Готово
Printable View
Готово
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Fox\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
Больше ничего плохого не увидел
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите Acrobat Reader
Профиксил....
После проверки касперским:
25.05.2009 20:49:03 Помещено на карантин: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPHFJ89P\googles[1].exe
IE - 8 установил
создал учетную запись с ограниченым доступом
Простите за не знание, но:
Активация приведёт к потери моих файлов и програм? Для активация нужен установочный диск винды? Ключь для активации можно будет получить без проблем?
[QUOTE=Enzo;406912]
После проверки касперским:
25.05.2009 20:49:03 Помещено на карантин: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPHFJ89P\googles[1].exe[/QUOTE]- Очистите темп-папки, кэш проводников и корзину - выполняли?
Без СП3 Вам долго не протянуть....
[QUOTE]Активация приведёт к потери моих файлов и програм? [/QUOTE]
Нет.
[QUOTE]Для активация нужен установочный диск винды? [/QUOTE]Нет
[QUOTE]Ключь для активации можно будет получить без проблем?[/QUOTE]Ключ для активации - это то, что у Вас должно быть, если Вы проибрели легальную систему (25-значный код в виде XXXXX-XXXXX-XXXXX-XXXXX-XXXXX). Если Вы приобретали Виндовс вместе с ПК (ОЕМ-лицензия), то код активации м.б. наклеен на корпусе ПК или на конверте установочного диска.
Если у Вас с этим проблемы, Вы можете лицензировать Вашу систему: [url]www.microsoft.ru[/url]
[SIZE=3][FONT=Times New Roman]Действия по ссылке - [/FONT][/SIZE][COLOR=black][FONT=Verdana][URL]http://virusinfo.info/showthread.php?t=10025[/URL] выполнял рание после сообщения в этой теме №8 и выполнил ещё раз.[/FONT][/COLOR]
Поиск папки Temporary Internet Files не чего не даёт, пытался найти в ручную не нашёл, C:\WINDOWS\system32\config\systemprofile\Local Settings=} а в ней нет Temporary Internet Files!!!
[COLOR=black][FONT=Verdana]Сервис Пак 3 - установил[/FONT][/COLOR]
Акробат удалил старый закачал новый.
Что делать?
[QUOTE=Enzo;407006].
Что делать?[/QUOTE]Сделайте новые логи и лог Malwarebytes: [url]http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button[/url]
Логи спешл АВЗ
после почистил Click&Clean
Сделайте новые логи и лог Malwarebytes: [url]http://download.cnet.com/Malwarebyte...=dl&tag=button[/url] в процессе....
После лога mbam выполните такой скрипт:
[CODE]begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
end.[/CODE]
Карантин закачайте
Это то что вы просили?
скрипт выполнил в АВЗ, карантин пуст, пишит ошибка попытка прямого чтения....
Mbam при бысторм сканировании бнаружил 12 заражённых объектов. Каое действие надо выполнить далие "Удалить выделеное" или "Исключить"?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64\sysproc32.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys.cla','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.sys','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.exe','');
QuarantineFile('C:\WINDOWS\system32\sysproc64','');
QuarantineFile('C:\WINDOWS\system32\sysproc64.sys','');
QuarantineFile('C:\WINDOWS\system32\sysproc64.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64\sysproc32.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys.cla');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.exe');
DeleteFile('C:\WINDOWS\system32\sysproc64');
DeleteFile('C:\WINDOWS\system32\sysproc64.sys');
DeleteFile('C:\WINDOWS\system32\sysproc64.exe');
DeleteDirectory('C:\Documents and Settings\NetworkService\Application Data\sysproc64');
DeleteDirectory('C:\Documents and Settings\LocalService\Application Data\sysproc64');
DeleteDirectory('C:\WINDOWS\system32\sysproc64');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]mbam
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Карантин отправил!
В логах ничего подозрительного.
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[QUOTE=Enzo;407006][SIZE=3][FONT=Times New Roman]Действия по ссылке - [/FONT][/SIZE][COLOR=black][FONT=Verdana][URL]http://virusinfo.info/showthread.php?t=10025[/URL] выполнял рание после сообщения в этой теме №8 и выполнил ещё раз.[/FONT][/COLOR]
Поиск папки Temporary Internet Files не чего не даёт, пытался найти в ручную не нашёл, C:\WINDOWS\system32\config\systemprofile\Local Settings=} а в ней нет Temporary Internet Files!!!
[COLOR=black][FONT=Verdana]Сервис Пак 3 - установил[/FONT][/COLOR]
Акробат удалил старый закачал новый.
Что делать?[/QUOTE]
Ещё раз устанавливать ?
[B]mbam при проверке обнаруживает 4 зловреда!!! Можно ли выполнять "удалить обьект"?
Результат проверки касперским: 27.05.2009 11:46:12Не вылечено: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPHFJ89P\googles[1].exe Отложено
Касперский рекомендует поместить фаил на карантин, можно ли удалить ваил, не привидёт ли это к потери системы?
[QUOTE=Enzo;407661]Ещё раз устанавливать ? [/QUOTE]А Вы его не установили
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)
Версия Windows: 5.1.2600, Service Pack 2 ; [/QUOTE]
[QUOTE]mbam при проверке обнаруживает 4 зловреда!!! Можно ли выполнять "удалить обьект"?[/QUOTE]Да.
[QUOTE=Enzo;407661]
Касперский рекомендует поместить фаил на карантин, можно ли удалить ваил, не привидёт ли это к потери системы?[/QUOTE]Можно удалить. Только вопрос: Откуда он у Вас появляется, если Вы темпы очищали? CCleaner + ClearProg примените.
Я так понимаю это всё?
Програмы[B] mbam, hijackthis, авз[/B] удалить или пусть, может пригодяться?:)
Архив с вирусами как удалить просто через корзину и вычистить корзину?
А "важные патчи" это, что и где их взять? :)
Когда пак три устанавливал забыл каспрского отключить - это очень плохо?
[QUOTE=Enzo;408062]Я так понимаю это всё? [/QUOTE]А что за проблемы Вы еще замечаете?
[QUOTE]Програмы[B] mbam, hijackthis, авз[/B] удалить или пусть, может пригодяться?:)[/QUOTE]Это как Вам угодно. В принципе, если Вы не заразитесь в ближайший месяц, то можно все удалить, т.к. все программы постоянно обновляются.
[QUOTE]Архив с вирусами как удалить просто через корзину и вычистить корзину?[/QUOTE]Да.
[QUOTE]А "важные патчи" это, что и где их взять? :)[/QUOTE] Пуск/Программы/Windows Update, разрешаете установку ActiveX от Microsoft, нажимаете Быстрый поиск.
[QUOTE]
Когда пак три устанавливал забыл каспрского отключить - это очень плохо?[/QUOTE]Если система после установки СП3 запустилась - то это не так важно.
Да-а-а-а популярненькая получилась тема!!!
Спасибо Вам, огромное!!!!!!!!!!!!!!!!!!!!!:clapping:
PS Если появяться проблемы писать в эту тему или новую?
Винда не проходит на подлиность! Ещё откуда нить можно скачать патчи?
[QUOTE=Enzo;408180]Ещё откуда нить можно скачать патчи?[/QUOTE]Поищите в сети, только смотрите, чтобы на минированные патчи не нарвались.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]87[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]