Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Обнаружен UDS:DangerousObject.Multi.Generic!!! (http://forum.oszone.net/showthread.php?t=204732)

A_kitten 14-04-2011 05:15 1657852
Обнаружен UDS:DangerousObject.Multi.Generic!!!
 
KIS 2011 обнаружил Неизвестную угрозу UDS:DangerousObject.Multi.Generic. Количество троянов на компьютере постоянно растет. Параллельно еще ругался на c:\windows\ggdrive32.exe - HEUR:Worm.Win32.Generic. Запустила полную чистку Касперским, работает больше 15 часов уже. Утилита DrWeb CureLt от 13 апреля не стартует, толи битый файл, толи вирусы его блокируют. Что с этим делать? Логи прилагаю. Спасибо.

A_kitten 14-04-2011 10:23 1657973
Сегодня скачала свежий DrWeb CureLt, запустился и работает. Подозрение вызывают файлы с расширением "exe" в папке "C:\Documents and Settings\Administrator\Local Settings\Temp", которые не поддаются "тупому" удалению. Слышала, что так могут вести себя вирусы, Что можно сними поделать?

SolarSpark 14-04-2011 10:28 1657977
Обновите Internet Explorer до IE8

Обновляем систему до SP3 + все последние обновления. Service Pack 3 (может потребоваться активация)

сделайте лог RSIT
Скачайте Random's System Information Tool (RSIT).

Для 32-разрядной версии Windows: скачать (зеркало).
Для 64-разрядной версии Windows: скачать (зеркало).
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Как определить разрядность системы

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

что за файлы в папке с расширением "exe" ?? имена в студию

A_kitten 15-04-2011 10:43 1658792
День добрый!
Утилита DrWeb CureLt отработала и сообщений об обнаруженных вирусов не дала.
Касперский (лицензионный) опять обнаруживает "толпы" троянов (350) и вирусов (110), это видно из отчетов.
"что за файлы в папке с расширением "exe" ?? имена в студию" - сегодня этих файлов уже не обнаружила, но напрягает файл с именем ms2.exe в папке "C:\Documents and Settings\Материалист" (Материалист - имя учетной записи пользователя).
Касперский ругается на файлы с расширением "exe" в папке "C:\Documents and Settings\Материалист", я эту папку открываю а файлов заданного имени из отчета Касперского не нахожу. Вот я и думаю, не является ли автором этих зараженных файлов файл ms2.exe?
IE обновила до версии 8.
Обновила систему до SP3.
Сделала лог RSIT. протоколы прилагаю.
Выполнила MBAM с обновленными базами.
Прилагаю все протоколы и новые с AVZ.

A_kitten 15-04-2011 10:44 1658795
Еще один файл.

SolarSpark 15-04-2011 11:04 1658819
Цитата:
Цитата A_kitten
Касперский (лицензионный) опять обнаруживает "толпы" троянов (350) и вирусов (110), »
что за вирус, название из отчета приведите

A_kitten 15-04-2011 11:17 1658833
Привожу протокол из Каспера.

A_kitten 15-04-2011 11:22 1658840
Вчера запускала полную проверку из Каспера, вышел очень миленький протокол "Угроз не обнаружено", а глядя на то, что говорят сегодня отчеты, то там все просто кишит червями...

SolarSpark 15-04-2011 11:25 1658842
Цитата:
Цитата A_kitten
Обновила систему до SP3. »
а все последующие обновления для ОС выполнили?
без этого лечение сетевого червя малоэффективно

Цитата:
напрягает файл с именем ms2.exe
этот файл на http://www.virustotal.com
ссылку на проверку сюда

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\21.exe','');
 DeleteFile('C:\WINDOWS\System32\21.exe');
 DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip при помощи этой формы

Что-то в нашем случаем логи малоинформативны..
давайте так

В обязательном порядке
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

A_kitten 15-04-2011 11:51 1658870
Ссылку после проверки на http://www.virustotal.com
http://www.virustotal.com/file-scan/...7df-1302852933
Остальное продолжаю выполнять.

