-
Junior Member
- Вес репутации
- 53
На флешке прячутся папки и появляются ярлыки с таким же названием
Всем доброго!
Сам одолеть не смог, прошу помощи...
Дали ноут, не грузился explorer.exe. Это решили, сканировали avast'ом 6, dr. web'ом cureit!. Нашлось много нечисти. Но вот папки как пропадали так и пропадают, хотя в Total Commander'е все папки есть (с атрибутами: системный, скрыт, архивный, только чтение). Логи ниже...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Max S. Squit, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Установите Service Pack 3(может потребоваться повторная активация):
http://www.microsoft.com/downloads/r...8-1e1555d4f3d4
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie
Пофиксите в HijackThis (как пофиксить):
Код:
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe
O4 - HKUS\S-1-5-21-1935655697-1177238915-725345543-1003\..\Run: [MSConfig] D:\Documents and Settings\Оазис\cdwu.exe \u (User '?')
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
Выполните скрипт в AVZ (как выполнить):
Код:
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\docume~1\8276~1\locals~1\temp\taskmgr.exe');
AddToLog(inttostr(BC_ServiceKill('ndxvwump')) );
QuarantineFile('D:\Program Files\USB Tool\USB Tool 1.3.exe','');
QuarantineFile('D:\Documents and Settings\Оазис\xdhgwaq.exe','');
QuarantineFile('D:\Documents and Settings\Оазис\Application Data\Uvzizc.exe','');
QuarantineFile('d:\docume~1\8276~1\locals~1\temp\taskmgr.exe','');
DeleteFile('d:\docume~1\8276~1\locals~1\temp\taskmgr.exe');
DeleteFile('D:\Documents and Settings\Оазис\Application Data\Uvzizc.exe');
DeleteFile('D:\Documents and Settings\Оазис\xdhgwaq.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Uvzizc');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
SaveLog(GetAVZDirectory+'avz_log.txt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 53
После скриптов и фикса папки перестали прятаться. Это хорошо .
Но вот заметил после этих действий что в инет не выйти: соединение нормальное, а IE и Firefox не заходят на страницы. Щас ставлю все апдейты...
-
Junior Member
- Вес репутации
- 53
После установки SP3 появился доступ в сеть...
-
Max S. Squit, еще есть какие-либо проблемы, вопросы?
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 53
Да вроде нет. Винда заработала как и должна. Ничего подозрительного больше не заметил. Всем спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- d:\\documents and settings\\оазис\\application data\\uvzizc.exe - Backdoor.Win32.Ruskill.rp ( DrWEB: Trojan.PWS.Multi.224, BitDefender: Backdoor.IRCBot.ADEO, NOD32: Win32/Dorkbot.B worm, AVAST4: Win32:Kryptik-DLV [Trj] )
-