Подскажите что за файл SearchAnonymizer.exe? находится здесь "C:\Users\feres\AppData\Roaming\OCS\SM" стоял в автозагрузке. 
» Помощь при лечении компьютера от вирусов
Цитата:
при загрузке с CD удалить его естественно удается, но при первой же загрузке (в безопасном режиме тоже) он снова на месте.
это как минимум значит, что за ним следят и запускают его иные процессы, которые тоже надо убить.
а ветки регистра можно порезать, подмаунтив куст к загруженному с флешки или СД РЕ-загрузочника
DJMC
Цитата:
По второй машине.
Выполните скрипт в AVZ
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('c:\windows\system32\wpbdfpm.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Towu\otfei.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Towu\otfei.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{C02F372C-0C38-D97D-E371-9311A959E111}');
DeleteFile('c:\windows\system32\wpbdfpm.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Цитата:
все равно им не получилось сделать лог на первом компьютере.И в безопасном режиме?
По второй машине.
Выполните скрипт в AVZ
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Program Files\opera\setupapi.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('c:\windows\system32\wpbdfpm.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Towu\otfei.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Towu\otfei.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{C02F372C-0C38-D97D-E371-9311A959E111}');
DeleteFile('c:\windows\system32\wpbdfpm.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DeleteFile('C:\Program Files\opera\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('sfc');
BC_DeleteSvcReg('sfc');
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
thyrannosaurus
Цитата:
спасибо, но в выходные не было интернета не увидел ответ, переустановил винду, тем более новую сборку скачал, разумеется все вирусы убились.
Цитата:
По второй машине. Выполните скрипт в AVZ
спасибо, но в выходные не было интернета не увидел ответ, переустановил винду, тем более новую сборку скачал, разумеется все вирусы убились.
wasa123456
Сделайте лог полного сканирования МВАМ
Сделайте лог полного сканирования МВАМ
Здравствуйте, скоро мне фигня взорвёт мозг . Есть проблема в следующем:
Браузеры не открывают некоторые сайты: youtube.com, kinopoisk.ru,… ряд антивирусных оффсатов: drweb.com, esetnod32.ru, kaspersky.ru. Список можно продолжать долго... Остальные сайты грузятся вполне адекватно, как и раньше.
Второй компьютер с тем же провайдером, с тем же роутером, с одинаковыми настройками открывает абсалютно всё, инет летает.
Пробовал открывать через Opera, Firefox, Explorer, результат не меняется, загрузка не начинается просто белое окно, через некоторое время Opera выдаёт надпись «Соединение закрыто удалённым сервером»
Пробовал отключать Nod32, безрезультатно.
Брандмаузер отключен, эффекта не даёт.
Проверял на вирусы, Nod32 нашёл 2 троянца, удалил, проверил DRweb в простом режиме глубоким анализом нашёл ещё 2, удалил, запустил minDrWebLiveCD-5.0.3, полная проверка, ничего не нашёл.
Файл hosts без лишних строк.
Если в адресной строке ввести IP сайта, он грузится.
Через LiveCD все сайты работают нормально.
В логах DRweb нашёл следующее:
C:\Documents and Settings\Admin\Application Data\winxrar\s.htm инфицирован Trojan.Fraudster.101 - удален
C:\Documents and Settings\Admin\Application Data\winxrar\winxrar.exe инфицирован Trojan.Fraudster.101 – удален
В реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
Обнаружил куча строк-параметров, удалил всё кроме первой. После перезагрузки системы параметры восстановились.
Также в ветках перепутав с вышеописанной удалил все строки кроме первой:
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\Tcpip\Parameters\Persistent Routes
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet002\Services\Tcpip\Parameters\Persistent Routes
После перезагрузки параметры также восстановились
Надеюсь на вашу помощь и на свежие мысли! Переустановку винды пожалуйста не предлагайте.
Win XP SP3.
Браузеры не открывают некоторые сайты: youtube.com, kinopoisk.ru,… ряд антивирусных оффсатов: drweb.com, esetnod32.ru, kaspersky.ru. Список можно продолжать долго... Остальные сайты грузятся вполне адекватно, как и раньше.
Второй компьютер с тем же провайдером, с тем же роутером, с одинаковыми настройками открывает абсалютно всё, инет летает.
Пробовал открывать через Opera, Firefox, Explorer, результат не меняется, загрузка не начинается просто белое окно, через некоторое время Opera выдаёт надпись «Соединение закрыто удалённым сервером»
Пробовал отключать Nod32, безрезультатно.
Брандмаузер отключен, эффекта не даёт.