A_kitten 15-04-2011 13:27 1658950
Восстановление системы у меня было отключено.
Все выполнила. Прилагаю протокол ComboFix.

A_kitten 15-04-2011 13:29 1658951
Прилагаю протоколы ComboFix.

SolarSpark 15-04-2011 13:47 1658970
Обновления для SP3 поставили?

OJSC Sibirtelecom - ваш провайдер?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\002706_.tmp

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

каковы изменения в самочувствии?

A_kitten 15-04-2011 13:58 1658977
OJSC Sibirtelecom - да наш провайдер.
Остальное с утра в понедельник, рабочий день закончился. Спасибо. И.

"каковы изменения в самочувствии?" - Проблем именно с этой машиной не наблюдалось, напугал Касперский своим протокол, а начали проверять все машины в сети после того, как комп-сервер с базами по 1С стал периодически пропадать из "сетевого окружения", закрывать к себе доступ и также неожиданно вдруг объявляться. Вот такие проблемы.

SolarSpark 15-04-2011 14:19 1659000
до понидельника..
сколько компов в сети?
главный комп отключить от сети и пролечить
один комп-одна тема

A_kitten 18-04-2011 06:55 1660663
День добрый! Windows До SP3 обновила. Запустила ComboFix.exe с "наложенным" CFScript.txt. Отработал как-то коротко, файла отчета не нашла, но пока искала обнаружила папку C:\ComboFix с файлом pev.exe от 26 апр 2011г. Проявила инициативу и отправила файл на диагностику на сайт www.virustotal.com. Вот результат http://www.virustotal.com/file-scan/...7d0-1303094764
Сейчас повторю ComboFix.exe с "наложенным" CFScript.txt. Результат сообщю.

A_kitten 18-04-2011 07:59 1660676
День добрый!
Компов в сети 8. Один из них работает, как "Удаленное рабочее место" специалиста, который сидит в другом офисе за 200 км. Доступ через инет. Именно с этим компьютером и проблемы, о которых вещает нам Касперский. Сегодня с утра за короткий срок отловил и троянов и вирусов (130 шт. всего) за короткий промежуток. И не дает сообщение, что пролечено либо удалено, только Обнаружено. Попытка пройти по ссылке на папку. в которой обнаружено, говорит, что не нашла такого пути... В чем прикол, не пойму, может уже Касперу писать?
Первая попытка запустить ComboFix с наложенным файлом не увенчалась успехом. Переименовала ComboFix.exe в Temp.exe. Все отработало, протокол прилагаю.
"главный комп отключить от сети и пролечить" - лечила, правда "не отключала", создавала отдельную тему, но специалисты ничего в протоколах такжк не обнаружили.
Сегодня на ночь отрублю от сети и снова запущу диагнстику. Чем лучше посоветуете сканить. На нем стоит лицензионный Каспер.
Спасибо.

A_kitten 18-04-2011 08:00 1660677
"обнаружила папку C:\ComboFix с файлом pev.exe от 26 апр 2011г." - извините 2010г.!!!!

SolarSpark 18-04-2011 13:08 1660889
Цитата:
Цитата A_kitten
Чем лучше посоветуете сканить »
утилитой Dr.Web CureNet! - сканирует всю сеть разом, но она платная
а из бесплатных попробуйте Dr.Web LiveCD с обязательным отключением от сети

Цитата:
Цитата A_kitten
День добрый! Windows До SP3 обновила »
а все последующие обновления поставили?

