Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не удаляется файл. (http://forum.oszone.net/showthread.php?t=202132)

klester 16-03-2011 12:07 1636088
Не удаляется файл.
 
я не могу удалить файл, Этот файл хотел получить доступ к интернету, Я по пытался удалить его но он не удаляется.
По пробЫвал удалить с помощью программы, удалил все что смог удалить, остался тока один файл и его ни как не могу удалить!

yurfed 16-03-2011 12:33 1636111
Цитата:
Цитата klester
По пробЫвал удалить с помощью программы »
Какой программы?
Используйте Unlocker

klester, а это что http://forum.oszone.net/thread-200947.html
Не флудите.

klester 16-03-2011 12:52 1636123
ДА этой программой Unlocker , пробЫвал удалить

verdix 16-03-2011 13:14 1636134
Какое название файла\процесса ?

klester 16-03-2011 13:22 1636139
Название файла "R"

Petya V4sechkin 16-03-2011 14:15 1636191
klester, проверьте файл на VirusTotal или VirSCAN.org

klester 16-03-2011 16:58 1636325
Result:
9/ 41 (22.0%) а вирусы он удаляет?

Petya V4sechkin 16-03-2011 17:02 1636331
klester, переношу тему в Лечение систем от вредоносных программ, выполните эти инструкции.

klester 17-03-2011 17:19 1637168
Вложений: 1
Сделал!

SolarSpark 17-03-2011 17:46 1637188
Доброго дня, пожалуйста, подробнее о проблеме. Что беспокоит?

файла R не наблюдаю..удалили?
В логах чисто..
Кроме
Цитата:
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
ничего плохого не вижу. Перед выполнением логов необходимо обновлять базу утилиты!

Пофиксить в HijackThis следующие строчки:
Код:
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - (no file)
и проверьте на http://www.virustotal.com файл

Код:
C:\Program Files\ConduitEngine\ConduitEngine.dll
ссылку на проверку приведите в своем следующем сообщении

Для контроля выполните лог RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

klester 17-03-2011 18:25 1637215
http://www.virustotal.com/file-scan/...aee-1300375092

klester 17-03-2011 18:54 1637238
Цитата:
Цитата maniy77
подробнее о проблеме. Что беспокоит? »
Дело в том что я не могу удалить файл, а с помощью программы Unlocker не получается .

SolarSpark 17-03-2011 19:03 1637244
а где остальные логи?

Цитата:
Цитата maniy77
Для контроля выполните лог RSIT
+
Скачайте Malwarebytes' Anti-Malware или с зеркала, »
приведите полный путь к файлу R.exe

klester 17-03-2011 19:07 1637249
Он еше сканирует ,

C:\Program Files\mediabar Toolbar
а как сделать лОг Rsit

SolarSpark 17-03-2011 19:22 1637263
Скачайте Icesword или с зеркала
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл R.exe

и C:\Program Files\mediabar Toolbar\rubar.dll:

Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос подтверждения ответьте "да".
Перезагрузите компьютер.

подробнее об удалении в Icesword


Пофиксить в HijackThis следующие строчки:
Код:
       
R3 - URLSearchHook: Searcher Class - {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} - C:\Program Files\mediabar Toolbar\rubar.dll (file missing)
O3 - Toolbar: mediabar - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - C:\Program Files\mediabar Toolbar\rubar.dll (file missing)
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

klester 17-03-2011 19:27 1637268
Цитата:
Цитата maniy77
Скачайте Icesword или с зеркала »
пишет что файл удален

SolarSpark 17-03-2011 19:33 1637271
Цитата:
Цитата klester
пишет что файл удален »
обождите, скриптик напишу

klester 17-03-2011 19:44 1637284
Вложений: 1
Отсканировал

SolarSpark 17-03-2011 19:46 1637285
Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\mediabar Toolbar\rubar.dll','');
 QuarantineFile('C:\Program Files\mediabar Toolbar\R.exe','');
 DeleteFile('C:\Program Files\mediabar Toolbar\R.exe');
DeleteFile('C:\Program Files\mediabar Toolbar\rubar.dll');
DelBHO('{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677}');
 DelBHO('{23DD83B5-BDDC-49CE-B77B-514819C6D551}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Пофиксить в HijackThis следующие строчки, если таковые будут:
Код:
       
R3 - URLSearchHook: Searcher Class - {C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} - C:\Program Files\mediabar Toolbar\rubar.dll (file missing)
O3 - Toolbar: mediabar - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - C:\Program Files\mediabar Toolbar\rubar.dll (file missing)
Удалите в МВАМ

Цитата:
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> No action taken.

