» Помощь при лечении компьютера от вирусов

Только не отправляйте СМС.Порноинформер всё-таки не вирус, а дополнение для браузера, которое Вы сами и установили, возможно обманным путем Вас и заставили установить это дополнение, но тем не менее на будущее будьте бдительны и меньше посещайте порно ресурсы, т.к. они рассадники вирусов, троянов, червей и т.д. В последнее время многие жалуются на порноинформер, постоянно влезающий на страничку браузера Internet Explorer. Внизу всех страниц появляется огромный блок, с непотребными картинками. Есть там и предложение по удалению порноинформера за определённую оплату через смс с текстом «YYYYYYYYYY» на номер «ZZZZ». Не поддавайтесь на провокацию. Обойдётся это в 700 рублей и от этой пакости Вы, таким образом, не избавитесь.
УДАЛЕНИЕ:Шаг 1. Заходим в Internet Explorer -сервис-управление настройками. (Настройки, загруженные в Internet Explorer). Имя настройки может быть разным. Обратим внимание на колонку файл -> ищем файл с именем ***Lib.dll. Вместо звёздочек могут быть любые латинские буквы. Файлов с такими окончаниями может быть несколько. Запоминаем имя каждого файла, а лучше записываем.
Шаг 2. Проходим через -> Пуск -> Найти -> Файлы и папки и пишем имя одного из записанных нами файлов. Важный момент: в «дополнительных параметрах» поиска надо поставить галочку "Поиск в системных папках". Нажимаем "найти". Есть другой путь, можно искать самому (ой). Просто зайти C:\WINDOWS\system32 или D: \WINDOWS\ system32 и искать там вручную каждый записанный Вами файл.
Шаг 3. Как только файл найден, просто его удаляем. Перезапускаем и cнова заходим в Internet Explorer и наслаждаемся результатом. Совет первый: самостоятельно порноинформер не устанавливается, читайте внимательно что вам система пишет на разного рода всплывающих окошках. Поставите там, где не надо галочку или согласитесь и он тут как тут.
Совет второй: может не стоит пользоваться IE, ставьте себе Firefox или Opera. Сейчас действия по ликвидации порноинформера из другого браузера Opera, он и туда уже пролазит. Открываем Оперу. В верхнем меню (там, где Файл, Правка) ищем кнопку "Tools(Инструменты) "и жмем на самую нижнюю кнопку "Preferences(Настройки)", или просто жмем сочетание клавиш CTRL + F12.
В распахнувшемся окне жмём на кнопку "Javascript options (Настройки Javascript)", в новом окошке находим внизу блок "User Javascript files (папка пользовательских файлов Javascript)".
Скорее всего, там мы прочитаем такую запись: "C:\WINDOWS\uscripts", это путь к нему, но вполне возможно у других будет написано разными словами, но всё это относится к нему, к порнортансформеру. И остаётся только всю запись стереть (удалить), запомнив сам путь. Далее жмем везде, где попросят «OK». Ещё, желательно, пройдя по тому пути, что был прописан и нами запомнен сходить и удалить все находящиеся там файлы с расширением .js , или всю папку целиком.

ПРОГА В ПОМОЩЬ http://depositfiles.com/files/3pwvydta3

QWERTUN78
Все, что Вы тут понаписали, никак не относится к проблеме Shara1

Shara1
Есть в Программах и Варезнике

Помогите, пожалуйста, справиться с вирусами
http://www.mediafire.com/file/yyt4fzym5nj/hijackthis.log
http://www.mediafire.com/file/tay2zfnkzjy/virusinfo_syscheck.zip
http://www.mediafire.com/file/gzy3gt1vmtt/virusinfo_syscure.zip

Цитата:

[/q]

Цитата:

[q]Shara1
Есть в Программах и Варезнике

easy6via

Цитата:

нажмите на баннер

нажал "сообщить модератору"

Shara1
Вы, видимо, скачали упакованный в архив образ. Распакуйте и запишите образ на болванку

Добавлено:
cogni, у Вас целая коллекция. Система почему такая древняя?

1. Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\winlogon.exe');
TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\services.exe');
TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\lsass.exe');
SetServiceStart('aic32p', 4);
QuarantineFile('C:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com','');
QuarantineFile('C:\WINDOWS\eksplorasi.exe','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\Empty.pif','');
QuarantineFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\0A2631\7815DD.EXE','');
QuarantineFile('C:\WINDOWS\ShellNew\sempalong.exe','');
QuarantineFile('C:\MSDOS.com','');
QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Empty.pif','');
QuarantineFile('c:\documents and settings\Администратор\local settings\application data\winlogon.exe','');
QuarantineFile('c:\documents and settings\Администратор\local settings\application data\services.exe','');
QuarantineFile('c:\documents and settings\Администратор\local settings\application data\lsass.exe','');
DeleteFile('c:\documents and settings\Администратор\local settings\application data\lsass.exe');
DeleteFile('c:\documents and settings\Администратор\local settings\application data\services.exe');
DeleteFile('c:\documents and settings\Администратор\local settings\application data\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\drivers\nmfims.sys');
DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\Empty.pif');
DeleteFile('C:\MSDOS.com');
DeleteFile('C:\WINDOWS\system32\0A2631\7815DD.EXE');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\smss.exe');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Главное меню\Программы\Автозагрузка\Empty.pif');
DeleteFile('C:\WINDOWS\eksplorasi.exe');
DeleteFile('C:\WINDOWS\ShellNew\sempalong.exe');
DeleteFile('C:\Documents and Settings\Администратор\Шаблоны\Brengkolang.com');
DeleteFile('%windir%\Tasks\At1.job');
DeleteFile('%windir%\Tasks\At2.job');
DeleteFile('%windir%\Tasks\At3.job');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
DeleteService('aic32p');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.

Нет это не образ. Скачал файл ERD05.rar от 25.01.2005 с исправленным кейгеном Fixed Keygen-SSG, вот от сюда http://forum.ru-board.com/topic.cgi?forum=35&topic=7507&start=0
Распаковал винраром, в папке лежит файл ERDC2005.EXE и кеуген. Что нужно с ними делать?

Shara1

Что помешало скачать по той же ссылке Winternals ERD Commander 2005 Bootable ISO ?

Спасибо понял. А для чего тогда ERDC2005.EXE и кеуген.

Цитата:

А для чего тогда ERDC2005.EXE и кеуген.

Спросите прямо в разделе, где нашли

Друзья, помогите. Ноут asus f80cr, winXP SP3
сильно греется, уже разбирал - прочищал. температура проца конечно спала с 75 до 63. Меряю speedFan.
Но в диспечере задач постоянно большая загрузка ЦП большая. Когда даже ничего не запущено (10-15). А когда запущен хром, скайп, тотал - 100.
Вывод времени ядра включен. и красненьким отображает примерно 75% от всей загрузки цп.

http://www.mediafire.com/download.php?2dpmk0mcsns5hqx - hijackthis.log
http://www.mediafire.com/download.php?m767m7zvisl0ccs - virusinfo_syscheck.zip
http://www.mediafire.com/download.php?c0m25a855wnfxxa - virusinfo_syscure.zip

holventure
Вы ранее AVPTool использовали на этой системе?

gjf
да, использовал

Помогите, пожалуйста!
Nod32 не обновляется с 17 июня, пишет "невозможно обновить базу данных сигнатур вирусов"
Вот скрин http://s56.radikal.ru/i154/1007/98/fbe094546eff.jpg
Mozilla Firefox тоже не обновляется, пишет "Обновление не было установлено. Убедитесь, что на вашем компьютере не запущены другие копии... "
Скрин http://s003.radikal.ru/i203/1007/d0/082ac1363ea5.jpg
Opera так вообще выводит, невозможно пользоваться функцией "Копировать - вставить", как только нажимаешь "вставить", Opera закрывается и выдаёт "Возникла проблема, которая привела к завершению работы... "
Скрин http://i072.radikal.ru/1007/3c/ef76a130ea1e.jpg
Сейчас сижу с браузера Safari.
Это скорее всего вирус?
Что мне можно сделать?!
Проверяла вирусы на NOD32 - ничего не нашел.

holventure
Тогда чисто, если не считать то, что этот самый AVPTool Вы некорректно удалили.

