Как удалить заразу?

[Таська]

Вот такая болезнь у моего компа последние три-четыре дня.

Вот скрин.

http://i012.radikal.ru/0803/d8/402890df98aa.jpg

Но работает. Каждый раз я использую опцию "Delete" , а каждый раз при загрузке компа ситуация повторяется. Как удалить эту заразу?

(У меня AntiVir и Ad-Aware )

[Matias]

Троян находится в папках, где хранятся точки восстановления системы. Необходимо очистить папки System Volume Information. Для этого надо выполнить следующие действия:

1.Кликнуть правой кнопкой мыши на иконке "Мой компьютер".

2.Выбрать "Свойства".

3. Перейти на вкладку "Восстановление системы" и поставить галочку "Отключить восстановление системы на всех дисках". Подтвердить удаление всех точек восстановления.

4. Перезагрузить компьютер. После перезагрузки папки System Volume Information очистятся.

[Таська]

Проделала все в точности. Перезагрузила. Вошла в интернет и та же картина - два окна точно такие же выскочили друг за другом. Сделала опять "Delete". Еще какой может способ есть?

[Andrey_al]

Еще какой может способ есть?

сменить антивирус

[Таська]

Писала вчера ответ и недосмотрела!! После отключения восстановления сиистемы , как посоветовал Matias , окна о Detection выскакивали, но уже другой вирус и в других папках.

Вот

Нельзя обойтись без смены антивируса? А если нет, то какой, чтобы убить мою заразу?

[Matias]

Просканируйте систему Cureit, загрузившись в безопасном режиме.

[Pili]

Таська:

- Cкачайте CureIT и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.

- Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.

- Отключите восстановление системы, закройте все программы, включая антивирусные программы и firewall, оставьте запущенным только Internet Explorer.

- Запустите AVZ и обновите базы (Файл - Обновление баз). Выберите из меню Файл -Стандартные скрипты и поставьте галку напротив 3-го скрипта и нажмите "Выполнить отмеченные скрипты". После выполнения скрипта обязательно перезагрузите компьютер.

- Запустите AVZ. Выберите из меню Файл - Стандартные скрипты, поставьте галку напротив 2-го скрипта и нажмите "Выполнить отмеченные скрипты".

- Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". Заархивируйте полученный лог.

- Вложите в сообщение файлы логов (zip файлы из каталога AVZ\LOG и HijackThis), всего должно быть 3 файла: virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.zip

[Таська]

OK ! Спасибо ответившим. Кажется получилось! :rolleyes:

[ser208]

OK ! Спасибо ответившим. Кажется получилось! :rolleyes:

Что получилось, Таська? Заткнуть глотку антивирусу? Давай логи.

Изменено 17 марта, 2008 пользователем ser208

[Таська]

Что получилось, Таська? Заткнуть глотку антивирусу? Давай логи.

Никаких больше устрашающих предупреждений не выскакивало , значит моя "зараза приказала долго жить"... :rolleyes:

Забыла написать, что сделала только первую часть предложенного лечения, то есть просканировала Cureit -ом

[Matias]

сделала только первую часть предложенного лечения, то есть просканировала Cureit -ом

Что было обнаружено?

[lamauser]

Никаких больше устрашающих предупреждений не выскакивало , значит моя "зараза приказала долго жить"... :bye1:

заблуждение, причем очень опасное :g:

[Таська]

Что было обнаружено?

Так не успела разглядеть, так как предложено мне была опция "Вылечить", что я и поспешила сделать, а комп перезагрузился.

[Matias]

Загляните в папку C:\Documents and Settings/Ваше имя пользователя/Application Data/Doctor Web. Там должен быть файл с названием cureit.log. В логе будет указано, какие объекты были вылечены.

[Matias]

предложена мне была опция "Вылечить", что я и поспешила сделать, а комп перезагрузился.

Система ушла в перезагрузку сразу же после нажатия кнопки "Вылечить"? Это подозрительно. Может быть, я что-то путаю, но мне кажется, что сама утилита не должна перезагружать компьютер.

[Таська]

Мне самой стало странно, что так случилось, думала, что уж комп не поднимется!

