Есть 5 подозрительных файлов на Троян

[QUOTE=regist;1082491]
Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url][/QUOTE]

Нужно открыть в программе AVZ Файл/Выполнить скрипт и в открывшееся окно Запуска скрипта скопировать указанный код? По поводу уязвимостей программ, недавно я установила новую версию Adobe Flash Player, после чего при проигрывании видео на сайтах и на компьютере в центре экрана стало появляться такое окно:

Ответ не дошел?

странно вроде видел сообщение от вас в теме, что доктор веб у вас штатно установлен... а сейчас его нет :O

Уже после того сообщения написал

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

[QUOTE=regist;1082587]странно вроде видел сообщение от вас в теме, что доктор веб у вас штатно установлен... [/QUOTE]

Dr.Web с зарегестрированной лицензией на 3 года.

[QUOTE=regist;1082587]а сейчас его нет :O[/QUOTE]

Где сейчас его нет?


[QUOTE=regist;1082587]Выполните скрипт в AVZ при наличии доступа в интернет:[/QUOTE]

В предыдущем ответе я спросила, необходимо открыть в программе AVZ Файл/Выполнить скрипт и в открывшееся окно скопировать указанные Вами строки? и нажать Запустить?

И вопрос по Adobe Flash Player.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=regist;1082587]странно вроде видел сообщение от вас в теме, что доктор веб у вас штатно установлен... а сейчас его нет :O[/QUOTE]

Поняла, в этом сообщении:

[QUOTE=regist;1082491]файл для обновления Real Player, если обновляете его вручную то можете оставить как есть.[/QUOTE]

В папке C:/Program Files/Real/Real Player/Updute пусто, скрытых файлов и папок тоже нет. Я скачала с официального сайта [url]http://www.real.com[/url] Real Player 16 и заново установила.

[QUOTE=regist;1082491]Dr.Web у вас штатно установлен или CureIt ? Если штатно то его достачно, а AVZ это не антивирус.[/QUOTE]

Dr.Web штатный, лицензионный.

Я его удалила... Хотела сказать Вам спасибо, и Вы потом прислали еще сделать скрипт AVZ.

[quote="Саша87;1082597"]В предыдущем ответе я спросила, необходимо открыть в программе AVZ Файл/Выполнить скрипт и в открывшееся окно скопировать указанные Вами строки? и нажать Запустить?[/quote]
да.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="Саша87;1082567"]По поводу уязвимостей программ, недавно я установила новую версию Adobe Flash Player, после чего при проигрывании видео на сайтах и на компьютере в центре экрана[/quote]
нажмите разрешить.

[QUOTE=regist;1082749][/QUOT]


Скрипт AVZ выполнила, обнаружено 2 уязвимостей.

В логе пишет: [I]изменен параметр Compatibility Flags ключа HKLM\SOFTWARE\Microsoft\InternetExplorer\ActiveX Compatibility\{FDC7A535-4070-4B92-A0EA-D9994BCC0DC5}
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=1e2738b9-d3c2-4dfe-8a79-335d5feee55b[/url]
Запускайте обновление от имени Администратора.[/I]

Я прошла по ссылке и нужно загрузить обновление SecurityUpdate for Microsoft XML Core Services 4.0 Service Pack3(KB2758694) накомпьютер и запустить от имени администратора? У меня Windows 7.

Далее: [I]Установлен Adobe Reader версии 10.1.2. Опасноиспользовать версии до 10.1.6
[url]http://ardownload.adobe.com/pub/adobe/reader/win/10.x/10.1.9/misc/AdbeRdrUpd1019.msp[/url][/I]

Я прошла по ссылке и установила новую версию Adobe Reader10.1.9.В процессе установки возникла ошибка, что какой-то файл не может загрузиться, я нажала пропустить и обновление было успешно завершено.

[quote="Саша87;1082837"]Я прошла по ссылке и нужно загрузить обновление SecurityUpdate for Microsoft XML Core Services 4.0 Service Pack3(KB2758694) накомпьютер и запустить от имени администратора?[/quote]
да.

после этого ещё раз запустите скрипт и убедитесь, что уязвимостей не осталось.

[QUOTE=regist;1082857]
после этого ещё раз запустите скрипт и убедитесь, что уязвимостей не осталось.[/QUOTE]

После повторного запуска скрипта пишет, что [I][FONT=&quot]Часто используемые уязвимости не обнаружены.[/FONT][/I] Спасибо.

