День добрый, Win32.Genome радует глаз=)

[Gipno]

И так , здравствуйте=)
Пишу обычно особо не переживая, и всегда с улыбкой)))
так что , не ругайтесь если я много улыбаюсь=)
К делу, после очередной загрузки windows, на старте, у меня не загрузился explorer
(т.е тупо экран с картинкой, а ярлычков и панелек нет) ,
при нажатии ctr+alt+del всё же диспетчер задач, вылез) и оттуда уже запустил эксплорер....кхм..вроде всё работает=).Я не особо много параною, но всё же периодически проверяюсь)
(cureit, и чистки ccleaner)... В этот раз Cureit, написал фразу , что вроде бы он не того формата или повреждён....) Чтож, сударь, перекачаем вас по новой.... и в момент, "как - только" он загрузился, запустить , то идёт, находил пару, определенных win32.genome.parite(вроде бы b) , ну , замечательно=) перезагруз и в безопасном фул проверку, сделали....)
часа 1.5 спустя, думаю надо бы. повторить проверку, ну так, всякий случай))
Запускаю cureit и ))) формат поврежден..))) кхммм) что-то тут нечисто..., нахожу свой не обновленный,
с мая Hijack this , пишет ошибку ( run-time error 481, может библиотеки visual покорёжили..ладно, позже разберемся) ..ну думаю дела))) интернет благо работает, погуглил, рекомендуют проверить %username%\local settings\temp ..) дельная идея, проверяю ,..какой-то неизвестный .tmp...однако) подумал что если он есть тут , может и в реестре заодно проверить, нашел..)
лежит в ветке HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer , строка PINF здесь и прописывается тот самый name.tmp =) я уже немного менял название т.к сроку он сам создает) слегка изменил, и тмп потом соответственно меняется тоже=)..интересно) не долго думая скачиваю avz,
как я уже понял то, вирус дописывает себя к экзешникам) поэтому оставил в архиве avz , и первый раз всё перепроверил) на второй, уже в безопасном режиме, по новой разархив) и еще раз проверил..))) после всех действий, загрузился опять в безопасном режиме)....захожу в \\local settings\temp ...опять лежит .tmp ))) ну родной..я тебя всё равно обезврежу)...вспоминаю про то что, переустанавливал винду , и есть старая рабочая версия)...почему переустанавливал...даже не вспомню..что-то не устраивало=D...перед заходом в другой windows , в своём , правами т.е( правой кнопкой доступ) ( запретил своему пользователю local settings\temp доступ на запись) перезахожу) Кстати не уточнил, что даже через Unlocker удалить этот .tmp , не удаётся.
И так, далее захожу в другой windows =) оттуда удаляю всё что было в local settings\temp =)
и вуаля, вроде бы ..он себя не прописывает)
Благодарю за ваше внимание) надеюсь найдутся полезные для меня скрипты, Логи есть
прилагаю(кроме Hijack ) , так же приложу на всякий случай из uVS полный образ автозапуска) и тут , тоже маленькое дополнение, когда закрыл доступ к темп, в Msconfig решил еще раз проверить пути загрузки и т.д.. увидел интересную деталь))))в system.ini добавлена новая интересная строка , [boot-]; SCRNSAVE.EXE=C:\WINDOWS\GIPNO\system32\logon.scr
=) отключил естественно) и файлик logon.scr подчистил)))
Заранее благодарю за вашу помощь! =)virusinfo_syscheck.zipvirusinfo_syscure.zipGIPNO2-583A690_2013-08-23_15-41-44.rar

[Info_bot]

Уважаемый(ая) Gipno, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Пролечитесь как указано в этой теме: Как лечить файловый вирус?, лучше с LiveCD, потом сделайте новые логи.