Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Прошу помощи (http://forum.oszone.net/showthread.php?t=207971)

ONprazdnik 31-05-2011 23:50 1686027
Прошу помощи
 
Я пользуюсь Firefox, но периодически самостоятельно открывается Internet Explorer с ссылкой на какой-то англоязычный сайт (некий интернет магазин вот ссылка на эту ерунду http://www.), как от этого избавится ума не приложу.
Помимо этого после включения компьютера, автоматически открывается папка мои документы.
На всех флешках появился файл: autorun.inf
При этом флешки открываются только при помощи автозапуска, после чего в папке мой компьютер вместо значка "съемный диск" флешка обозначается как "системный фаил" и не открывается.

Заранее спасибо.

Farger 31-05-2011 23:59 1686029
Здравствуйте,

Сейчас проверю логи.

Farger 01-06-2011 01:03 1686049
C:\Documents and Settings\Admin\Application Data\go – что в папке?


Ваш провайдер Prometey Ltd?

Вы использовали ранее Kaspersky или TDSS?

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\cbzvl.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
DeleteFile('C:\Documents and Settings\Admin\cbzvl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

zirreX 01-06-2011 16:29 1686508
В дополнение к предыдущему скрипту выполните этот скрипт.

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Вставьте все зараженные флешки и подготовьте все запрашиваемые логи!

ONprazdnik 02-06-2011 11:03 1686956
Здравствуйте.
Спасибо всем за помощь, вроде все теперь нормально.

Цитата:
Цитата Farger
C:\Documents and Settings\Admin\Application Data\go – что в папке?
Ваш провайдер Prometey Ltd?
Вы использовали ранее Kaspersky или TDSS? »
Что в папке? - понятия не имею
Провайдер - http://inet-lan.ru/
Kaspersky или TDSS - не использовал никогда

Ответ из лаборатории Касперского еще не пришел, выложу позже.

Логи прилагаю

ONprazdnik 02-06-2011 11:28 1686977
autorun.inf - даже после форматирования флешки все равно заново создается

но открываются флешки нормально

ONprazdnik 02-06-2011 11:43 1686984
Опять стала открываться ссылка в Эксплоуре (http://www.financiatoring.com/index.php/investing)

zirreX 02-06-2011 11:50 1686986
Вы прикрепили старые логи AVZ.

● Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder','\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Сделайте новые логи AVZ + подготовьте такой лог.

thyrex 02-06-2011 12:04 1686993
Удалите в МВАМ только указанные строки
Код:
c:\system volume information\_restore{5493f45a-80f4-44ea-8992-11bd37c37a57}\RP158\A0051047.exe (PUP.SmsPay) -> No action taken.
c:\system volume information\_restore{5493f45a-80f4-44ea-8992-11bd37c37a57}\RP158\A0051048.exe (Trojan.RepackedSetup) -> No action taken.
g:\vlada\budala.exe (Heuristics.Shuriken) -> No action taken.

ONprazdnik 02-06-2011 23:39 1687418
выполнил,
Вот логи

ONprazdnik 03-06-2011 10:02 1687578
Удалите в МВАМ только указанные строки
Код:
.....

Таких нет
______________________
Мои документы снова открываются после загрузки Виндоус

zirreX 03-06-2011 11:00 1687621
Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix

Код:
:OTL
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\cbzvl.exe) - C:\Documents and Settings\Admin\cbzvl.exe ()
O32 - AutoRun File - [2011.06.02 22:36:34 | 000,000,279 | ---- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2011.06.02 22:36:34 | 000,000,279 | ---- | M] () - G:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{3e6dfbc3-3745-11e0-98de-001d72122ad3}\Shell - "" = AutoRun
O33 - MountPoints2\{3e6dfbc3-3745-11e0-98de-001d72122ad3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\AutoRun\command - "" = LITAR\\krvi.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\explore\command - "" = LITAR\\\krvi.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\open\command - "" = LITAR\\\krvi.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\AutoRun\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\Explore\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\Open\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\AutoRun\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\Explore\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\Open\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\AutoRun\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\Explore\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\Open\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
MsConfig - StartUpFolder: C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe -  - File not found
[2011.06.02 11:18:20 | 000,202,752 | RHS- | C] () -- C:\Documents and Settings\Admin\cbzvl.exe
[2010.09.19 19:47:41 | 000,418,705 | ---- | C] () -- C:\Program Files\Common Files\jqyrg4inedzz13m
[2010.08.31 00:40:39 | 000,000,056 | RHS- | C] () -- C:\WINDOWS\System32\1BC08526BD.sys
[2010.08.11 21:02:19 | 000,000,088 | RHS- | C] () -- C:\Documents and Settings\All Users\Application Data\4923ADECE9.sys


:Files
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[EMPTYFLASH]
[Reboot]
Компьютер перезагрузится.
Прикрепите полученный лог к вашему сообщению.

ONprazdnik 03-06-2011 12:53 1687711
Перед получением последнего сообщения, удалял все контрольные точки восстановления.

После выполнения предложенных действий
Компьютер не перезагрузился, исчезли все ярлыки с рабочего стола, диспетчер задач тоже не запускался, через F4 перезагрузиться тоже не удалось...
Сделал принудительное выключение.
После загрузки папка мои документы опять открылась.
На "G" файла авторана - нет. На "F" - снова создался

ONprazdnik 03-06-2011 12:56 1687713
ссылка по прежнему периодически открывается

zirreX 03-06-2011 13:10 1687720
Цитата:
Цитата ONprazdnik
После загрузки папка мои документы опять открылась. »
Для решения этой проблемы сделайте следующее.