Проверял на вирусы, Nod32 нашёл 2 троянца, удалил, проверил DRweb в простом режиме глубоким анализом нашёл ещё 2, удалил, запустил minDrWebLiveCD-5.0.3, полная проверка, ничего не нашёл.
Файл hosts без лишних строк.
Если в адресной строке ввести IP сайта, он грузится.
Через LiveCD все сайты работают нормально.
В логах DRweb нашёл следующее:
C:\Documents and Settings\Admin\Application Data\winxrar\s.htm инфицирован Trojan.Fraudster.101 - удален
C:\Documents and Settings\Admin\Application Data\winxrar\winxrar.exe инфицирован Trojan.Fraudster.101 – удален
В реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
Обнаружил куча строк-параметров, удалил всё кроме первой. После перезагрузки системы параметры восстановились.
Также в ветках перепутав с вышеописанной удалил все строки кроме первой:
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\Tcpip\Parameters\Persistent Routes
HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet002\Services\Tcpip\Parameters\Persistent Routes
После перезагрузки параметры также восстановились
Надеюсь на вашу помощь и на свежие мысли! Переустановку винды пожалуйста не предлагайте.
Win XP SP3.
Alex Caspersky
route -f в командной строке и перезагрузка...
route -f в командной строке и перезагрузка...
vallyol
Цитата:
Что это?? Что это за команда? Конкретней пожалуйста! Что она мне даст?
Цитата:
route -f в командной строке и перезагрузка...
Что это?? Что это за команда? Конкретней пожалуйста! Что она мне даст?
Alex Caspersky
route /? набрать и прочитать самому религия не позволяет?
route /? набрать и прочитать самому религия не позволяет?
XenoZ
Если бы я знал как, и была бы возможность я бы не задовал таких вопросов! Логично? Кстате я атеист.
vallyol
Ввёл команду route -f, перезагрузился и о долгожданное чудо))) Все сайты открываются, всё работает по прежнему!
В реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
всё чисто! Спасибо большое за помощь, оказалось всё так просто!
_____________________________________
В общем как оказалось прыгал от счастья я не долго... Неожиданно Opera закрылась, я включил её заного, и вновь всё та же проблема с непусканием на теже самые ссайты.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
Опять переполнен!
Что же теперь мне делать?
Если бы я знал как, и была бы возможность я бы не задовал таких вопросов! Логично? Кстате я атеист.
vallyol
Ввёл команду route -f, перезагрузился и о долгожданное чудо))) Все сайты открываются, всё работает по прежнему!
В реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
всё чисто! Спасибо большое за помощь, оказалось всё так просто!
_____________________________________
В общем как оказалось прыгал от счастья я не долго... Неожиданно Opera закрылась, я включил её заного, и вновь всё та же проблема с непусканием на теже самые ссайты.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Persistent Routes
Опять переполнен!
Что же теперь мне делать?
Сделать логи (см. шапку)
Файер включен?
Файер включен?
Alex Caspersky
Если Вы хотите профессиональной помощи, выполните указания в шапке этой темы.
vallyol
Простите, а Вы - кто?
Если Вы хотите профессиональной помощи, выполните указания в шапке этой темы.
vallyol
Простите, а Вы - кто?
gjf
Сейчас пишу со второго компьютера (комп№2). Дела стали ещё хуже.
При попытки пройти по ссылке в шапке чтобы скачать AVZ на заражённом компютере (комп№1) опера сразу закрылась.
Скачал архив AVZ на флешку с помошью компа№2, запустил архив на компе№1 и WinRar тут же закрылся.
Перезагрузил заражённый комп№1 Explorer начал глючить! При попытки зайти в МП или в любую другую папку на раб.столе, рабочий стол проподал на секунду со всеми ярлыками и меню "Пуск".
После очередной перезагрузки рабочий стол начал проподпть сам по себе, каждые 2 секунды. Никаких действий произвести невозможно.
На руках имеется minDrWebLiveCD-5.0.3 как писал в первом посте, когда проблема была не так скверна, после полной проверки, ничего не нашёл. Интернет через LiveCD работал нормально.
И ещё одна неприятность, на компе№2 в случае чего записать образ iso не получиться, нет сторонней программы и установить её не удасться, это рабочий ноут бук, закрыты все права, пароль от админки не знаю. Cтоит XP.
Запустил на ночь DrWeb на LiveCD....
Сейчас пишу со второго компьютера (комп№2). Дела стали ещё хуже.
При попытки пройти по ссылке в шапке чтобы скачать AVZ на заражённом компютере (комп№1) опера сразу закрылась.
