Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] не запускаються антивирусные программы (http://forum.oszone.net/showthread.php?t=237974)

powernic 05-07-2012 14:47 1946424
не запускаються антивирусные программы
 
Вложений: 2
  • info.txt (24.60 KB, скачиваний: 14)
  • log.txt (34.90 KB, скачиваний: 15)
Не можно зайти на сайты популярных антивирусных программ таких как drweb.com, kaspersky.ru и т.д. А также когда устанавливаю некоторые антивирусы, то они не устанавливаются, а если и устанавливаются, то по-просту не запускаются. И еще в процессах видны подозрительные процессы которы запускаются с папки C:\WINDOWS\Temp. после удаления этих файлов в папке temp они через некоторое время опять создаются но с новыми именами такими как winlfas.exe windds.exe winsock.exe toofd.exe и т.д. Эти процесы запускаются от разных родительских процессов, например explorer.exe , anvir.exe, SynTPEnh.exe и т.д; уже полную очистку провел, что надо далше делать, подскажите.

SolarSpark 05-07-2012 14:50 1946428
Цитата:
Цитата powernic
C:\WINDOWS\Temp. после удаления этих файлов в папке temp они через некоторое время опять создаются но с новыми именами такими как winlfas.exe windds.exe winsock.exe toofd.exe и т.д. »
салити подкачал свои компоненты

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\drivers\ikophm.sys','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Program Files\Ticno\Tabs\TicnoTabsBho111217.dll','');
 DeleteFile('C:\Program Files\Ticno\Tabs\TicnoTabsBho111217.dll');
 DeleteFile('c:\windows\system32\drivers\ikophm.sys');
 DeleteFile('C:\autorun.inf');
 DelBHO('{D367A4AF-8202-4173-A115-9831108F1E0A}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\gwuj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winisnjyr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\ujxjc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winwgal.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winfmsjoo.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winkxlpjq.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winhisj.exe"=');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\mycuv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\bqxi.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winbeguag.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winbgorl.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winbmod.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winniwm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winxhqm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winnifnjv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winvlbgps.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winldsdfj.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winaoiq.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winvoxew.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winyfng.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\tkygd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winrcmmb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\ggsmw.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\dbka.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winwfhjrm.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\oatp.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\omhafb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\brytfq.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteFileMask('C:\Program Files\Ticno', '*.*', true);
 DeleteDirectory('C:\Program Files\Ticno');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('amsint32');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://speedbar.ru
R3 - Default URLSearchHook is missing
O1 - Hosts: 217.73.56.45 webalta.ru
O1 - Hosts: 217.73.56.45 home.webalta.ru
O1 - Hosts: 217.73.56.45 start.webalta.ru
O1 - Hosts: 217.73.56.45 www.webalta.ru
O1 - Hosts: 217.73.56.45 smaxi.net
O1 - Hosts: 217.73.56.45 smaxi.biz
O1 - Hosts: 217.73.56.45 www.smaxi.net
O1 - Hosts: 217.73.56.45 www.smaxi.biz
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\Ticno\Tabs\TicnoTabsBho111217.dll
Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

powernic 05-07-2012 17:32 1946592
Вложений: 2
  • info.txt (24.60 KB, скачиваний: 15)
  • log.txt (33.50 KB, скачиваний: 18)
все выполнил

thyrex 05-07-2012 18:19 1946615
Фикс в HiJack выполняли или проигнорировали?

Лог МВАМ где?

powernic 05-07-2012 18:35 1946630
Вложений: 1
я профиксил, а про лог просто забыл выложить

iskander-k 05-07-2012 22:07 1946750
В мбам запустите сканирование и удалите
Код:
Обнаруженные ключи в реестре:  11
HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\advantage_DAEM (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\advantage (Adware.Vomba) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  0
(Вредоносных программ не обнаружено)



Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  53

C:\Documents and Settings\Admin\Application Data\advantage\AdVantage.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\advantage\AdVUninst.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\3dsMax\sceneassets\images\planks bump.jpg (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\демки\fr-019-v110.exe (Malware.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\демки\fr08v101.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\Игры\soldat\Manual\infiltration.jpg (Extension.Mismatch) -> Действие не было предпринято.
C:\Games\Counter-Strike Source\Counter-Strike Source.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Games\lego Garry poter\!Mount\UNMountDT4.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\advantage\AdVUninst.exe (Trojan.Agent) -> Действие не было предпринято.

