Посмотрите логи!

**Gorski** · 02.11.2009, 08:11

В один прекрасный момент компьютер дальше окна приветствия не загружался. После кое-какой проверки CureIt (кстати до конца ни разу проверка не дошла, компьютер сам перезагружался), получилось загрузить комп. Ярлык для локального диска D:/ изменился (программа с неизвестным расширением). Помогите удалить заразу. Логи согласно правилам прилагаю.

Извините логи не зацепил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**миднайт** · 02.11.2009, 09:45

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\setup.exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\wt\webdriver\webdriver.dll','');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 QuarantineFile('C:\DOCUME~1\F942~1\APPLIC~1\Aldea\Aldea.dll','');
 QuarantineFile('C:\Program Files\Save\Save.exe','');
 QuarantineFile('C:\PROGRA~1\FieryAds\FieryAds.dll','');
 DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
 DeleteFile('C:\Program Files\Save\Save.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WhenUSave');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Save');
 DeleteFile('C:\DOCUME~1\F942~1\APPLIC~1\Aldea\Aldea.dll');
 DeleteFile('C:\PROGRA~1\FieryAds\FieryAds.dll');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите файл quarantine.zip согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
D:\setup.exe - этот файл вам известен?
Как удалить бунжур - http://virusinfo.info/showthread.php...hlight=Bonjour
+Сделайте новые логи с обновленными базами avz

**Gorski** · 02.11.2009, 10:56

D:/Setup.exe мне не известен. Карантин выслал. Bonjour удалил. Новые логи прилагаю. Кстати во время загрузки выскакивает окно "Savedump.exe не удалось найти компонент. Приложению не удалось запуститься, поскольку dbgeng.dll не был найден."

**миднайт** · 02.11.2009, 22:30

Сделайте такой http://virusinfo.info/showthread.php?t=58309
и такой лог http://virusinfo.info/showthread.php?t=53070

**Gorski** · 03.11.2009, 07:39

вот результаты проверки

**thyrex** · 03.11.2009, 14:56

Удалите в MBAM

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenU) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.dll (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave (Adware.WhenU) -> No action taken.

Заражено папок:
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> No action taken.
C:\Program Files\Save (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU (Adware.WhenU) -> No action taken.

Заражено файлов:
C:\Program Files\Save\ffext.mod (Adware.WhenU) -> No action taken.
C:\Program Files\Save\save.db (Adware.WhenU) -> No action taken.
C:\Program Files\Save\save.htm (Adware.WhenU) -> No action taken.
C:\Program Files\Save\SaveUninst.exe (Adware.WhenU) -> No action taken.
C:\Program Files\Save\Saveupdate.exe (Adware.WhenU) -> No action taken.
C:\Program Files\Save\store.db (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Customer Support.lnk (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Learn More About WhenU Save.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Learn More About WhenU SaveNow.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\Uninstall Instructions.lnk (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Главное меню\Программы\WhenU\WhenU.com Website.url (Adware.WhenU) -> No action taken.
C:\Documents and Settings\Сергей\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.

**Gorski** · 03.11.2009, 18:24

Сделал как посоветовали. При загрузке системы также появляется окно "Savedump.exe не удалось найти компонент. Приложению не удалось запуститься, поскольку dbgeng.dll не был найден.". Сделал новые логи. Что можно сделать?

**V_Bond** · 03.11.2009, 18:38

dbgeng.dll скопируйте с другой системы в system32

**Gorski** · 03.11.2009, 19:28

Файл dbgeng.dll скопировал, сообщение перестало появляться. А что с последними логами?

**Rene-gad** · 03.11.2009, 20:38

А что с последними логами?

WindTangent Вы ставили? Если Да - то ничего плохого.
Жалобы есть?

**Gorski** · 04.11.2009, 06:19

Про WindTargent сказать ничего не могу, т.к. компьютер еще ребёнок-игроман юзает. Пока никаких неприятных проявлений нет. Понаблюдаю за "больным". Всем спасибо. Тему можно закрыть.