Цитата:
Цитата A_kitten
C:\ComboFix с файлом pev.exe »
это от ComboFix

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\windows\002706_.tmp

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

SolarSpark 18-04-2011 17:06 1661067
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите [b]Clean up[/B

Каспер ругается на зловредов, сидящих в папках "корзина" и "system volume information\_restore" (точки восстановления), поэтому

Еще раз повторяюсь:

В обязательном порядке
Создайте новую контрольную точку восстановления и очистите заражённые:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

+

Очистите кэш память браузеров.
в Internet Explorer - открыть окно браузера и выбрать «Инструменты» из меню на верхней панели, выбрать «Параметры Интернета» (последняя опция в списке).
находим кнопку «Удалить файлы». Щелкните по этой кнопке, затем отметьте «Удалить содержимое», затем нажимаем «Готово». Когда операция будет закончена, щелкните «Готово» и закройте окно панели управления.
Opera
Откройте браузер, выберите «Инструменты» из меню на верхней панели и наведите курсор на «Предпочтения», щелкните по опции «История и кэш память» нажмите «Очистить немедленно», по окончании операции щелкните «Готово» и закройте окно браузера.
Firefox
откройте окно браузера Firefox и щелкните «Инструменты» - «Опции», щелкните на иконке «Конфиденциальность». нажмите кнопку «Очистить», щелкните «Готово» и закройте окно браузера.

далее повторите логи RSIT, MBAM

Если антивирус после проведенных выше телодвижений снова будет ругаться на "130 вирусов" приведите свежий отчет Касперского.

A_kitten 19-04-2011 13:34 1661693
День добрый!
"а все последующие обновления поставили?" - Да, через сайт Microsoft.
Файл ComboFix прилагаю.
Деинсталлировала ComboFix.
Выполнила OTC и Rsit, прилагаю протоколы.
"Каспер ругается на зловредов, сидящих в папках "корзина" и "system volume information\_restore" - мне самой не понятно эта проблема, я делала все по инструкции. Я даже отключала "создание восстановление системы на всех дисках" в "Свойствах" "Моего компьютера", но при просмотре папки "system volume information\_restore" через Far я не могу почистить файл ISwift3.dat от 13 апреля 2011г. Именно этот файл я удалить не могу, а остальные удаляются без проблем.
"Очистите кэш память браузеров" - выполнила.
"MBAM" - выполнила. Протокол прилагаю.
Также прилагаю протокол Касперского.
Спасибо.

SolarSpark 19-04-2011 14:39 1661727
Цитата:
Цитата A_kitten
Именно этот файл я удалить не могу, »
и не надо, этот файл создаёт драйвер KLIF.SYS Касперского

проверимся на руткиты
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты

iskander-k 19-04-2011 23:30 1662007
Скачайте на заведомо рабочем компьютере один из предоставленых загрузочных дисков Dr.Web LiveCD, Лаборатории Касперского, Live CD Vba32 Rescue, Avira GmbH, запишите образ на CD-диск, загрузитесь с него и проверьте компьютер из-под выбраного LiveCD. Если по каким-то причинам(маленькая скорость или лимитный интернет) у вас не будет возможности скачать загрузочные образы, можно скачать CureIT или Kaspersky Virus Removal Tool, также на здоровом компьютере и запишите на флешку, после записи, установите флешку в защиту от перезаписи и проверьте компьютер утилитами.

A_kitten 20-04-2011 08:48 1662138
День добрый!
Для SolarSpark - Выполнила.
"При появлении окна с сообщением о деятельности руткита..." Дополнительных окон с обнаруженными руткитами и предложением что-то ответить" не было.
Скан выполнила, логи прилагаю.
" При появлении окна с сообщением о деятельности руткита, нажмите OK." - Никаких окон не было.
Прилагаю также утренний протокол Каспера.
Для iskander-k, скачивала и проверяла с помощью Dr.Web LiveCD и CureIT. Протоколы чистые, Если надо, то выложу, где еще искать?

SolarSpark 20-04-2011 11:41 1662253
Добрый день. A_kitten, чисто в гмер, он нам не помог

Для деинсталяции Gmer используйте следующие рекомендации:
Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

Далее, вопрос: В настройках антивируса выставлено лечение/удаление или только обнаружение?

