[Samarinai]

Скрипт выполнила, карантин отправила. Просканировала.

На всякий случай для подтверждения копирую ниже строки, которые не попадают в выше указанные (на удаление). Все эти объекты можно смело удалять?

Код:

C:\Documents and Settings\Admin\Рабочий стол\avz4\avz4\Quarantine\2012-05-28\avz00001.dta (Rootkit.0Access) -> Действие не было предпринято.
C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039045.exe (Rootkit.0Access) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\background.html (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\pmholphmkflmlgknogfaflfkknjegfje.crx (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\settings.ini (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\uninstall.exe (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\jsondb.js (PUP.BFlix) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} (PUP.BFlix) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

[alex_sev]

Если сами не ставили тулбар TheBflix то удалите вот эти строки:

Код:

C:\Documents and Settings\All Users\Application Data\TheBflix (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\background.html (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\pmholphmkflmlgknogfaflfkknjegfje.crx (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\settings.ini (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\uninstall.exe (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\content.js (PUP.BFlix) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\TheBflix\data\jsondb.js (PUP.BFlix) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} (PUP.BFlix) -> Действие не было предпринято.

Этот файл в карантине AVZ и более не опасен:

Код:

C:\Documents and Settings\Admin\Рабочий стол\avz4\avz4\Quarantine\2012-05-28\avz00001.dta (Rootkit.0Access) -> Действие не было предпринято.

Этот файл корректнее удалить таким образом

Код:

C:\System Volume Information\_restore{E75B8668-E2AA-4676-BACC-2FA16259C640}\RP141\A0039045.exe (Rootkit.0Access) -> Действие не было предпринято.

Если не настраивали сами скрытие моего компьютера и моих документов в стартовом меню то удалите и эти строки:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

Подготовьте такой лог

[Samarinai]

Удалила. Лог во вложении.

[alex_sev]

Обновите до последних версий Java и Firefox

Смените все важные пароли.

Как самочувствие системы?

[Samarinai]

Обновила, IE тоже обновить с официального сайта, если порой именно он мне нужен?

Цитата alex_sev:

Смените все важные пароли »

А с какой целью? Спрашиваю, чтобы понять какие из них важные.

Про само чувствие позже отпишусь - нужно понаблюдать.

[Samarinai]

В диспетчере задач она (он? ) показывает загрузку ЦП на 100%. Кажется, с того момента, как я запускаю браузер. Но, кажется, реальную картину это теперь не отображает. Пробую разное..

[iskander-k]

Цитата Samarinai:

А с какой целью? Спрашиваю, чтобы понять какие из них важные. »

У вас система была заражена вирусом ворующего пароли. Поэтому смените все пароли которые используете в интернете - онлайн-банк, учетки на форумах, одноклассники и так далее.

Цитата Samarinai:

показывает загрузку ЦП на 100%. Кажется, с того момента, как я запускаю браузер. »

В момент запуска браузера или другого ПО нагрузка того или иного процесса может подскакивать до 100 %

[Samarinai]

Цитата iskander-k:

У вас система была заражена вирусом ворующего пароли. »

И можно ли узнать, был сворован и передан пароль к определенной интересующей меня учетной записи и передан куда-нибудь вовне - не имеет значения куда именно, но сам факт такой возможности желательно бы знать...

Цитата:

В момент запуска браузера или другого ПО нагрузка того или иного процесса может подскакивать до 100 %

Да, но он показывает 100% не только в момент нагрузки, но и после. Сейчас, например (при трех открытых вкладках в IE и Касперском). Это нормально?

По поводу самочувствия - у меня иногда притормаживает IE, когда сейчас набираю текст. Это что-то с интернетом, компьютером или это нормально?

[iskander-k]

Цитата Samarinai:

И можно ли узнать, был сворован и передан пароль »

если система была заражена то пароль уже ушел

Цитата Samarinai:

Да, но он показывает 100% не только в момент нагрузки, но и после. »

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.


потом

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[Samarinai]

Пока он сканирует...

Цитата iskander-k:

если система была заражена то пароль уже ушел »

Я думала, она сначала заражается, а потом пытается достучаться... Извиняюсь, какие именно пароли (к чему)? (спрашиваю не просто из любопытства).

В браузере постоянно выскакивает сообщение "Отображать только безопасное содержимое веб-страниц?" (эта веб-страница содержит элементы, которые не могут быть загружены с помощью безопасного соединения http) на одном адресе (вне зависимости от того, соглашаюсь я или нет) начиная с ввода пароля, но и потом тоже. Это не говорит ни о чем "опасном"? И как можно это отключить, так как оно выскакивает при каждом шаге. Веб-страница очень важная.