Однако, пока все ОК (тьфу...тьфу...тьфу) и ни разу...а прошло уже три-четыре дня... аналогичных сообщений о трояне, как было, не появлялось ни разу!

А вчера для "верняка" решила просканировать опять CureIT-том , написано, что вирусов не обнаружено!

[Vlad2008]

Помогите пожалуйста!!!

После полного излечения компьютера от различных троянов при попытке подключения к интернету через GPRS с помощью мобильного телефона соединение обрывается через секунду после установления и так повторяется всё время. Все настроено верно и прекрасно работает на незараженных компьютерах. В телефоне и дата-кабеле проблем нет. Помогает только полная переустановка системы. Скорее всего вирус что-то поганит в реестре, но вот что-именно?

[ser208]

Помогите пожалуйста!!!

После полного излечения компьютера от различных троянов при попытке подключения к интернету через GPRS с помощью мобильного телефона соединение обрывается через секунду после установления и так повторяется всё время. Все настроено верно и прекрасно работает на незараженных компьютерах. В телефоне и дата-кабеле проблем нет. Помогает только полная переустановка системы. Скорее всего вирус что-то поганит в реестре, но вот что-именно?

Выкладывай логи, как в сообщении Pili

[Vlad2008]

3____________.rar

3____________.rar

[4aster]

Таська!

Как правило не отделаешься одним антивирусом, причем программа CureIt - всего лишь сканер от Др Веба, который не лучший антивирус из экономкласса!

Я вот недавно заразу поймал (на комп имею ввиду), так ее только 7 из 35 антивирусных прог знает, щас уже больше конечно... И вообще, вот Pili предлагает алгоритм, все подробно описал же! Да муторно, да тошно, но только так видимо и эффективно!!!

Оно может и не слишком опасно для компа, щас все больше рекламных вирусов, типа "В системе бяка! Вот сайт - заграница Вам поможет...", но последний -у меня на компе который - он отключил диспетчер программ и половину защитных утилит...

[Pili]

Vlad2008: Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Сделайте дополнительные логи с помощью утилиты Deckard's System Scanner

Закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования (не запускайте никаких програм в процессе сканирования), в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt, вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения

Vlad2008: вы вторглись в чужую тему, советую открыть свою, описать проблему и выложить требуемые логи в 1-м сообщении вашей темы

Изменено 28 марта, 2008 пользователем Pili

[Таська]

Что получилось, Таська? Заткнуть глотку антивирусу? Давай логи.

Как вы были правы... :) Все повторяется с разными вариациями + зависает комп на несколько минут, потом "приходит " в себя

Посмотрите, пожалуйста, те ли логи я сделала, потому что первый раз , и посоветуйте, что делать .

http://webfile.ru/1851177

http://webfile.ru/1851182

http://webfile.ru/1851187

http://webfile.ru/1851189

[ser208]

Не мОгу я с этого сайта качать :)

[Таська]

Ок! Вот другие ссылки на мои логи

http://slil.ru/25657407

http://slil.ru/25657413

http://slil.ru/25657416

http://slil.ru/25657417

[ТроПа]

spfx.sys - искать не нужно - это диамон/алкоголь.

Простите ser208, но Ваш скрипт не полон, поэтому вылаживаю более полный скрипт для авз

Таська, выполните в АВЗ такой скрипт.

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('c:\windows\system32\vhosts.exe');DeleteFile('C:\WINDOWS\System32\Drivers\Ltw71.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mru60.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Mux58.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Nsv71.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Oad14.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Osv57.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Owa14.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Pxb03.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Qyc82.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Sad47.sys');DeleteFile('C:\WINDOWS\System32\Drivers\Sbe47.sys');DeleteFile('WLCtrl32.dll');BC_ImportDeletedList;BC_DeleteSvc('Sbe47');BC_DeleteSvc('Sad47');BC_DeleteSvc('Qyc82');BC_DeleteSvc('Pxb03');BC_DeleteSvc('Owa14');BC_DeleteSvc('Osv57');BC_DeleteSvc('Oad14');BC_DeleteSvc('Nsv71');BC_DeleteSvc('Mux58');BC_DeleteSvc('Mru60');BC_DeleteSvc('Ltw71');BC_DeleteSvc('msupdate');ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После этого выполните логи заново.