Заражённые папки:
c:\program files\VVSN (Adware.WhenU) -> No action taken.
c:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.

Заражённые файлы:
c:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
Вот этот файл c:\WINDOWS\system32\drivers\Oreans.sys на http://www.virustotal.com
ссылку сюда

klester 17-03-2011 19:52 1637291
Вложений: 2
Вот лог

klester 17-03-2011 20:09 1637308
Цитата:
Цитата maniy77
Вот этот файл c:\WINDOWS\system32\drivers\Oreans.sys »
У меня нет этого файла

SolarSpark 17-03-2011 20:21 1637319
Цитата:
Цитата klester
У меня нет этого файла »
как правильно найти файлы..

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\msdownld.tmp','');
 DeleteFile('C:\Windows\msdownld.tmp');
DeleteFile('C:\Program Files\mediabar Toolbar\RubarUpdateService.exe');
 DeleteService('Rubar Update Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

Код:
C:\WINDOWS\system32\XDva383.sys
проверить на http://www.virustotal.com

вижу карантин Combofix. Для чего применяли? Лог приложите

klester 17-03-2011 20:47 1637348
С помощью Avz не нашел

Да я первый раз вижу это Combofix

SolarSpark 17-03-2011 20:51 1637354
проблема осталась? тулбар ваш удалили
повторите лог HijackThis

klester 17-03-2011 21:01 1637370
Вложений: 1
Повторил лог

SolarSpark 17-03-2011 21:02 1637372
Пробуйте искать запрашиваемый файл, применив в настройках вида папок Сервис-Свойства папки-Вид:
1.Снять галочку "Скрывать защищенные системные файлы" (Файлы и папки)
2.Выбрать "Показывать скрытые файлы и папки" (Скрытые файлы и папки)

Oreans.sys от XPROTECTOR.. Сами устанавливали 10 дней назад?

klester 17-03-2011 21:14 1637389
у меня вопрос...
А в этих файлах вирусы?

Цитата:
Цитата maniy77
Oreans.sys от XPROTECTOR.. »
где вы эти файлы находите, я не помню что это за файлы, и не могу их найти

SolarSpark 17-03-2011 21:23 1637394
Цитата:
Цитата klester
у меня вопрос...
А в этих файлах вирусы? »
они без подписи Copyright.. как видите, происхождение их неизвестно-необходимо их проверить на зловредность на http://www.virustotal.com

klester 17-03-2011 21:33 1637400
я ппросканировал C:\WINDOWS\system32\ нод'ом 32 в журнал сканирования выдало
"C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\SU7TXAYM\update_mediabar_setup[1].exe » NSIS » mediabar.xpi » ZIP » components/dllhelper.dll - Win32/Toolbar.Rubar потенциально нежелательная программа - был частью удаленного объекта"
ВЫ наверно это искали или нет?

А если насчет этих файлов то я их немогу найти

C:\WINDOWS\system32\XDva383.sys

c:\WINDOWS\system32\drivers\Oreans.sys

SolarSpark 17-03-2011 21:37 1637411
ищу это)) надо проверить на http://www.virustotal.com
Код:
c:\WINDOWS\system32\drivers\Oreans.sys
C:\WINDOWS\system32\XDva383.sys
"C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\SU7TXAYM\update_mediabar_setup[1].exe » NSIS » mediabar.xpi » ZIP » components/dllhelper.dll - Win32/Toolbar.Rubar потенциально нежелательная программа - был частью удаленного объекта" - а это все удаляйте... остатки not-a-virus:WebToolbar.Win32.Rubar.a

klester 17-03-2011 21:55 1637430
c:\WINDOWS\system32\drivers\Oreans.sys а блин я же проверял на вирусы программмой Malwarebytes' Anti-Malware
он вынес вирусы в этом файле я потом их удалил.

c:\WINDOWS\system32\drivers\Oreans.sys (Backdoor.Trojan) -> Quarantined and deleted successfully.

SolarSpark 18-03-2011 01:35 1637594
о_О, О как...
ну раз более ничего не беспокоит, то пожалуйста, придерживайтесь рекомендаций

Деинсталлируйте MBAM
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer тключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

klester 18-03-2011 07:15 1637665
Огромное Спасибо!!! Я не предстовляю что я делал бы без вас !!!!!


Время: 22:51.

Время: 22:51.
© OSzone.net 2001-