Все таки продолжаю думать, что заражена вся сетка из 8 компьютеров, оттуда и идет перезаражение.
Настаиваю на лечении каждого компьютера по отдельности с отключением от сети или всей сети разом (утилиту давала).

Отключаем в обязательном порядке автозапуск со всех дисков, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000DF

A_kitten 20-04-2011 12:11 1662269
Продолжаю.
Файла gmer_uninstall.cmd в папке C:\WINDOWS\ не нашла, смотрела через проводник и Far.
"В настройках антивируса выставлено лечение/удаление или только обнаружение?" - в KIS везде стоит "Выбирать действие автоматически", а в отчетах в графе "Дествие" - ничего, т.е. сообщение, что "Обнаружено" и никакой дальнейшей обработки. Сейчас я установила "Лечить, Удалять неизлечимые".
"Настаиваю на лечении каждого компьютера по отдельности с отключением ", соглашусь. Сегодня на ночь постараюсь оставить все машины на проверку CurelT, предварительно отключив их отсети. Автозапуск отключен.
Сегодня на 15-00 KIS обнаружил только 140 заразок, приятно, что статистика падает. Спасибо. Завтра отпишусь.

SolarSpark 20-04-2011 12:34 1662282
Цитата:
Цитата A_kitten
Автозапуск отключен. »
я так не думаю
Цитата:
Мастер поиска и устранения проблем
>> Разрешен автозапуск со сменных носителей
примените рекомендуемый мною твик реестра

Цитата:
Цитата A_kitten
Сейчас я установила "Лечить, Удалять неизлечимые". »
вот и причина хотьбы по кругу с инфекцией

Цитата:
Цитата A_kitten
Сегодня на ночь постараюсь оставить все машины на проверку CurelT »
ждем результаты

Памятка для работы в интернете (принципы защиты корпоративных сетей и ПК в частности)

*Для защиты рабочих станций можно принимать такие меры, как установка антивирусных программ (антивирусов), жесткий контроль за новыми программами с помощью антивирусов. Задача предотвращения распространения вирусов с одной рабочей станции на остальные решается прежде всего правильной организацией доступа пользователей к сетевым ресурсам.

*В централизованных сетях необходимо защищать от проникновения вирусов, с одной стороны, рабочие станции, с другой – файл-серверы. Защита файл-сервера может выполняться как административными мерами, так и с помощью специальных антивирусных программ, работающих в среде сетевой операционной системы.

*В комбинированных сетях административные меры подразумевают правильное распределение прав доступа пользователей к сетевым каталогам, расположенным на дисках сервера. Необходимо также принимать специальные меры предосторожности при подключении к сети пользователей с правами администратора, так как администраторы имеют права на запись в любые каталоги.
Здесь вирусы могут распространяться как непосредственно между рабочими станциями, так и через диски серверов. При этом вирусы могут попадать на диски, доступные для записи, или могут пытаться подобрать пароли для получения доступа к дискам, защищенным от записи.
Тем не менее, можно и нужно создать мощную защиту, если позаботиться о правильном распределении прав доступа к сетевым каталогам. В частности, следует защитить от записи каталоги с программами, которые доступны для запуска всем пользователям.

*Определяемся с отключением автозапуска с носителей и выбором антивирусного ПО и firewall.
Антивирусы защищают сеть от вирусов, a firewall обороняет периметр сети от проникновения злоумышленников извне и отправки ложных данных изнутри. По принципам работы firewall напоминает дверь, через которую пропускается строго определенная информация.
Межсетевые экраны особенно необходимы в том случае, когда в компании работает собственный почтовый сервер и web-сервер.
Следить за своевременностью полных проверок и обновлением баз антивируса.

