При загрузке постоянно открывается папка C:\WINDOWS\system32\.
В автозагруке появилось и неудаляется C:\WINDOWS\system32\ubpr01.exe.
При загрузке постоянно открывается папка C:\WINDOWS\system32\.
В автозагруке появилось и неудаляется C:\WINDOWS\system32\ubpr01.exe.
Пофиксите с помощью Hijackthis строчки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com O2 - BHO: 906217 helper - {CC9C8A97-3EE5-4D7E-B1EA-F8F62284D7D7} - C:\WINDOWS\system32\906217\906217.dll O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe O4 - HKCU\..\Run: [wblogon] C:\WINDOWS\system32\ubpr01.exeПосле перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=30994 , как написано в прил.2 правил, и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\906217\906217.dll',''); QuarantineFile('C:\WINDOWS\system32\ubpr01.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe',''); QuarantineFile('C:\WINDOWS\system32\braviax.exe',''); TerminateProcessByName('c:\windows\system32\ubpr01.exe'); QuarantineFile('c:\windows\system32\ubpr01.exe',''); DeleteFile('c:\windows\system32\ubpr01.exe'); BC_DeleteFile('c:\windows\system32\ubpr01.exe'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); BC_DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\drivers\spool.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\spool.exe'); DeleteFile('C:\WINDOWS\system32\ubpr01.exe'); BC_DeleteFile('C:\WINDOWS\system32\ubpr01.exe'); DeleteFile('C:\WINDOWS\system32\906217\906217.dll'); BC_DeleteFile('C:\WINDOWS\system32\906217\906217.dll'); DelBHO('{CC9C8A97-3EE5-4D7E-B1EA-F8F62284D7D7}'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Открытие папки system32 после загрузки продолжается.
Восстановление системы отключите!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи, я смотрю у вас акронис стоит, что мешает сделать банальный бекап на чистую систему ?Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Djq85'); DeleteService('Bip41'); DeleteFile('C:\WINDOWS\System32\Drivers\Bip41.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Djq85.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Djq85'); BC_DeleteSvc('Bip41'); BC_Activate; RebootWindows(true); end.
Востановление отключил, забыл первый раз.
Папка system32 попрежнему автоматически открывается при загрузке.
Акронис стоит для работы с образом как с жестким диском, ни одного бэкапа системы и не делал.
пофиксите
содержимое сохраните в блокноте как 1.reg ,согласитесь внести изменения в реестр , перегрузитесьКод:R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com O4 - HKLM\..\Run: [SDFix]
Код:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "PersistBrowsers"=dword:00000000
Не прокатило
Симтомы те же.
сделайте экспорт ключа реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
запакуйте и приложите
Пожалуйста.
так же экспортируйте
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Есть
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
правметр SDFix - удалить ...
Спасибо, все заработало!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\ubpr01.exe - not-a-virus:AdWare.Win32.E404.if (DrWEB: Trojan.Chrome.4)
- c:\\windows\\system32\\906217\\906217.dll - not-a-virus:AdWare.Win32.E404.ij (DrWEB: Trojan.Click.2349
Уважаемый(ая) Kriz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.