Скачал архив AVZ на флешку с помошью компа№2, запустил архив на компе№1 и WinRar тут же закрылся.
Перезагрузил заражённый комп№1 Explorer начал глючить! При попытки зайти в МП или в любую другую папку на раб.столе, рабочий стол проподал на секунду со всеми ярлыками и меню "Пуск".
После очередной перезагрузки рабочий стол начал проподпть сам по себе, каждые 2 секунды. Никаких действий произвести невозможно.
На руках имеется minDrWebLiveCD-5.0.3 как писал в первом посте, когда проблема была не так скверна, после полной проверки, ничего не нашёл. Интернет через LiveCD работал нормально.
И ещё одна неприятность, на компе№2 в случае чего записать образ iso не получиться, нет сторонней программы и установить её не удасться, это рабочий ноут бук, закрыты все права, пароль от админки не знаю. Cтоит XP.
Запустил на ночь DrWeb на LiveCD....
До сих пор проверяет диск "C", это более 12 часов, всего их 2, ...очень долго (был запущен не в графическом режиме, когда на чёрном экране прописываются адреса проверенных файлов) посмотреть нашёл что то или нет, не удаётся.
Можно ли как-то в моём случае посмотреть и показать вам лог?
____________________
Сканирование завершилось, попрежнему ничего не нашёл.
Все значения Infected, Vjdifications и т.п. :0/0
кроме Hachtool там :2/2
числа сканированых файлов Scanned :1517727/1295771
времни сканирования и скорости.
Что мне делать дальше? Ничего на компьютере сделать не возможено, рабочий стол страшно глючит!
Попробовал запустить AVZ через Total Commander, программа сразу закрывается после запуска
Можно ли как-то в моём случае посмотреть и показать вам лог?
____________________
Сканирование завершилось, попрежнему ничего не нашёл.
Все значения Infected, Vjdifications и т.п. :0/0
кроме Hachtool там :2/2
числа сканированых файлов Scanned :1517727/1295771
времни сканирования и скорости.
Что мне делать дальше? Ничего на компьютере сделать не возможено, рабочий стол страшно глючит!
Попробовал запустить AVZ через Total Commander, программа сразу закрывается после запуска
Alex Caspersky
Попробуйте запустить AVZ в безопасном режиме с поддержкой командной строки с ключом ag=y
Попробуйте запустить AVZ в безопасном режиме с поддержкой командной строки с ключом ag=y
thyrannosaurus
Отсканировал систему в безопасном режиме с потдержкой командной строки ключ ag=y:
avz_virusinfo_syscure.zip (со скриптом в шапке)
RSIT log.txt
RSIT info.txt
Отсканировал систему в безопасном режиме с потдержкой командной строки ключ ag=y:
avz_virusinfo_syscure.zip (со скриптом в шапке)
RSIT log.txt
RSIT info.txt
Alex Caspersky
В безопасном режиме вредоносов не видно.
А Вы можете запустить вот такую версию AVZ в обычном режиме? Если да - сделайте ею логи по информации из шапки. Если нет - сделайте лог с помощью GMER (тоже при обычном режиме загрузки).
В безопасном режиме вредоносов не видно.
А Вы можете запустить вот такую версию AVZ в обычном режиме? Если да - сделайте ею логи по информации из шапки. Если нет - сделайте лог с помощью GMER (тоже при обычном режиме загрузки).
Alex Caspersky
Выполните скрипт в AVZ
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\ysvpldu.exe','');
QuarantineFile('C:\WINDOWS\system32\umhknip.exe','');
DeleteFile('C:\WINDOWS\system32\umhknip.exe');
DeleteFile('C:\WINDOWS\system32\ysvpldu.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Выполните скрипт в AVZ
Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\ysvpldu.exe','');
QuarantineFile('C:\WINDOWS\system32\umhknip.exe','');
DeleteFile('C:\WINDOWS\system32\umhknip.exe');
DeleteFile('C:\WINDOWS\system32\ysvpldu.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
thyrannosaurus
Цитата:
Я не могу запустить AVZ в нормальном режиме, я писал об этом выше, он сразу закрывается.
А есть ли смысл запустить скрипт в безопасном?
Цитата:
Сделайте новые логи в нормальном режиме
Я не могу запустить AVZ в нормальном режиме, я писал об этом выше, он сразу закрывается.
А есть ли смысл запустить скрипт в безопасном?
Alex Caspersky
Да, запускайте в безопасном с тем же ключом и выполняйте скрипт. После этого пробуйте старотовать в обычном режиме без ключа
Да, запускайте в безопасном с тем же ключом и выполняйте скрипт. После этого пробуйте старотовать в обычном режиме без ключа
thyrannosaurus
Ребята извеняюсь за мою назойлевость, но хочу сделать всё грамотно.