*По возможности не работать с правами администратора.
*Пароль админа должен содержать не менее 10 символов, пользователя - не менее 6.
*В настройках проводника - свойства папки- вид - снять галку "скрывать расширение зарегистрированных типов файлов".
*При работе в сети любые скаченные файлы из интернета подвергать проверке антивирусным ПО.
*Не скачивать обновления ОС и программ, установленных на вашем компьютере с сайтов отличных от сайтов производителей.
*Не посещайте сайты сомнительного и откровенно рекламного содержания.
*Никогда не открывайте ссылки или файлы, пришедшие по почте, если их получение вами не подтверждено отправителем.
*Никогда Не заходите (тем более на работе) в социальные сети (Вконтакте, Одноклассники и т.д.) через ссылки, пришедшие по почте.
*При использовании Internet Explorer отключить в нем ActiveX и настроить безопасность.
*При использовании Firefox пользоваться плагином NoScript.
*При пользовании флешнакопителями удостоверяемся в их безопасности.
________________________________________________
P.S. этот список рекомендаций, конечно, не полный.
Эти элементарные правила безопасности необходимо выполнять и следить за выполнением правил другими участниками сети.

A_kitten 22-04-2011 06:17 1663609
День добрый! Проверила все (8) машины свежескачанной DrWeb CureIt. Три дали сообщение о том, что файл HOST модифицирован с предложением его восстановить. Везде восстановила этот файл, протоколы на всех машинах сообщили, что "Вирусы не обнаружены".
Изменение параметров на "Лечить, удалять неизлечимые" ситуацию не изменило, KIS сигналит об обнаруженных, но графа "Действие" чистая. Пока больше добавить нечего.

thyrex 22-04-2011 08:58 1663656
1. Отключите самозащиту в антивирусе: Настройка - Параметры - Самозащита - уберите галку с Включить самозащиту.
2. Выгрузите антивирус из памяти
3. Зайдите в папку C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP11\Report и удалите файлы detected.idx и detected.rpt
4. Перезапустите антивирус
5. Включите самозащиту

Проблема решена?

SolarSpark 22-04-2011 09:06 1663660
Добрый.

Если проблема не решится после настроек Антивируса от thyrex


Цитата:
Цитата A_kitten
Три дали сообщение о том, что файл HOST модифицирован »
на этих трех
Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
  1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
  2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
  3. нажмите No, если вы хотите оставить ваши сохраненные пароли
  4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
  5. нажмите No, если вы хотите оставить ваши сохраненные пароли

Чистим именно так, а не ручками

Проверяем наличие IE8 и SP3. Service Pack 3 (может потребоваться активация)

Если не стоят-устанавливаем и обновляем.

Теперь там, где ругается Каспер

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
procedure ClearSystemRestore;
var
  Script: TStringList;
  winName: string;
begin
  if IsNT then
    begin
      winName := UpperCase(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion', 'ProductName'));
      case (Pos('WINDOWS VISTA', winName) > 0) or (Pos('WINDOWS 7', winName) > 0) of
        True:
          begin
            ExecuteFile('wmic', 'shadowcopy delete', 0, 60000, False);
            ExecuteFile('wmic', '/Namespace:\\root\default Path SystemRestore Call CreateRestorePoint "PointSafeZone", 100, 12', 0, 60000, False);
          end;
        False:
          begin
            Script := TStringList.Create;
            Script.Add(
              'Set objSR = GetObject("winmgmts:\\.\root\default:SystemRestore")' + #13#10 +
              'dResult = objSR.Disable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'eResult = objSR.Enable("")' + #13#10 +
              'WScript.Sleep 5000' + #13#10 +
              'Set wshEnv = CreateObject("WScript.Shell").Environment("Process")' + #13#10 +
              'sysDrive = wshEnv("SYSTEMDRIVE")' + #13#10 +
              'Set objWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")' + #13#10 +
              'For Each objDisk In objWMI.ExecQuery("Select DeviceID From Win32_LogicalDisk Where DriveType = 3")' + #13#10 +
              'If objDisk.DeviceID <> sysDrive Then objSR.Disable objDisk.DeviceID & "\"' + #13#10 +
              'Next');
            Script.SaveToFile('ClearSR.vbs');
            ExecuteFile('wscript.exe', 'ClearSR.vbs', 0, 60000, True);
            DeleteFile('ClearSR.vbs');
            ClearLog;
            Script.Free;
          end;
      end;
    end;
end;