C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP62\A0009820.exe (Virus.Expiro) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP68\A0014493.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP68\A0014513.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP68\A0014545.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP69\A0014851.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP69\A0015182.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP69\A0015248.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP69\A0015292.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP69\A0015422.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP69\A0015181.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP70\A0015480.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP70\A0015771.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP70\A0015772.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0015833.exe (Malware.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0015838.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0016308.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0016309.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0016863.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0016864.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0018981.dll (Backdoor.Bot) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0018999.exe (Trojan.Agent.MVGen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0019000.pif (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0019002.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0019003.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0019004.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0019006.pif (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0019008.pif (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP71\A0019010.pif (Malware.Packer.Gen) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022157.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022158.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022204.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022205.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022310.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022327.exe (Adware.Vomba) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022346.exe (PUP.BundleInstaller.ML) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022374.exe (Adware.Vomba) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0022425.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0023162.exe (Trojan.Agent) -> Действие не было предпринято.
C:\System Volume Information\_restore{A1D850E4-9133-46E6-A933-C514125552CA}\RP72\A0023163.exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> Действие не было предпринято.

(конец)

powernic 05-07-2012 22:56 1946783
мда, а зачем все удалять то??

iskander-k 06-07-2012 00:53 1946832
Цитата:
Цитата powernic
мда, а зачем все удалять то?? »
не всё ...

у вас был файловый вирус

Virus.Win32.Sality


Компьютерный вирус. Инфицирует файлы с расширением EXE и SCR.

вы можете выполнять или не выполнять. В противном случае будет еще одна тема с заражением. Две уже имеете...

SolarSpark 06-07-2012 07:35 1946895
деинтсаллируйте adVantage (запустить AdVUninst.exe из %:\Program Files\AdVantage)

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Program Files\Ticno\Tabs\Ticno Tabs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\DOCUME~1\Admin\LOCALS~1\Temp\winhisj.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Пофиксить в HijackThis следующие строчки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://speedbar.ru
R3 - Default URLSearchHook is missing
O1 - Hosts: 217.73.56.45 webalta.ru
O1 - Hosts: 217.73.56.45 home.webalta.ru
O1 - Hosts: 217.73.56.45 start.webalta.ru
O1 - Hosts: 217.73.56.45 www.webalta.ru
O1 - Hosts: 217.73.56.45 smaxi.net
O1 - Hosts: 217.73.56.45 smaxi.biz
O1 - Hosts: 217.73.56.45 www.smaxi.net
O1 - Hosts: 217.73.56.45 www.smaxi.biz
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\Program Files\Ticno\Tabs\TicnoTabsBho111217.dll (file missing)
Удалите в МВАМ
Код:
Объекты реестра обнаружены:  3
HKCR\CLSID\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{A8954909-1F0F-41A5-A7FA-3B376D69E226} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{967A494A-6AEC-4555-9CAF-FA6EB00ACF91} (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\BhoNew.BhoApp (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> Действие не было предпринято.


Обнаруженные файлы:
C:\avz4\Infected\2012-07-05\avz00001.dta (Trojan.Agent) -> Действие не было предпринято.
После этого обязательно зачистите зараженные контрольные точки
Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Зайдите AVZ-Мастер поиска и устранения проблем-Пуск, в списке проблем отметить настройки SafeBoot,
исправить проблемы

Отпишитесь о самочувствии


Время: 18:57.

Время: 18:57.
© OSzone.net 2001-