Запустил первый скрипт в безопасном режиме на AVZ с ключём. Теперь повторить тоже самое в нормальном режиме, + второй скрипт, или просто запустить второй скрипт на каронтин в обычном режиме?
AVZ теперь кстате, запускается в обычном нормально.
Ребята извеняюсь за мою назойлевость, но хочу сделать всё грамотно.
Запустил первый скрипт в безопасном режиме на AVZ с ключём. Теперь повторить тоже самое в нормальном режиме, + второй скрипт, или просто запустить второй скрипт на каронтин в обычном режиме?
AVZ теперь кстате, запускается в обычном нормально.
Alex Caspersky
Цитата:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe
Цитата:
AVZ теперь кстате, запускается в обычном нормально.Если в обычном режиме запускается нормально, тогда скрипт для карантина и новые логи делайте из нормального режима. Запускать без ключа
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe
thyrannosaurus
Цитата:
А можно как то запустить с ключём?
Послал запрос в kaspersky
К стате все сайты открывает нармально, вот ComboFix.txt
Цитата:
Если в обычном режиме запускается нормально, тогда скрипт для карантина и новые логи делайте из нормального режима. Запускать без ключа
А можно как то запустить с ключём?
Послал запрос в kaspersky
К стате все сайты открывает нармально, вот ComboFix.txt
Alex Caspersky
смените все пароли
Файлы
c:\windows\system32\ +UЇ2WЂs
c:\windows\system32\ +8°2WЂR
c:\windows\system32\'$pЂ
и папку c:\program files\Common Files\EB5C7F68a удалите вручную
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
Скачайте OTCleanIt, запустите, нажмите Clean up
смените все пароли
Файлы
c:\windows\system32\ +UЇ2WЂs
c:\windows\system32\ +8°2WЂR
c:\windows\system32\'$pЂ
и папку c:\program files\Common Files\EB5C7F68a удалите вручную
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
Скачайте OTCleanIt, запустите, нажмите Clean up
thyrannosaurus
Всё сделал, сейчас жду ответ с лаборатории Касперского...
Сайты загружаются нормально, рабочий стол не глючит всё вроде нормально.. Единственное, в процессах постоянно весит WPFFontCache_v0400.exe, удаляешь, тут же появляется.
Что это может быть? Нигде описания на него нет
Всё сделал, сейчас жду ответ с лаборатории Касперского...
Сайты загружаются нормально, рабочий стол не глючит всё вроде нормально.. Единственное, в процессах постоянно весит WPFFontCache_v0400.exe, удаляешь, тут же появляется.
Что это может быть? Нигде описания на него нет
Alex Caspersky
Цитата:
Цитата:
WPFFontCache_v0400.exe, удаляешь, тут же появляется.Это от .NET Framework 4
Что это может быть?
2ALL! Доброе время суток!
Только починили нетбук LENOVO S10 методом пепезаливки системного образа диска С:
А наш "БОЕЦ" опять поймал что-то:
MBAM при сканировании- выдержки из лога от 17 ноября 2010>>>
Объекты реестра заражены: 3
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Agas\Application Data\qmkin.exe (Worm.Palevo) -> No action taken.
+++++++++++++++++++++++++
MBAM при сканировании- выдержки из лога от 15 ноября 2010>>>
Зараженные параметры в реестре: 1
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> Quarantined and deleted successfully.
+++++++++++++++++++++++++++++++
А ЭТО уже из Доктора Вебера!
Вся эта новая зараза некритична???-лечение возможно??
Только починили нетбук LENOVO S10 методом пепезаливки системного образа диска С:
А наш "БОЕЦ" опять поймал что-то:
MBAM при сканировании- выдержки из лога от 17 ноября 2010>>>
Объекты реестра заражены: 3
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Agas\Application Data\qmkin.exe (Worm.Palevo) -> No action taken.
+++++++++++++++++++++++++
MBAM при сканировании- выдержки из лога от 15 ноября 2010>>>
Зараженные параметры в реестре: 1
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.Palevo) -> Quarantined and deleted successfully.
+++++++++++++++++++++++++++++++
А ЭТО уже из Доктора Вебера!
Вся эта новая зараза некритична???-лечение возможно??
gerastom1
Выполните правила, о которых говорится в шапке темы
Выполните правила, о которых говорится в шапке темы
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: BSOD. Постоянный вылет в синий экран, Windows 7
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.