Сегодня запустив компьютер, обнаружила что языковой панели снова нет. Пришлось снова запускать из C:\WINDOWS\System32\ctfmon.exe. При каждом новом запуске компьютера значок пропадает. Вирус что-то изменил в файле ctfmon.exe.

Утилита ctfmon.exe тесно связана со службой Планировщика заданий, с которой уменя тоже проблемы. В Свойствах Планировщика заданий тип запуска стоит Автоматически, Состояние: Работает. Но при запуске службы появляется сообщение:"Выбранная задача "{0}" больше не существует. Чтобы посмотреть текущие задачи, нажмите "Обновить". Нажимаю "Обновить", иснова то же сообщение. Нажимаю "Отображать все выполняемые задачи" выскакивает "Служба планировщика задач недоступна. Убедитесь, что служба работает".

Далее, иду по следующему пути: «Библиотека планировщика заданий ->Microsoft -> Windows -> TextServicesFramework». В правой стороне в окне должна быть задача MsCtfMonitor, отвечающая за языковую панель, но у меня ее нет и появляется снова сообщение "Выбранная задача "{0}"больше не существует. Чтобы посмотреть текущие задачи, нажмите"Обновить". Языковая панель не отображается, потому что такой задачи больше нет в Планировщике.[ATTACH=CONFIG]458184[/ATTACH]



Если я нажимаю, например «Библиотека планировщика заданий -> Microsoft -> Windows -> Registry» то все отображается изадача RegitleBackup, и ее состояние и все свойства.[ATTACH=CONFIG]458185[/ATTACH]

На сайте [URL]http://comp-profi.com/view_post.php?id=294[/URL] предлагают загрузить новый файл ctfmon.exe и установить его, так как имеющийся файл ctfmon.exe в папке C:\WINDOWS\system32 может работать некорректно. Меня настораживает то, что имеющийся файл ctfmon в папке C:\WINDOWS\system32 на моем компьютере без расширения .exe и имеет тип Приложение. Так он выглядит: [ATTACH=CONFIG]458186[/ATTACH]

На сайте [url]http://software-expert.ru/2010/06/11/taskscheduler/[/url] советуют создать резервную копию данных и затем последовательно удалять файлы в директориях C:\Windows\System32\Tasks\ и C:\Windows\Tasks на обнаружение битого файла.
Или еще такой вариант: [I]Запускаем любой из файловых менеджеров (FAR, Total Commander) от имени администратора, в файловом менеджере находим папки c:\windows\system32\Task и c:\windows\task и по одному файлу перемещаем оттуда в другое место ( именно перемещаем, а не копируем). После перемещения каждого файла пробуем запускать по новому Планировщик заданий. Кактолько после очередного перемещенного файла из папки Task Планировщик заданий перестает запускать с ошибкой - то мы нашли задачу, из-за которой у нас были проблемы с Планировщиком заданий.[/I]

В техподдержке Microsoft советуют:
1) перенесите все задания из папки %SystemRoot%\system32\Tasks\ (Создайте папку на рабочем столе и перенесите внее все файлы и каталоги )
2) в реестре удалите все подразделы в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks]
3) в реестре удалите все подразделы в разделе[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree]
4) запустите Планировщик и проверьте устранена ли проблема
6) Запустите Планировщик заданий, восстановите все задания импортируя их в Планировщик:Планировщик, Действия, Импортировать задачу и выбирайте по очереди задачи которые храниться в каталоге на рабочем столе созданном в 1м пункте.
7) запустите Планировщик и проверьте устранена ли проблема
Если Данное средство не поможет тогда попробуйте следующее: Проверьте является ли пользователь TrustedInstaller владельцем каталога:C:\Windows\winsxs.

Я хотела добавить ярлык файла C:\Windows\System32\ctfmon.exeв папку Автозагрузки (Пуск - Все программы – Автозагрузка), а в Автозагрузке вообще пусто. Может ли Опустошиться Автозагрузка на компьютере, после установления программы AnVir Task Manager, выполняющую ту же функцию. Может удалить эту программу?

