Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус Руссо Туристо! (http://forum.oszone.net/showthread.php?t=140941)

Вредная черепашка 24-05-2009 19:35 1126494
Вирус Руссо Туристо!
 
ТОварищи! Знаю,что про него уже писали, но я обычная юзерша,и мне непонятно даже слово реестр! Поэтому прошу помочь мне удалить со своего компа косяки,которые оставил этот противный вирус: не открываются СВОЙСТВА ПАПКИ и как следствие не вижу скрытые файлы.. Ключ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] у себя не нашла, поэтому прошу ПОМОГИТЕ!!!!!!!!! На компе стоит НОД 32 и Доктор Веб Сканер..

Котяра 24-05-2009 20:56 1126569
http://forum.oszone.net/post-717373-2.html

iskander-k 24-05-2009 23:07 1126688
Выложите логи в соответствии с этими инструкциями.

Вредная черепашка 25-05-2009 19:05 1127318
Вложений: 1
Спасибо огромное за инструкции!! Наконец-то разобралась что к чему и кажется все получилось, хотя делала не по порядку :) :blush:
На всякий случай прикрепляю логи..

Вредная черепашка 25-05-2009 19:11 1127324
Блин, кажется один лог не прикрепился :-)
Вот он

thyrex 25-05-2009 19:23 1127333
По логам ничего зловредного у Вас нет.
Вот Вам информация с ключами реестра и правильными значениями параметров

Если отключена возможность выбора свойств папки
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions"=dword:00000000
или
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000
Если отключено отображение скрытых и системных файлов
Код:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
"SuperHidden"=dword:00000001
Также вирус может изменить ключ "CheckedValue" в ветке
Код:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

Котяра 25-05-2009 19:25 1127336
Выполните скрипт в AVZ:
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\windows\system32\wuauserv.dll','');
 QuarantineFile('C:\DOCUME~1\alisa\LOCALS~1\Temp\mc21.tmp','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.
Файл "quarantine.zip" появится в папке AVZ. Его выслать на koshkin@rbcmail.ru

okshef 26-05-2009 00:39 1127598
Цитата:
Цитата Вредная черепашка
На компе стоит НОД 32 и Доктор Веб Сканер »
определитесь с выбором

Вредная черепашка 26-05-2009 17:57 1128060
Всем огромное спасибо за помощь! Все заработало, вирусов больше нет.. Остался только маленький вопрос - почему НОД 32 Бизнес-Версия не увидел этот вирус, когда я открывала флэшку?((( Я на этот антивир так нарадоваться не могла )))

Котяра 26-05-2009 18:02 1128063
Цитата:
Цитата Вредная черепашка
почему НОД 32 Бизнес-Версия не увидел этот вирус, когда я открывала флэшку? »
В его базе отсутствовали записи для удаления этого вируса.
Правда, в архив не попала копия файл "mc21.tmp". Поищите этот файл в папке C:\Documents and Settings\alisa\Local Settings\Temp, если найдете - пришлите на koshkin@rbcmail.ru

Вредная черепашка 27-05-2009 19:04 1128891
Нет, этот файл я не нашла ((( Его у меня почуму-то нет.. Что бы это могло значить?

okshef 27-05-2009 19:33 1128914
Отобразите показ скрытых и системных файлов: пример. Картинка от Se7en, но по аналогии разберетесь

Вредная черепашка 28-05-2009 20:50 1129737
У меня и так они отображены.. Я и в скрытых искала...Нету (((

Pili 29-05-2009 13:03 1130227
Вредная черепашка, У вас проблемы ещё какие-то наблюдаются? Если да, сделайте новые логи полиморфным AVZ, не забудьте включить AVZM (см. правила)

Вредная черепашка 29-05-2009 22:09 1130629
Нет, спасибо, проблем больше нет )))) Пока...Тьфу-тьфу... Хочу теперь спросить как сделать так,чтобы НОД 32 Бизнес-Версия увидел бы в следующий раз такой вирус как Руссо Туристо?

DJ Mogarych 30-05-2009 12:35 1130883
Обновлять хотя бы антивирусные базы ежедневно.

Pili 30-05-2009 13:09 1130909
Цитата:
Цитата Вредная черепашка
как сделать так,чтобы НОД 32 Бизнес-Версия увидел бы в следующий раз такой вирус как Руссо Туристо? »
отправить зараженные файлы в вирлаб ESET samples@esetnod32.ru; samples@eset.com (отправлять в запароленном архиве, пароль infected) - http://www.esetnod32.ru/support/newvirus.php

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Firefox c плагином NoScript и AdBlock Plus
Рекомендую также использовать McAfee SiteAdvisor
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ
Чистого вам интернета!

Вредная черепашка 30-05-2009 18:39 1131089
СПАСИБО!


Время: 05:37.

Время: 05:37.
© OSzone.net 2001-