Junior Member
Вес репутации
59
Помогите, пожалуйста!
У меня троян. Поставила себе DrWeb и пыталась сканировать диск в безопасном режиме, но ноут просто отключается, спустя некоторое время. После включения в обычный режиме, и попытке открыть практически любую программу, открывается окно "выберите программу для открытия этого файла". По каким-то причинам исчезли значки с автозагрузки такие как: язык, питание ноутбука (это то, что заметила). AVZ - троян нашел и вроде вылечил, но проблема с открыванием программ осталась. Заранее спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите Антивирус и Интернет!
Пофиксить
Код:
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\sembako-cizjkog.exe"
O2 - BHO: (no name) - {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2} - c:\autoex.dll (file missing)
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Татьяна\cftmon.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Татьяна\cftmon.exe
O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'SYSTEM')
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Татьяна\Шаблоны\10044-NendangBro.com','');
QuarantineFile('c:\autoex.dll','');
QuarantineFile('kdroc.exe','');
QuarantineFile('C:\WINDOWS\sembako-cizjkog.exe','');
QuarantineFile('C:\WINDOWS\system32\alt12.exe.exe','');
QuarantineFile('C:\Documents and Settings\Татьяна\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('Ohbl37.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('C:\Documents and Settings\ie_updates3r.exe','');
DeleteService('Ohbl37');
DeleteService('Schedule');
DeleteService('Google Online Services');
DeleteFile('C:\Documents and Settings\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('Ohbl37.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\Татьяна\cftmon.exe');
DeleteFile('C:\WINDOWS\sembako-cizjkog.exe');
DeleteFile('c:\autoex.dll');
DeleteFile('kdroc.exe ');
DeleteFile('C:\Documents and Settings\Татьяна\Шаблоны\10044-NendangBro.com');
DelBHO('{F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21805
Это ваш провайдер?
UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
Если нет пофиксите
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{690E14D4-2E5E-4A73-A076-07C205142362}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\..\{C749F035-7EAD-47AF-A90F-E74004808D49}: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA47820E-C5DB-4F61-9423-8FF12BF54296}: NameServer = 85.255.115.61,85.255.112.113
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.113
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Последний раз редактировалось Гриша; 21.04.2008 в 00:12 .
Junior Member
Вес репутации
59
Спасибо!
Гриша, спасибо Вам огромное! все работает. Надеюсь компьютер вылечен.
Вложения
Выполните такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Application Data\br4743on.exe');
DeleteFile('C:\Documents and Settings\Татьяна\Шаблоны\10044-NendangBro.com');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Tok-Cirrhatus-1860');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите лог syscheck (п.10 правил).
Последний раз редактировалось Bratez; 21.04.2008 в 07:27 .
I am not young enough to know everything...
Junior Member
Вес репутации
59
Не смогла выполнить лог. Выдает ошибку: Too many actual parameters в позиции 6:10.
Поправил скрипт, скопируйте заново.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Все выполнила
Вложения
Что такое диск G: ?
Если это не CD/DVD дисковод, то выполните скрипт:
Код:
begin
ClearQuarantine;
QuarantineFile('G:\autorun.inf','');
end.
и пришлите карантин по правилам.
I am not young enough to know everything...
Junior Member
Вес репутации
59
Видимо это была флешка, я ее уже с помощью антивируса вылечила. В карантине пусто.
Junior Member
Вес репутации
59
Спасибо огромное.
Только вот еще, вы не подскажете: я не знаю в связи с чем, но у меня перестала работать функция в свойствах папки - "показывать скрытые файлы".
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Заработало?
Junior Member
Вес репутации
59
Да, все работает!! Спасибо вам огромное. Не знаю как и благодарить.
Вот так
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\kdroc.exe - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based.14)