[alex_sev]

Это для чего указано думаете?

Цитата alex_sev:

обновите базы, выберите "Perform Full Scan" ("Полное сканирование") »

[Jensen_C]

Доброго вечера. По вашим советам все сделал, скрипты, логи. Скрипт дали суперский, он видел вирус и отменил авторан со сьемных носителей.

[alex_sev]

Повторите сканирование в MBAM если его закрыли и удалите только следующие объекты:

Код:

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WEBALTASERVICE (Adware.Webalta) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.

Как самочувствие системы?

[Jensen_C]

Сканирование выполнял в безопасном режиме около часа, т.к. в обычном произошла какая-то ошибка. Вручную может шарахнуть или все же через MBAM?
В реестре HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run перестала выползать гадость с окончанием .ехе, до скрипта была аж в двух вариантах. Вчера я ее удалял, но после перезагрузки появлялась вновь, сейчас не появляется....флешку боюсь вставлять))))))
Да,и если в MBAM, то номер 1 на диске С?

[alex_sev]

Можете и так шарахнуть, если опыта хватит ветку реестра удалить.

Флешку подключайте без боязни, автозапуск мы отключили, но ничего не ней не запускайте те же самые ярлыки вместо папок ведут к запуску червя.

Скопируйте следующий текст в Блокнот и сохраните, как run.cmd:

Код:

attrib -S -H /D /S

скопируйте файл run.cmd в корень флешки и запустите

Внимание не запускайте этот файл, когда он находится на жестком диске

[Jensen_C]

Цитата alex_sev:

Можете и так шарахнуть, если опыта хватит ветку реестра удалить. Флешку подключайте без боязни, автозапуск мы отключили, но ничего не ней не запускайте те же самые ярлыки вместо папок ведут к запуску червя. Скопируйте следующий текст в Блокнот и сохраните, как run.cmd: Код: attrib -S -H /D /S скопируйте файл run.cmd в корень флешки и запустите Внимание не запускайте этот файл, когда он находится на жестком диске »

С реестром я немного дружу. По поводу ярлыков я уже в курсе, еще до регистрации на форуме прочитал на разных сайтах. Нус, щас продолжу....
Так, из реестра вебальта не удаляется. Пишет ошибка при удалении. Я эту вебальту убил еще пол года назад, вместе с smaxxi.biz и еще чем-то, этож навязчивый поисковик, но он уничтожен и вообще занес в черные списки браузеров, может просто хвост остался...

[alex_sev]

Цитата Jensen_C:

Так, из реестра вебальта не удаляется »

Давайте тогда часть хвостов сейчас еще подчистим:

Сделайте 3 лога:

HiJackThis - http://forum.oszone.net/thread-177677.html

Далее:

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Далее:

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

[Jensen_C]

С хвостами безоговорочно продолжим.
Нус, щас продолжу по русскилу....
И так:
Флешка номер раз на 256мб. Обнаружена зловредная папка ресайкл с ее ярлыком, видимо со вчерашнего дня остаток, обоих снес в пыль. КМДфайлик остался, который скидывает параметры папок (о чем вы писали выше).
Флешка номер два на 2Гб. Все тоже самое, остатки этой дряни, порезали насмерть. Заветный файлик кмд будет жить и на ней дальше, а то малоли.
Флешка номер три на 4Гб. А нету хвостов. Ей повезло больше всех вчера, т.к. один раз снес ресайкл с бактерией и больше на нее не попало. Кмд файл оставлю жить и там.
Примечательно, что MBAM в упор не видит вирус "бэкдор.вин32.русскилл", впрочем как и зайцев, доктор веб куреит, аваст итд...А это не есть хорошо. Ну зайцеву я отправил конечно вирус на изучение, посмотрим, что будет в будущем. В инете где-то писали, что KIS вроде как видит вируса этого и даже справляется с ним. Одно могу сказать, похоже вирус убит вашим скриптом для Зайцева! В чем его секрет?
P.S. Еще примечательно, что открываются страницы антивирей, сейчас качну хайджек и будем чистить хвосты :-)

[alex_sev]

Цитата Jensen_C:

В чем его секрет? »

то что не видно на автомате - видно глазами. Не беспокойтесь, по вирлабам ваш файл разослал, на днях добавят.

Касперский действительно его знает, ну и у меня на домашнем компе Norton его сразу прибил)))

[Jensen_C]

Просто я имел в виду, что этот скрипт надо же как-то было создать? Наверное есть смысл докинуть его в авз, чтоб был как инструмент в случае чего. Кстати, русс.килл еще не позволяет сделать отключение флешки, он ее занимает просто.
Я пока тут разбираюсь с хайджеком и остальным, можете ли посоветовать, какой антивир поставить для реального времени, а то я аваст поставил и не знаю даже...лучшебы что поэффективнее конечно, ну и файерволл какой? у меня сейчас стоит kah 1.9.4.0 на инглише без перевода, атаки отражает вроде.