Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Ошибка при подключении любой флешки (http://forum.oszone.net/showthread.php?t=239589)

romalex 30-07-2012 10:28 1961382
Ошибка при подключении любой флешки
 
Вложений: 1
Доброго утра всем!
Некоторое время назад начала появляться ошибка при подключении любой флешки - скрин прилагаю. Нажимаю раза3-4 отмена, все пропадает, пишет Error 21 и запускает флешку. Это окно очень раздражает. Ошибка я так понимаю связана с дисководом флоппи. Что сделать, чтобы убрать ошибку?

http://forum.oszone.net/attachment.p...1&d=1343629672

rover_61eg 30-07-2012 18:29 1961653
А не вирус ли у Вас, каой нибудь древний, который пытается что-то записать в загрузочную область флопаря?
Неужели вы действительно ещё используете флоппи-дисковод? Если нет то лучше отключить его контроллер в диспетчере устройств и (или) снять разъём питания.

зы: флешке какую букуву присваивает система?

romalex 30-07-2012 19:43 1961711
Я его не использую, он в системнике с 2006 года стоит.
Флешке присваивает система свободную букву(например K,L или М)
Нод 32 не ругается.

rover_61eg 30-07-2012 21:16 1961751
Цитата:
Цитата romalex
Я его не использую, он в системнике с 2006 года стоит »
Тогда тем более нужно отключить.
нет диска А:- нет проблемы.

Ment69 31-07-2012 05:12 1961871
rover_61eg, Вирусы у вас в системе! Какой то процесс пытается флопп опрашивать.

rover_61eg 31-07-2012 07:30 1961885
Цитата:
Цитата Ment69
Вирусы у вас в системе! »
Да ну...я же вопросы не задаю о проблемах?
Так что луше следите за своей системой.
И какой такой процесс, при вставлении флешки опрашивает дисковод ?

Ment69 31-07-2012 07:53 1961890
Цитата:
Цитата rover_61eg
И какой такой процесс, при вставлении флешки опрашивает дисковод ? »
Вы заголовок окна прочли? taskhost.exe Возможно это Win32/Spy.Shiz.NCE

romalex 31-07-2012 09:29 1961922
Ment69, как можно разрешить эту проблему? Только флоппи отключить?
Раньше все нормально было! Подскажите пожалуйста!

Ment69 31-07-2012 09:51 1961931
Цитата:
Цитата rover_61eg
Да ну...я же вопросы не задаю о проблемах? »
извините ошибся.
Цитата:
Цитата romalex
как можно разрешить эту проблему? »
Флоппи в биосе отключить, систему вылечить от вирусов.

Лечение систем от вредоносных программ

rover_61eg 31-07-2012 11:45 1962012
Цитата:
Цитата Ment69
извините ошибся. »
:Beer:

romalex 05-08-2012 10:18 1964903
Просканировал утилитой HijackThis и утилитой avz4.
Логи прилагаю.
Подскажите что делать и как вылечить систему?

Ment69 05-08-2012 14:16 1965028
Тема перенесена из "Железа"

thyrex 05-08-2012 14:36 1965036
Лог HiJack не прикрепили

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\windows\temp\taskhost.exe');
 QuarantineFile('c:\windows\temp\taskhost.exe','');
 DeleteFile('c:\windows\temp\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TaskHost');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

romalex 05-08-2012 21:22 1965202
Отправил файл по ссылке..
Добавил новые файлы.

Лог HiJack не хочет прикрепляться, сайт ругается на расширение log.

thyrex 06-08-2012 01:06 1965271
Смените расширение лога HiJack на .txt

А вообще по правилам нужен лог RSIT

romalex 06-08-2012 10:00 1965365
лог RSIT прилагаю.

romalex 06-08-2012 10:01 1965366
Вложений: 2
http://forum.oszone.net/attachment.p...1&d=1344232880

http://forum.oszone.net/attachment.p...1&d=1344232880

alex_sev 06-08-2012 10:41 1965403
Пофиксите в HJT:

Код:
O1 - Hosts: 217.73.58.189 yahoo.com
O1 - Hosts: 217.73.58.189 go.mail.ru
O1 - Hosts: 217.73.58.189 nova.rambler.ru
O1 - Hosts: 217.73.58.189 bing.com
O1 - Hosts: 217.73.58.189 start.qip.ru
O1 - Hosts: 217.73.58.189 webalta.ru
O1 - Hosts: 217.73.58.189 home.webalta.ru
O1 - Hosts: 217.73.58.189 start.webalta.ru
O1 - Hosts: 217.73.58.189 www.webalta.ru
O1 - Hosts: 217.73.58.189 smaxi.net
O1 - Hosts: 217.73.58.189 smaxi.biz
O1 - Hosts: 217.73.58.189 www.smaxi.net
O1 - Hosts: 217.73.58.189 www.smaxi.biz
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

romalex 08-08-2012 12:29 1966767
Вложений: 2
Пофиксил! Спасибо, окна исчезли!!
Логи прилагаю.
http://forum.oszone.net/attachment.p...1&d=1344414512

http://forum.oszone.net/attachment.p...1&d=1344414512

alex_sev 08-08-2012 13:26 1966794
Повторите сканирование в MBAM и удалите только следующее:

Код:
C:\Program Files\VKontakte IE Toolbar\VKontakte.dll (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\Typelib\{84C94803-B5EC-4491-B2BE-7B113E013B77} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\Interface\{6DEEE498-08CC-43F0-BCA0-DBB5A25C9501} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\VKontakte.VKIEBar.1 (Trojan.FakeAlert) -> Действие не было предпринято.
HKCR\VKontakte.VKIEBar (Trojan.FakeAlert) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} (Trojan.FakeAlert) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} (Trojan.FakeAlert) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} (Trojan.FakeAlert) -> Параметры: VKontakt -> Действие не было предпринято.

romalex 08-08-2012 17:35 1966921
Все сделал, как сказали. Спасибо! А что было с компьютером?

alex_sev 08-08-2012 17:39 1966922
Цитата:
Цитата romalex
А что было с компьютером? »
- заражен трояном. Обновите уязвимый софт:
Цитата:
Java(TM) 6 Update 30 Java version out of Date!
Mozilla Firefox 4.0 Firefox out of Date!
Java
Firefox

Ознакомьтесь с этими рекомендациями


Время: 08:52.

Время: 08:52.
© OSzone.net 2001-