot.kb[/B] ( DrWEB: Trojan.Packed.21077, BitDefender: Trojan.Swizzor.16743, AVAST4: Win32:Rebhip-AC [Trj] )[/LIST][/LIST]