Добавлено:
gridaria
Как делать логи - в шапке темы.

gjf, у меня не открывает страницу с "Антивирусная утилита AVZ (около 4,5 Мб). " ни в одном из браузеров.
и сайты Др. Веба у меня не октрываются

gridaria
Попробуйте скачать отсюда.

gjf
установил avptool и удалил еще раз. что теперь? переделать логи?

holventure
Зачем? Судя по логам у Вас зловредов нет.

gjf
и эту страницу не удаётся открыть(

gridaria
Скачайте на флешку на незаражённой системе, обновите там же, а потом перенесите на заражённую.

Уже неделю борюсь - не могу вычистить!
Срабатывает symantec endpoint protection
постоянно находит в TEMP - файл DWH7F30.tmp
размером 276191b
на virustotal - вот
НО!
ведь какая - то прога этот файл создает?
а полная проверка компа антивирусами (kasper,symantec,drweb) ничего не дает

как найти прогу, которая создает этот файл?

Andrue
Не то проверяете. Grd2Mult.exe (более известная как MultiKey - утилита для эмулирования электронных ключей) расценивается некоторыми антивирусами как Hacktool, и это нормально. Попробуйте инструментарий, описанный в шапке этой темы.

Добавлено:
И вовсе незачем плодиться во всех темах! Начните с шапки.

vzar
дубль убрал

п/п multikey я уже понял
но это нормально что он создает в папке temp файлы *.tmp одинаковые
в количествах иногда до 20 штук сразу - это имхо более похоже на вирус?
и вопрос был в другом - помогите найти прогу которая создает эти tmp файлы

Andrue

Цитата:

и вопрос был в другом - помогите найти прогу которая создает эти tmp файлы

processmonitor можно использовать
__http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Цитата:

processmonitor

можно - только имя файла каждый раз разное - и когда файл находится - его рубит симантек
поэтому я и спрашиваю кто знает как работает mulikey

все -всем спасибо!
konungster - не надо так нервировать себя

Цитата:

только имя файла каждый раз разное - и когда файл находится - его рубит симантек

если убивается tmp-файл, можно попробывать мониторить IRP_MJ_CREATE.
в логах может остаться процесс, который создал этот tmp-файл

Added:
самое правильное, выполнить инструкцию из шапки

Andrue

Цитата:

processmonitor

тебе правильно ссылку дали, а ты поленился даже его запустить, да?
иди в фильтры - path - и добавляй путь какой тебе нужен.
в прокмоне всё видно!! в любом случае для этой ветки твой вопрос это оффтоп

WinXP SP3
При любой попытке соединения с Интернетом lsass начинет стучаться на два каких-то "левых" адреса (91.213.ххх.ххх), после чего (через 1-2 сек) "подвешивет" комп. Регулярно в самых разных местах натыкаюсь на пустой файл tmp.tmp . Антивирус AVG и AVPTool 9.0.0.722_03.08.2010_17-23 ничего не находят.

http://rghost.ru/2272115 virusinfo_syscure.zip
http://rghost.ru/2272120 virusinfo_syscheck.zip
http://rghost.ru/2272142 hijackthis.log

Примечание: "Скрипт сбора информации для раздела "Помогите!" virusinfo.info" запускался без соединения с сетью Интернет.

rr3

Выполните скрипт в AVZ

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\mkvarvvt.dll','');
DeleteFile('C:\WINDOWS\system32\mkvarvvt.dll');
DeleteFile('C:\WINDOWS\system32\tmp.tmp');
RegKeyStrParamWrite('HKLM', 'system\currentcontrolset\control\securityproviders', 'SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.