Как выличить ком от HEUR:Trojan.Win32.Generic

[Enzo]

Готово

[Rene-gad]

-Пофиксите

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Fox\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) -  - (no file)

Больше ничего плохого не увидел

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите IE 8
- Обновите Acrobat Reader

[Enzo]

Профиксил....

После проверки касперским:
25.05.2009 20:49:03 Помещено на карантин: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPHFJ89P\googles[1].exe

IE - 8 установил
создал учетную запись с ограниченым доступом

Простите за не знание, но:
Активация приведёт к потери моих файлов и програм? Для активация нужен установочный диск винды? Ключь для активации можно будет получить без проблем?

[Rene-gad]

После проверки касперским:
25.05.2009 20:49:03 Помещено на карантин: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPHFJ89P\googles[1].exe

- Очистите темп-папки, кэш проводников и корзину - выполняли?
Без СП3 Вам долго не протянуть....

Активация приведёт к потери моих файлов и програм?

Нет.

Для активация нужен установочный диск винды?

Нет

Ключь для активации можно будет получить без проблем?

Ключ для активации - это то, что у Вас должно быть, если Вы проибрели легальную систему (25-значный код в виде XXXXX-XXXXX-XXXXX-XXXXX-XXXXX). Если Вы приобретали Виндовс вместе с ПК (ОЕМ-лицензия), то код активации м.б. наклеен на корпусе ПК или на конверте установочного диска.
Если у Вас с этим проблемы, Вы можете лицензировать Вашу систему: www.microsoft.ru

[Enzo]

Действия по ссылке - http://virusinfo.info/showthread.php?t=10025 выполнял рание после сообщения в этой теме №8 и выполнил ещё раз.
Поиск папки Temporary Internet Files не чего не даёт, пытался найти в ручную не нашёл, C:\WINDOWS\system32\config\systemprofile\Local Settings=} а в ней нет Temporary Internet Files!!!
Сервис Пак 3 - установил
Акробат удалил старый закачал новый.
Что делать?

[Rene-gad]

.
Что делать?

Сделайте новые логи и лог Malwarebytes: http://download.cnet.com/Malwarebyte...=dl&tag=button

[Enzo]

Логи спешл АВЗ
после почистил Click&Clean
Сделайте новые логи и лог Malwarebytes: http://download.cnet.com/Malwarebyte...=dl&tag=button в процессе....

[Rene-gad]

После лога mbam выполните такой скрипт:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\System32\tssdis.exe','');
 QuarantineFile('C:\WINDOWS\system32\psxss.exe','');
 QuarantineFile('C:\WINDOWS\system32\stisvc.exe','');
end.

Карантин закачайте

[Enzo]

Это то что вы просили?
скрипт выполнил в АВЗ, карантин пуст, пишит ошибка попытка прямого чтения....

Mbam при бысторм сканировании бнаружил 12 заражённых объектов. Каое действие надо выполнить далие "Удалить выделеное" или "Исключить"?

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64\sysproc32.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys.cla','');
QuarantineFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.sys','');
QuarantineFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.sys','');
QuarantineFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.exe','');
QuarantineFile('C:\WINDOWS\system32\sysproc64','');
QuarantineFile('C:\WINDOWS\system32\sysproc64.sys','');
QuarantineFile('C:\WINDOWS\system32\sysproc64.exe','');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64\sysproc32.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64\sysproc32.sys');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc86.sys');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys.cla');
DeleteFile('C:\WINDOWS\system32\sysproc64\sysproc32.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Application Data\sysproc64.exe');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.sys');
DeleteFile('C:\Documents and Settings\LocalService\Application Data\sysproc64.exe');
DeleteFile('C:\WINDOWS\system32\sysproc64');
DeleteFile('C:\WINDOWS\system32\sysproc64.sys');
DeleteFile('C:\WINDOWS\system32\sysproc64.exe');
DeleteDirectory('C:\Documents and Settings\NetworkService\Application Data\sysproc64');
DeleteDirectory('C:\Documents and Settings\LocalService\Application Data\sysproc64');
DeleteDirectory('C:\WINDOWS\system32\sysproc64');
BC_ImportAll;
ExecuteSysClean;
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
mbam
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Enzo]

Карантин отправил!

[Rene-gad]

В логах ничего подозрительного.

- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

[Enzo]

Действия по ссылке - http://virusinfo.info/showthread.php?t=10025 выполнял рание после сообщения в этой теме №8 и выполнил ещё раз.
Поиск папки Temporary Internet Files не чего не даёт, пытался найти в ручную не нашёл, C:\WINDOWS\system32\config\systemprofile\Local Settings=} а в ней нет Temporary Internet Files!!!
Сервис Пак 3 - установил
Акробат удалил старый закачал новый.
Что делать?

Ещё раз устанавливать ?

[B]mbam при проверке обнаруживает 4 зловреда!!! Можно ли выполнять "удалить обьект"?

Результат проверки касперским: 27.05.2009 11:46:12Не вылечено: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CPHFJ89P\googles[1].exe Отложено
Касперский рекомендует поместить фаил на карантин, можно ли удалить ваил, не привидёт ли это к потери системы?

[Rene-gad]

Ещё раз устанавливать ?

А Вы его не установили

Platform: Windows XP SP2 (WinNT 5.01.2600)
Версия Windows: 5.1.2600, Service Pack 2 ;

mbam при проверке обнаруживает 4 зловреда!!! Можно ли выполнять "удалить обьект"?

Да.

Касперский рекомендует поместить фаил на карантин, можно ли удалить ваил, не привидёт ли это к потери системы?

Можно удалить. Только вопрос: Откуда он у Вас появляется, если Вы темпы очищали? CCleaner + ClearProg примените.

[Enzo]

Я так понимаю это всё?
Програмы mbam, hijackthis, авз удалить или пусть, может пригодяться?
Архив с вирусами как удалить просто через корзину и вычистить корзину?
А "важные патчи" это, что и где их взять?
Когда пак три устанавливал забыл каспрского отключить - это очень плохо?

[Rene-gad]

Я так понимаю это всё?

А что за проблемы Вы еще замечаете?

Програмы mbam, hijackthis, авз удалить или пусть, может пригодяться?

Это как Вам угодно. В принципе, если Вы не заразитесь в ближайший месяц, то можно все удалить, т.к. все программы постоянно обновляются.

Архив с вирусами как удалить просто через корзину и вычистить корзину?

Да.

А "важные патчи" это, что и где их взять?

Пуск/Программы/Windows Update, разрешаете установку ActiveX от Microsoft, нажимаете Быстрый поиск.

Когда пак три устанавливал забыл каспрского отключить - это очень плохо?

Если система после установки СП3 запустилась - то это не так важно.

[Enzo]

Да-а-а-а популярненькая получилась тема!!!
Спасибо Вам, огромное!!!!!!!!!!!!!!!!!!!!!

PS Если появяться проблемы писать в эту тему или новую?

Винда не проходит на подлиность! Ещё откуда нить можно скачать патчи?

[Rene-gad]

Ещё откуда нить можно скачать патчи?

Поищите в сети, только смотрите, чтобы на минированные патчи не нарвались.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 87
• В ходе лечения вредоносные программы в карантинах не обнаружены