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\nddwqfw1.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041543.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041544.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041545.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041547.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041546.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043681.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043684.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043685.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043687.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043682.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043689.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043683.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043688.exe','');
QuarantineFile('C:\xdx.exe','');
QuarantineFile('C:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\1kpyocff\ms96[1].exe','');
QuarantineFile('C:\documents and settings\материалист\bnet.exe/PE_Patch/UPX','');
QuarantineFile('C:\documents and settings\материалист\serv.exe/PE_Patch/UPX','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043680.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043679.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043676.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043675.exe','');
QuarantineFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp291\a0043673.exe','');
QuarantineFile('C:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\newdqw1.exe','');
QuarantineFile('C:\new1.exe','');
QuarantineFile('C:\ndqw1.exe','');
QuarantineFile('C:\ndqfw1.exe','');
QuarantineFile('C:\documents and settings\материалист\serv8.exe','');
QuarantineFile('C:\documents and settings\материалист\mss.exe','');
QuarantineFile('C:\documents and settings\материалист\ms.exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\xxudv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\t209[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\sword[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\serv8[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\ms[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\dq[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\xxudv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\t173[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\serv8[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\ms2[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\lmq[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\bnet[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\ms[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\mix[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\gamez[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\dq[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\xudv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[2].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t50[1].exe','');
QuarantineFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t122[1].exe','');
QuarantineFile('C:\documents and settings\материалист\hddd.exe','');
QuarantineFile('C:\documents and settings\материалист\hdcd.exe','');
QuarantineFile('C:\documents and settings\материалист\few.exe','');
QuarantineFile('C:\documents and settings\материалист\dq.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1214\t7vd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-9043\jwkd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1457\system.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6883\dfe.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-2734\ju7bd.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-8333\lsvb.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\nddwqfw1.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041543.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041544.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041545.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041547.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp232\a0041546.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043681.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043684.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043685.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043687.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043682.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043689.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043683.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043688.exe');
DeleteFile('C:\xdx.exe');
DeleteFile('C:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\1kpyocff\ms96[1].exe');
DeleteFile('C:\documents and settings\материалист\bnet.exe/PE_Patch/UPX');
DeleteFile('C:\documents and settings\материалист\serv.exe/PE_Patch/UPX');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043680.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043679.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043676.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp292\a0043675.exe');
DeleteFile('C:\system volume information\_restore{be7a1bb4-0538-4d98-bd73-70d83f4e8bf4}\rp291\a0043673.exe');
DeleteFile('C:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('C:\newdqw1.exe');
DeleteFile('C:\new1.exe');
DeleteFile('C:\ndqw1.exe');
DeleteFile('C:\ndqfw1.exe');
DeleteFile('C:\documents and settings\материалист\serv8.exe');
DeleteFile('C:\documents and settings\материалист\mss.exe');
DeleteFile('C:\documents and settings\материалист\ms.exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\xxudv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\t209[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\sword[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\serv8[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\ms[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\nafxtjnl\dq[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\xxudv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\t173[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\serv8[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\ms2[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\lmq[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\g5ebglqb\bnet[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\ms[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\mix[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\gamez[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\4penc5iz\dq[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\xudv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[2].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\udv[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t50[1].exe');
DeleteFile('C:\documents and settings\материалист\local settings\temporary internet files\content.ie5\0p6vo5yn\t122[1].exe');
DeleteFile('C:\documents and settings\материалист\hddd.exe');
DeleteFile('C:\documents and settings\материалист\hdcd.exe');
DeleteFile('C:\documents and settings\материалист\few.exe');
DeleteFile('C:\documents and settings\материалист\dq.exe');
ClearSystemRestore;
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы


И отписываемся о самочувствии + новый отчет касперского


Время: 05:24.

Время: 05:24.
© OSzone.net 2001-