Если возникает ошибка "Выбранная задача {0} больше несуществует...", то скорее всего поврежден файл одной из задач. И если возникает такая же ошибка при просмотре задачи MsCtfMonitor, то видимо вирус как-то изменил файл ctfmon.exe или замаскировался под него. Посоветуйте, пожалуйста, что можно сделать, и как лучше поступить? Спасибо.

[quote="Саша87;1082963"]Меня настораживает то, что имеющийся файл ctfmon в папке C:\WINDOWS\system32 на моем компьютере без расширения .exe и имеет тип Приложение. Так он выглядит:[/quote]
Выглядит нормально, а вот то что расширения нет хотя их отображение у вас включено странно. Попробуйте дописать к нему расширение .exe

+ [url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]

[QUOTE=regist;1082969]Попробуйте дописать к нему расширение .exe [/QUOTE]

Пытаюсь переименовать, компьютер выдает, что необходимо запросить разрешение у TrustedInstaller на изменение этого файла.


[QUOTE=regist;1082969]+ [url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url][/QUOTE]

Во вложениях.

1) [url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.81.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref %SystemRoot%\TEMP\6312FEA.SYS
delref %SystemRoot%\TEMP\82E1AC4.SYS
delref HTTP://SINDEX.BIZ/?COMPANY=3
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delref %SystemDrive%\USERS\ДОМ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
zoo %Sys32%\CTFMON.EXE
restart[/CODE]

2) Судя по образу файл у вас на месте и называется как надо. А вот по вашим скринам с задачей действительно не понятное. [URL="http://comp-profi.com/view_post.php?id=294"]По ссылке[/URL] что вы выше указали предлагают [URL="http://comp-profi.com/files/011013/MsCtfMonitor.zip"]скачать и импортировать задачу[/URL]. Пробовали это сделать? Попробуйте импортировать эту задачу себе и ещё раз проверить проблему.

[QUOTE=regist;1083004]1) [URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт в uVS[/URL] и пришлите карантин[/QUOTE]

Что значит: сохраните всё открытые файлы в офисных приложениях?



[QUOTE=regist;1083004]2) Судя по образу файл у вас на месте и называется как надо. А вот по вашим скринам с задачей действительно не понятное. [URL="http://comp-profi.com/view_post.php?id=294"]По ссылке[/URL] что вы выше указали предлагают [URL="http://comp-profi.com/files/011013/MsCtfMonitor.zip"]скачать и импортировать задачу[/URL]. Пробовали это сделать?[/QUOTE]

Да, пробовала, нажимала Импортировать, указывала путь к задаче, Открыть, и все, задача не появлялась, окно оставалось также пустым.

Я просматривала Образ, но там какие-то символы и цифры, как Вы смогли что-то прочитать?

[quote="Саша87;1083416"]Что значит: сохраните всё открытые файлы в офисных приложениях?[/quote]
[video=youtube;A1SX07bUl7Y]http://www.youtube.com/watch?feature=player_detailpage&v=A1SX07bUl7Y[/video]

Просьба, прежде чем задать вопрос, попробуйте найти на него ответ самостоятельно, хотя бы через интернет.

[QUOTE=regist;1083004]1) [url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин[/QUOTE]

Скрипт успешно выполнила. Карантин загрузила по ссылке Прислать запрошенный карантин вверху страницы и в вложениях.

[b]Саша87[/b], там ещё второй способ указан, через создание reg файла
[QUOTE]можно открыть обычный блокнот и вписать в него следующий текст


[CODE]Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\Windows\\System32\\ctfmon.exe"[/CODE]

Далее жмем «Файл – Сохранить как…» и сохраняем его с расширением .reg
Запускаем созданный файл. Информация сама добавится в реестр.[/QUOTE]
это делали? Этот способ у вас должен отработать.

[QUOTE=regist;1083465][b]Саша87[/b], там ещё второй способ указан, через создание reg файла [/QUOTE]

Все сделала, что нужно в этом способе. Перезагрузила компьютер и Языковая панель не исчезла. Я и хотела, чтобы Вы мне посоветовали, что лучше сделать и какой способ применить. Спасибо Вам большое за отзывчивость и терпение. Один из немногих форумов, где пользователям отвечают всегда оперативно быстро и доступно. Вы мне очень помогли))[ATTACH=CONFIG]458371[/ATTACH] Спасибо, [B]regist[/B] и [B]mrak74[/B].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]