2 файла в avz нет, только карантин
2 файла в avz нет, только карантин
Последний раз редактировалось zazazu; 22.03.2015 в 20:48.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) zazazu, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fe4ea4dc47214fabbbaf47ad467a5bac&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=fe4ea4dc47214fabbbaf47ad467a5bac&text= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:37026 O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O3 - Toolbar: (no name) - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\programdata\timetasks\timetasks.exe'); QuarantineFile('C:\Program Files\GoforFiles Updater\GFFUpdater.exe ',''); QuarantineFile('c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Beeline Network Manager\updater\chp.exe',''); QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe',''); QuarantineFile('C:\Program Files\eDealsPop\eDealsPop.exe',''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\JREOfficeSoftware\RegFltrX86.sys',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\1481866bf2e7a0643d578582f1d0167c\c7b478b1a1c33c9.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\4c8075c1cb9660e91b30810afe5b81da\68a646fd8f192fc.exe',''); QuarantineFile('c:\programdata\timetasks\timetasks.exe',''); DeleteFile('c:\program files\browser tab search by ask\safetynut\x64\safetycrt.dll'); DeleteFile('c:\programdata\timetasks\timetasks.exe','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Program Files\eDealsPop\eDealsPop.exe','32'); DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32'); DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}'); DelBHO('{10921475-03CE-4E04-90CE-E2E7EF20C814}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealsPop'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eDealsPop','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); DeleteFileMask('C:\Program Files\Zaxar','*',true); DeleteDirectory('C:\Program Files\Zaxar'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); ExecuteWizard('SCU',2,2,true); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
При выполнении скрипта в avz большого появилась маленькое окно ( виндовс диск отсутствует) и варианты продолжить и отмена нажималась только отмена. В программе HijackThis 5 пункт R1 я не нашла.
Выполните скрипт в AVZ:
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )Код:begin ExecuteRepair(2); ExecuteWizard('TSW',2,2,true); RebootWindows(true); end.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Сделайте полный образ автозапуска uVS
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
)))
- - - - -Добавлено - - - - -
Лог uvs почему то не прикрепился, пишет превышен лимит залила сюда http://rghost.ru/7RCJ6XbNX
вроде сделала все как надо)))
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Scan, по окончании сканирования уберите галочки на вкладках Folders и Registry со всех пунктов, где упоминаются Mail.Ru если используете соответствующую программу.
Затем нажмите Cleaning и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Выполните скрипт в uVS Как выполнить скрипт в uVS
Сделайте новый полный образ автозапуска uVS.Код:;uVS v3.85.9 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\BEELINE NETWORK MANAGER\UPDATER\BASH-RUN.BAT delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\BEELINE NETWORK MANAGER\UPDATER\CHP.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\4C8075C1CB9660E91B30810AFE5B81DA\68A646FD8F192FC.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\1481866BF2E7A0643D578582F1D0167C\C7B478B1A1C33C9.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\DESKTOPPROGRAMWINDOWS\DESKTOPPROGRAMWINDOWS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\DESKTOPPUBLICUTILITY\DESKTOPPUBLICUTILITY.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\PIRRITSUGGESTOR\PIRRITSERVICE.EXE delref %SystemDrive%\PROGRAM FILES\GOFORFILES UPDATER\GFFUPDATER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\DEBUGKEYBOARDSYNTAX\DEBUGKEYBOARDSYNTAX.EXE zoo %SystemDrive%\WINDOWS\SYSTEM32\TWILIGHTWELCOME.EXE deltmp restart
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
опять превышен лимит http://rghost.ru/7XNSP6lsb
Выполните скрипт в uVS Как выполнить скрипт в uVS
http://virusinfo.info/showthread.php?t=121769Код:;uVS v3.85.9 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZАХАR GАMЕS BRОWSЕR.LNK delref %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\DOWNLOADMANAGER.EXE delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT delall %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\HP DESKJET ASSISTANT\BIN\BROWSER.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\MОZILLА FIRЕFОХ.LNK delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.BAT delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.BAT delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR UPDATE.LNK deltmp restart
- Это забыли сделать.6. Зайдите в папку где распакована UVS найдите архив имя которого отвечает дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы. (в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы)
Что с проблемой ?
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Проблемы нет, все хорошовроде пароль поставила с помощью гугла
Последний раз редактировалось zazazu; 24.03.2015 в 20:15.
Есть.Сообщение от zazazu
Выполните скрипт в AVZ:
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\debugkeyboardsyntax\debugkeyboardsyntax.exe'); StopService('DebugKeyboardSyntax.exe'); QuarantineFile('c:\documents and settings\Администратор\local settings\application data\debugkeyboardsyntax\debugkeyboardsyntax.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\DebugKeyboardSyntax\DebugKeyboardSyntax.exe','32'); DeleteService('DebugKeyboardSyntax.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Так быстро стал компьютер перезагружаться
Теперь порядок. CCleaner Free версией почистите систему, удалите отсутствующие "мертвые" ссылки на те файлы которых уже нет. Лечение окончено.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 27
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\local settings\application data\debugkeyboardsyntax\debugkeyboardsyntax.exe - not-a-virus:AdWare.Win32.Tirrip.s ( DrWEB: Adware.Downware.6417, BitDefender: Adware.Agent.OIJ, AVAST4: Win32:Adware-gen [Adw] )
Уважаемый(ая) zazazu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
