|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Flash - Кто как решает проблему после вируса ? |
|
|
Flash - Кто как решает проблему после вируса ?
|
|
Новый участник Сообщения: 37 |
был вирус на флешке RECYCLER\e5188982.exe
антивирус АВГ после проверки вроде бы как удаляет его. но я заметил что в ветке реестра где вирус себя прописывает запись снова появляется. но дело было такое: я удалил параметр в реестр который определял открытие этой флешки через этот вирус, то есть там была такая запись: RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\e5188982.exe когда удалил, ОС стала ругаться что не может открыть так как не знает чем открывать это дело. тогда в этой же ветке создал новый параметр "C:\WINDOWS\explorer.exe" /open и к моему удивлению по клику на диске в мой компьютер флешка стала открываться, не знаю правильно это или нет ??? кто-то советует форматирование флешки но смысла я не вижу если вирус с нее уже удален... кто-то советует удалить в реестре все записи вируса но не советует как реанимировать после этого доступ к флешке и потому она потом просто уже не открывается. интересно услышать советы спецов, по поводу реестра + флешка. заранее спасибо. |
|
|
Отправлено: 08:59, 08-09-2011 |
|
Ушел из жизни Сообщения: 26925
|
Профиль | Сайт | Отправить PM | Цитировать almadan, ОС какая?
|
|
------- Отправлено: 09:32, 08-09-2011 | #2 |
|
Новый участник Сообщения: 37
|
Профиль | Отправить PM | Цитировать Win XP SP3
|
|
Отправлено: 10:02, 08-09-2011 | #3 |
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать |
|
------- Отправлено: 19:45, 08-09-2011 | #4 |
|
Новый участник Сообщения: 37
|
Профиль | Отправить PM | Цитировать Код:
 Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 8:26:18, on 09.09.2011 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\AVG\AVG9\avgchsvx.exe D:\Program Files\AVG\AVG9\avgrsx.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\AVG\AVG9\avgcsrvx.exe D:\Program Files\AVG\AVG9\avgwdsvc.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Java\jre6\bin\jqs.exe D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\CyberLink\Shared files\RichVideo.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\wbem\wmiapsrv.exe D:\Program Files\AVG\AVG9\avgnsx.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\hkcmd.exe D:\WINDOWS\system32\igfxpers.exe D:\WINDOWS\RTHDCPL.EXE D:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe D:\Program Files\HP\HP Software Update\HPWuSchd2.exe D:\PROGRA~1\AVG\AVG9\avgtray.exe D:\WINDOWS\system32\TaskSwitch.exe D:\Program Files\Winamp\winampa.exe D:\Program Files\Common Files\Java\Java Update\jusched.exe D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\Mozilla Firefox\firefox.exe E:\антивирусы\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=160095 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\SECRETARI.UJKH-E6A17FCAC7\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG9\avgssie.dll O2 - BHO: QIPBHO - {95289393-33EA-4F8D-B952-483415B9C955} - D:\Documents and Settings\SECRETARI.UJKH-E6A17FCAC7\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: MyPlayCity.Бар - {EDF7BDB3-F1D6-4b9f-8E93-742A4D9443FC} - D:\Program Files\MyPlayCity\MyPlayCityBarIE\MyPlayCityBar.dll O4 - HKLM\..\Run: [IgfxTray] D:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ToolBoxFX] "D:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on /tmcp:on O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [AVG9_TRAY] D:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [CoolSwitch] D:\WINDOWS\system32\TaskSwitch.exe O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LanguageShortcut] "D:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [JMB36X IDE Setup] D:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] D:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Red Christmas Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\RedChristmasTree.exe O4 - HKCU\..\Run: [Plasticine Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\PlasticineTree.exe O4 - HKCU\..\Run: [NDTrayAgent] "D:\Program Files\NauDoc Tray Agent\NDTrayAgent.exe" O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Magic Tree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\MagicTree.exe O4 - HKCU\..\Run: [LiveChristmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\LiveChristmasTree.exe O4 - HKCU\..\Run: [DesktopXmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\Xmas.exe O4 - HKCU\..\Run: [Deluxe Tree] D:\Documents and Settings\SECRETARI.UJKH-E6A17FCAC7\Рабочий стол\Юлия\Christmas2.exe O4 - HKCU\..\Run: [ChristmasTree] H:\Новогодние елки на рабочий стол\Новогодние елки на рабочий стол\Christmas.exe O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ускоренный запуск Adobe Reader.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Google Search - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Backward Links - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://D:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E5A6A2D4-32A6-461E-BB53-2DBAC91C65BD}: NameServer = 10.10.21.9 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG9\avgpp.dll O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing) O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - D:\Program Files\AVG\AVG9\avgwdsvc.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe -- End of file - 9991 bytes |
|
|
Последний раз редактировалось iskander-k, 09-09-2011 в 17:32. Причина: теги Отправлено: 06:29, 09-09-2011 | #5 |
|
Ушел из жизни Сообщения: 26925
|
Профиль | Сайт | Отправить PM | Цитировать Цитата almadan:
Цитата almadan:
 |
||
|
------- Отправлено: 07:40, 09-09-2011 | #6 |
Блондинка Сообщения: 1585
|
Профиль | Отправить PM | Цитировать трояна вижу, после лечения смените пароли....
логи AVZ где? лог RSIT? Отключите: Антивирус/Файерволл AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить. Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\amvo.exe','');
DeleteFile('D:\WINDOWS\system32\amvo.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amva');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится! Пофиксить в HijackThis следующие строчки: Код:
R3 - URLSearchHook: (no name) - - (no file) O4 - HKCU\..\Run: [amva] D:\WINDOWS\system32\amvo.exe Обновляем систему до SP3. Service Pack 3 (может потребоваться активация) Скачайте и установите критические обновления windows Обновите Adobe Reader Сделайте ЛОГИ AVZ + RSIT (смотрим в правилах) |
|
------- Последний раз редактировалось SolarSpark, 11-09-2011 в 16:32. Отправлено: 11:42, 09-09-2011 | #7 |
|
скептик-оптимист
Сообщения: 5718
|
Профиль | Отправить PM | Цитировать Цитата almadan:
|
|
|
------- Отправлено: 17:33, 09-09-2011 | #8 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| ''День чёрного установщика'', или как MS решает проблему распространения пиратства | OSZone News | Новости и события Microsoft | 6 | 26-03-2010 22:51 | |
| [решено] Последствия после удаления вируса, кто то сталкиваля | sergey1234567 | Лечение систем от вредоносных программ | 2 | 10-12-2009 09:11 | |
| Вопрос - Как переустановить ОС после вируса | ИС_ | Защита компьютерных систем | 1 | 11-02-2009 12:27 | |
| Как исправить глюки в Win XP после вируса win32/pacex.gen? | HunterSS | Лечение систем от вредоносных программ | 3 | 31-01-2008 08:38 | |
| Ошибка - Помогите кто-нибудь с XP после вируса | Fairah | Лечение систем от вредоносных программ | 2 | 18-09-2007 09:53 | |
|
|
Время: 21:59. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
