Помогите пожалуйста!!! Заражен вирусом-шпионом...

Farger · Отправлено: **12:31, 15-05-2011** | #2

Здравствуйте,

Как правило практикуют, во избежания путаницы - одна тема - один компьютер. По порядку: я сейчас проверю логи с вашего ПК с XP на борту

Farger · Отправлено: **12:52, 15-05-2011** | #3

Для ПК с XP:

Что у вас в папке C:\Program Files\gidGORODA?

Диск I:/ это что у вас?

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2001', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Пофиксить в HJT

Код:

 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Загрузите SecurityCheck by screen317 отсюда или отсюда
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

Evgen911 · mbam-log-2011-05-15 (16-46-41).txt

Содержимое папки gidGORODA в скриншоте, это электронная карта и справочник с адресами и телефонами магазинов, автосервисов. у них даже одноименный сайт есть с приставкой .ru .
DISK I:/ - это DVDROM . Установочный диск(их бесплатно по конторам разносят, взял с работы) GidGORODA(6 mb) наверно единственный диск который там побывал.

Сделал все по инструкции, лог от "SecurityCheck by screen317" не появляется.

Активные элементы в браузерах работают, компьютер выключается нормально.

Farger · Отправлено: **20:44, 15-05-2011** | #5

Ок, значит с первым компьютером мы разобрались, я правильно понимаю?

Evgen911 · Отправлено: **22:46, 15-05-2011** | #6

СПАСИБО БОЛЬШОЕ!!! Правда так и не понял что за файл подцепил, главное откуда, и что он натворил в системе... Теперь будем обратно пытаться защиту выставлять.
Второй компьютер сейчас на Kaspersky-911 , нашли с логов какой-то файл mbr.sys удалил его с помощью предоставленного ими скрипта. Лагов в данный момент не вижу,

= Farger СПАСИБО БОЛЬШОЕ ПРЕБОЛЬШОЕ =

P. S. А можно вопрос??? Можно ли узнать украли ли у меня какие пароли или нет???

Farger · Отправлено: **23:33, 15-05-2011** | #7

Пожалуйста

У вас вируса как такого и не было. С помощью скрипта мы закрыли дыры в безопасности. Относительно паролей - проверьте, можете ли зайти на почту свою, страницы в соц. сетях но предпосылок для существования вируса, который бы воровал у вас пароли я в логах не увидел.