Скопируйте следующий текст в блокнот и сохраните с расширением .reg
Запустите этот файл и согласитесь с внесением информации в реестр.

Код:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000
Какое устройство обозначается буквой F:?

ONprazdnik 03-06-2011 13:14 1687725
Цитата:
Цитата zirreX
Какое устройство обозначается буквой F:? »
Флешка на 2Гб

zirreX 03-06-2011 13:50 1687754
● Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('G:\evonocas/nisamtebe.exe','');
 QuarantineFile('G:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\Admin\cbzvl.exe','');
 QuarantineFile('E:\evonocas/nisamtebe.exe','');
 QuarantineFile('E:\autorun.inf','');
 DeleteFile('C:\Documents and Settings\Admin\cbzvl.exe');
DeleteFile('F:\autorun.inf');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\evonocas/nisamtebe.exe');
 DeleteFile('G:\autorun.inf');
 DeleteFile('G:\evonocas/nisamtebe.exe');
DeleteFileMask('G:\evonocas/','*.*', true);
DeleteFileMask('F:\evonocas/','*.*', true);
DeleteFileMask('E:\evonocas/','*.*', true);
DeleteDirectory('G:\evonocas/');
DeleteDirectory('F:\evonocas/');
DeleteDirectory('E:\evonocas/');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи формы http://oszone.net/virusnet

Сделайте новые логи AVZ & RSIT.

Что с проблемой после выполнения скрипта?

ONprazdnik 03-06-2011 14:10 1687772
Карантин отправил.
Логи подготавливаю...
Файл авторана на флешке ("F") - остался, но открывается флешка нормально, хотя обозначается в моем компьютере по прежнему как папка, а не как съемный диск, форматировать ее не получается, мешает запущенный процесс.

По поводу пресловутой ссылки - открывается опять :(

ONprazdnik 03-06-2011 14:44 1687793
готовы логи

zirreX 03-06-2011 16:42 1687879
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению."

Сделайте новый лог полного сканирования MBAM.

ONprazdnik 06-06-2011 16:01 1689364
Новые логи

zirreX 06-06-2011 23:45 1689651
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
DEQUARANTINE::
C:\Qoobox\Quarantine\c\program files\Internet Explorer\iexplore.exe.vir

RegLock::
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\.Default\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\AppGPFault\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CCSelect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Close\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CriticalBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceConnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceDisconnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceFail\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\InternetAlert\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\LowBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MailBeep\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Maximize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuCommand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Minimize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Open\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\PrintComplete\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreDown\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreUp\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\ShowBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemAsterisk\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExclamation\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExit\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemHand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemNotification\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemQuestion\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemStart\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogoff\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogon\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\BlockedPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\FeedDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\MoveMenuItem\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\Navigating\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SearchProviderDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SecurityBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiDeleteObject\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiMiscue\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiTaskButton\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Names\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

Reboot:
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

c:\program files\Internet Explorer\iexplore.exe - проверьте на www.virustotal.com

ONprazdnik 07-06-2011 18:13 1690132
Я, после проверки компьютера комбофиксом, попытался запустить Internet Explorer, ярлык остался, а фаил iexplore.exe был удален, я установил новый эксплоуер.
Комбофикс удалить способом указанным в http://safezone.cc/forum/showthread.php?t=2892, не получилось, удалил в ручную.

Проблемы, которые были до обращения на форум, пока не наблюдаются...
не пометил проблему решенной, т.к. решил выждать несколько дней, чтоб быть уверенным.

Напишите пожалуйста, есть ли смысл заново устанавливать комбофикс и выполнять дейтсвия из последнего письма?
Спасибо.

ONprazdnik 08-06-2011 01:00 1690352
Ответ из лаборатории Касперского
_______________________________________________________
Здравствуйте,

Это сообщение сформировано автоматической системой обработки писем.

bcqr00001.dat,
bcqr00002.dat,
cbzvl.exe - P2P-Worm.Win32.Palevo.cvoh

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

С уважением, Лаборатория Касперского

SolarSpark 08-06-2011 08:22 1690434
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
RegLock::
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\.Default\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\AppGPFault\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CCSelect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Close\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\CriticalBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceConnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceDisconnect\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\DeviceFail\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\InternetAlert\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\LowBatteryAlarm\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MailBeep\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Maximize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuCommand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\MenuPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Minimize\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\Open\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\PrintComplete\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreDown\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\RestoreUp\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\ShowBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemAsterisk\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExclamation\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemExit\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemHand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemNotification\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemQuestion\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\SystemStart\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogoff\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\.Default\WindowsLogon\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\ActivatingDocument\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\BlockedPopup\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\FeedDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\MoveMenuItem\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\Navigating\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SearchProviderDiscovered\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\Explorer\SecurityBand\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiDeleteObject\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiMiscue\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Apps\PictureIt\PiTaskButton\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\AppEvents\Schemes\Names\=04O0*7~]
[HKEY_USERS\S-1-5-21-1482476501-1614895754-1417001333-500\Software\Microsoft\Internet Explorer\User Preferences]

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

раз палево), тогда делаем еще раз контрольные логи RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

ONprazdnik 09-06-2011 20:02 1691625
После проверки ComboFix, снова не работает Internet Explorer...
Буду переустанавливать.

Уже третий день ни каких признаков вирусов.

Спасибо всем за помощь, думаю проблема решена.

Последние логи прилагаю.

SolarSpark 10-06-2011 08:08 1691857
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

ONprazdnik 11-06-2011 10:09 1692515
Ок.
Спасибо.


Время: 17:55.

Время: 17:55.
© OSzone.net 2001-