Сначала перестал запускаться Outlook,просмотрел карантин НОД 32,там лежали два командных файла из почты.Я оттуда их восстановил.Запустил Доктор Вэб,он переместил те же файлы.Можно ли восстановить почту? там важные документы!
Сначала перестал запускаться Outlook,просмотрел карантин НОД 32,там лежали два командных файла из почты.Я оттуда их восстановил.Запустил Доктор Вэб,он переместил те же файлы.Можно ли восстановить почту? там важные документы!
Последний раз редактировалось Morriss; 13.02.2010 в 22:45.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe, O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\ O20 - Winlogon Notify: reset5e - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\RECYCLER\S-1-5-21-1078081533-1202660629-842925246-1003\Dc161.DOC',''); QuarantineFile('C:\Documents and Settings\Наталья\Local Settings\Temp\crypted_explorer.exe',''); QuarantineFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe',''); QuarantineFile('C:\WINDOWS\system32\secpol.exe',''); QuarantineFile('C:\WINDOWS\Offline Web Pages\svchost.exe',''); DeleteFile('C:\WINDOWS\Offline Web Pages\svchost.exe'); DeleteFile('C:\WINDOWS\system32\secpol.exe'); DeleteFile('c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\keygen.exe'); DeleteFile('C:\Documents and Settings\Наталья\Local Settings\Temp\crypted_explorer.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1078081533-1202660629-842925246-1003\Dc161.DOC'); BC_ImportALL; ExecuteSysClean; BC_Activate; DelCLSID('{18B0E5C2-99CB-11CF-AXX5-00401C648513}'); RegKeyResetSecurity( 'HKLM', 'SYSTEM\CurrentControlSet\Services\ozdvc'); SetAVZPMStatus(True); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=53417).
Сделайте новые логи.
I am not young enough to know everything...
Все сделал.
Последний раз редактировалось Morriss; 13.02.2010 в 22:44.
Сделайте еще такой лог:
http://virusinfo.info/showthread.php?t=40118.
Добавлено через 2 минуты
Если возможно, пришлите файлы из почты, определяемые антивирусами, по правилам. Загружать по ссылке для карантина.
Последний раз редактировалось Bratez; 01.09.2009 в 18:08. Причина: Добавлено
I am not young enough to know everything...
Не знаю откуда их извлечь.Вот их имена, они все были заражены трояном
winsetup.exe C:\BSClnt_3.1\SUBSYS\T-MAIL\temp
winfix.exe C:\BSClnt_3.1\SUBSYS\T-MAIL\tmp
327.exe C:\Documents and Settings\Наталья\Local Settings\Temp
410.exe C:\Documents and Settings\Наталья\Local Settings\Temp
571.exe C:\Documents and Settings\Наталья\Local Settings\Temp
dia[1].exe C:\Documents and Settings\Наталья\Local Settings\Temporary Internet Files\Content.IE5\2FE5QPSX
Все что в Local Settings\Temp и Temporary Internet Files - это временные файлы, к почте отношения не имеют, их можно и нужно удалить.
I am not young enough to know everything...
Вот лог.
Последний раз редактировалось Morriss; 13.02.2010 в 22:44.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\hcjmgmwc.dll',''); DeleteFile('C:\WINDOWS\system32\hcjmgmwc.dll'); BC_ImportALL; ExecuteSysClean; BC_Activate; RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Services\ozdvc'); RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Services\ozdvc'); RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новый лог gmer.
I am not young enough to know everything...
Отправил зараженные файлы.
Добавлено через 9 минут
Скрипт выполнил.Карантин отправил.
Последний раз редактировалось Morriss; 01.09.2009 в 19:38. Причина: Добавлено
Сделайте новый лог gmer.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новый лог gmer.
Последний раз редактировалось Morriss; 13.02.2010 в 22:44.
Активного заражения у вас больше нет. Осталось подчистить мусор в реестре, который в принципе не представляет ничего опасного. Если хотите это сделать, то:
Сохраните следующий код в виде файла runme.bat и поместите в папку с gmer:
Запустите этот файл.Код:gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ozdvc" gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ozdvc" gmer.exe -reboot
Компьютер перезагрузится.
Сделайте новый лог gmer для контроля.
I am not young enough to know everything...
Файл создал.Но он не запускается.Может я что-то не так делаю?
Почта не запускается.В карантине Доктор Вэб лежат почтовые файлы зараженные
C:\Documents and Settings\Наталья\DoctorWeb\Quarantine\winfix.exe - модифицированный Win32/Kryptik.LR троянская программа
Добавлено через 3 минуты
Появляется окно MS-DOS и пропадает.Я скопировал файл в GMER он запустился,просканировал.
Добавлено через 1 минуту
но ошибки в реестре остались.
Последний раз редактировалось Morriss; 02.09.2009 в 17:21. Причина: Добавлено
Удалите! Надеюсь, вы не думаете, что этот winfix.exe может являть собой полезую программу?В карантине Доктор Вэб лежат почтовые файлы зараженные
C:\Documents and Settings\Наталья\DoctorWeb\Quarantine\winfix.exe - модифицированный Win32/Kryptik.LR троянская программа
I am not young enough to know everything...
Если честно,то думал.
Добавлено через 4 минуты
Он же был помещен в карантин отсюда
C:\BSClnt_3.1\SUBSYS\T-MAIL\temp
Добавлено через 8 минут
При запуске почты,пишет,что она уже запущена.
Добавлено через 2 часа 30 минут
Помогите. Почта не открывается.Что делать?
Последний раз редактировалось Morriss; 02.09.2009 в 20:10. Причина: Добавлено
и до и после лечения проблема осталась :при запуске почты на экране появляется загрузочная картинка ина этом все заканчивается.И в этом прямоугольнике остается изображение открытых документов.Посоветуйте может с это проблемой нужно писать в другой раздел?
Попробуйте открыть почтовую программу в Безопасном режиме Windows.
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 28
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\наталья\local settings\temp\crypted_explorer.exe - Trojan-Dropper.Win32.Pincher.rk ( BitDefender: Virtool.24469, NOD32: Win32/PSW.Agent.NKE trojan, AVAST4: Win32:Zbot-LYK [Trj] )
- \winfix.exe - P2P-Worm.Win32.Palevo.jaz ( DrWEB: Trojan.Packed.541, AVAST4: Win32:MalOb-H [Cryp] )
- \winsetup.exe - P2P-Worm.Win32.Palevo.jaz ( DrWEB: Trojan.Packed.541, AVAST4: Win32:MalOb-H [Cryp] )
Уважаемый(ая) Morriss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.