Удалил три вируса из папки Windows

[edde]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[Dida]

Ситуация такая. Запустил я combofix.exe, компьютер перезагрузился, потом исчез рабочий стол, и я уже никак не мог подключиться к сети Интернет. Это важно? :D

Но все равно логи прикрепляю

ComboFix.txt

ComboFix.txt

[snifer67]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

KillAll:: File::NetSvcs::qihworcdyfkqsrumdlnrgadyfzzhieejrzatvjzocrrhqkarjgnpmjjDriver::qihworcdyfkqsrumdlnrgadyfzzhieejrzatvjzocrrhqkarjgnpmjjFolder::Registry::FileLook::DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

[Dida]

snifer67 , сделал.

Еще раз повторюсь

Ситуация такая. Запустил я combofix.exe, компьютер перезагрузился, потом исчез рабочий стол, и я уже никак не мог подключиться к сети Интернет. Это важно?

ComboFix.txt

ComboFix.txt

[akoK]

Восстановление подключения к сети Интернет после использования Combofix

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

[edde]

Dida

Откатитесь к предыдущей точке восстановления.

[Dida]

Восстановление подключения к сети Интернет после использования Combofix

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Я не это имел ввиду. У меня после сканирования идет подключение к сети Интернет.

У меня во время сканирования компьютер отключен от сети, потому что после запуска Combofix компьютер перезагружается, потом включается и начинается сканирование, а т.к. рабочего стола нет, то я не могу подключиться к сети Интернет

Dida

Откатитесь к предыдущей точке восстановления.

Можно узнать зачем?

[akoK]

У меня во время сканирования компьютер отключен от сети, потому что после запуска Combofix компьютер перезагружается, потом включается и начинается сканирование, а т.к. рабочего стола нет, то я не могу подключиться к сети Интернет

После этого программа автоматически отключит сеть Интернет. Сетевое подключение будет полностью восстановлено на более позднем этапе действия программы, так что необходимо игнорировать любые уведомления, которые будут говорить об отключении от сети.

ComboFix. Руководство по применению.

[Dida]

У меня во время сканирования компьютер отключен от сети, потому что после запуска Combofix компьютер перезагружается, потом включается и начинается сканирование, а т.к. рабочего стола нет, то я не могу подключиться к сети Интернет

ComboFix. Руководство по применению.

akoK, я все это прочитал сейчас еще раз :) спасибо!

Компьютер, мне кажется, работать быстрее стал. Может еще раз логи сделать, чтобы уже полностью убедиться в "чистоте"?

Изменено 14 февраля, 2010 пользователем Dida

[Dida]

Посмотрите пожалуйста логи

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[zirreX]

Какое устройство обозначается в вашей системе буквой H:\?

Если H: - флешка, подключите её перед выполнением скрипта AVZ!

Отключите:

Восстановление системы

Компьютер от интернета/локальной сети

Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('D:\System Volume Information\_restore{FAFD7426-6674-4A08-B638-59AAB8E9A9FA}\RP299\A0078001.exe','');QuarantineFile('C:\WINDOWS\system32\x','');QuarantineFile('C:\WINDOWS\muis\svchost.exe','');QuarantineFile('H:\RECYCLEMGR\autorun.exe','');QuarantineFile('H:\nsaqk.exe','');QuarantineFile('C:\Documents and Settings\Антон\Application Data\svchost.exe','');DeleteFile('C:\Documents and Settings\Антон\Application Data\svchost.exe');                                  DeleteFile('H:\nsaqk.exe');                                  DeleteFile('H:\RECYCLEMGR\autorun.exe');                                    DeleteFile('C:\WINDOWS\muis\svchost.exe');                                      DeleteFile('C:\WINDOWS\system32\x');                                  DeleteFile('D:\System Volume Information\_restore{FAFD7426-6674-4A08-B638-59AAB8E9A9FA}\RP299\A0078001.exe');                                          DelBHO('6D125299-C2A9-4DBC-BEC3-6F7124E39A41');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svchost.exe');                                                  BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(19);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Пофиксить в HiJackThis.

Поставьте галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

R3 - URLSearchHook: (no name) -  - (no file)O2 - BHO: Доступ к платному контенту FieryAds v2.1.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)O4 - Startup: HDDlife.lnk = ?

Сделайте повторные логи.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM

Изменено 12 декабря, 2010 пользователем Fedin

[Dida]

Всё сделал. Прилагаю лог Malwarebytes' Anti-Malware

mbam-log-2010-12-13 (20-57-59).txt

mbam-log-2010-12-13 (20-57-59).txt

Изменено 13 декабря, 2010 пользователем Dida

[zirreX]

Удалите в MBAM

Зараженные ключи в реестре:HKEY_CLASSES_ROOT\CLSID\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.Зараженные папки:C:\Documents and Settings\Антон\Application Data\FieryAds (Adware.FieryAds) -> No action taken.Зараженные файлы:C:\Documents and Settings\Антон\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.

Кейгены на ваше усмотрение.

Проверьте файл на www.virustotal.com

C:\Program Files\WebMoney\WebMoney.exe

Дайте ссылку на результат проверки файла!

Логи AVZ и RSIT прикрепите.