[Helper]

Здравствуйте!Добро пожаловать на форум спайваре-ру. 🙂
Пуск-выполнить:

C:Program Filestrend microsamsung.exe

Нажать OK.
В главном окне программы нужно нажать «Do a system scan only»
В открывшемся логе сканирования поставить галочки напротив указанных строк и нажать кнопку «Fix Checked»

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.smaxxi.biz

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.smaxxi.biz

Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes

explorer.exe



:Services



:Files

C:windowssystem32xspguhj.dll

C:windowssystem323A09.tmp

C:windowssystem323384.tmp

C:windowssystem322A41.tmp

C:windowssystem321E6E.tmp

C:windowssystem321911.tmp

C:windowssystem32107A.tmp

C:windowssystem32ADF.tmp

C:windowssystem3215D.tmp

C:windowssystem32FAC8.tmp

C:windowssystem32EDFC.tmp

C:windowssystem32E6DB.tmp

C:windowssystem32D954.tmp

C:windowssystem32CF94.tmp

C:windowssystem32C344.tmp

C:windowssystem32BBC6.tmp

C:windowssystem32B39B.tmp

C:windowssystem32A3D3.tmp

C:windowssystem328FE6.tmp

C:windowssystem3285E7.tmp

C:windowssystem3272E4.tmp

C:windowssystem326C9D.tmp

C:windowssystem3264C1.tmp

C:windowssystem325E99.tmp

C:windowssystem325797.tmp

C:windowssystem325298.tmp

C:windowssystem324B57.tmp

C:windowssystem323F56.tmp

C:windowssystem32D4B9.tmp

C:windowssystem323E8B.tmp

C:windowssystem323CD7.tmp



:Reg



:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

В OTM под панелью «Paste Instructions for Items to be Moved» (под желтой панелью) вставьте скопированный текст и нажмите кнопку «MoveIt!».

Компьютер перезагрузится.

После перезагрузки откройте папку «C:_OTMMovedFiles», найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Скачайте UVS
Распакуйте архив в отдельную папку на рабочий стол.Откройте папку с UVS и запустите файл start.exe от имени Администратора.
В открывшимся окне выберите пункт «Запустить под текущим пользователем«Выберите меню «Файл» => «Сохранить полный образ автозапуска«. Программа предложит вам указать место сохранения лога в формате «имя_компьютера_дата_сканирования«. Лог необходимо сохранить на рабочем столе.Дождитесь окончания работы программы и прикрепите лог к посту в теме.(добавить вложение)
Сделайте новые логи RSIT и приложите их.
Содержимое папки C:_OTM запакуйте в архив и отправьте на почтовый адрес anti-spyware2010atyandex.ru(вместо at, @).
Необходимо оставить только 1 антивирусный продукт, а все остальные удалить(в логи следы от нескольких антивирусов), скажите, каким Вы антивирусом пользуетесь на данный момент?
Если у Вас что-нибудь не получается или Вам что-либо не понятно, спрашивайте. 😉

[Helper]

Здравствуйте! 🙂 Добро пожаловать на форум!Прошу прощения, меня очень долго не было.
Сделайте лог Combofix(просто кликните сюда).
Лог файл приложите.

[Helper]

Здравствуйте! 🙂 Добро пожаловать на форум!Прошу прощения, меня очень долго не было. 😳
По логам видно, что ваша система заражена.Нужно сделать лог Combofix(просто кликните сюда)

[Helper]

Да,по последним логам все чисто. 🙂
Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.Что с проблемами? 🙂

[Helper]

А все остальное известно? 🙂
Файл

C:WINDOWSSystem32DriversFcdFs.Sys

проверьте на virustotal.com
Ссылку на результат приложите.

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe;
3. Нажмите кнопку «Начать проверку«;
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
9. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[Helper]

Ну что Вы так накинулись на Doctor Web. 🙂
Отличный продукт, просто необходимо соблюдать некоторые правила безопасности при работе в интернете, обновлять регулярно Windows и программы(особенно такие, как Adobe, Java, IE), базы антивируса, незнакомые файлы не нужно трогать. 🙂
А идеального антивируса нет, да и не будет. 😉

[Helper]

Ну доктор веб и так много файлов закарантинил.Вот это надо помнить

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.

А насчет решения..так это надо смотреть по логам, скрипты для одного пользователя, могут убить систему другого. ❗
Рад был помочь, знакомым, друзьям, если что говорите о нашем форуме, будем рады помочь. 🙂

[Helper]

Нет, не надо, ну тогда все отлично. 😉
Проблем никаких не наблюдается? 🙂

[Helper]

c:32788r22fwjfw Такой папки тоже нет?
Браузеры используют данный порт.Я считаю можно разрешить.

[Helper]

Так, ну насчет фаерволла, я считаю ничего страшного там нет.Скажите, какие-либо файлы находятся в этих директориях?
c:TempE_N4
c:32788r22fwjfw
c:TempAtXXXXXX12
c:TempAtXXXXXX5
c:TempAtXXXXXX3
c:TempAtXXXXXX6

[Helper]

Можете скриншот сделать.Хотелось бы посмотреть.

[Helper]

Здравствуйте. 🙂 Добро пожаловать на наш форум!
Почитайте эти рекомендации
Без логов ничем помочь не сможем. 🙁

[Helper]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку «ОК«

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.
Не посещайте незнакомые сайты, очень внимательно относитесь к файлам скаченным с Интернета.Что с проблемами? 🙂

[Helper]

Здравствуйте.Извините за большую задержку. 🙁

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт «Запустить под текущим пользователем».
3. Выберите меню «Файл» => «Сохранить полный образ автозапуска». Программа предложит вам указать место сохранения лога в формате «имя_компьютера_дата_сканирования». Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите «Да».
   1. Загрузите GMER по одной из указанных ссылок:
      Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
   2. Временно отключите драйверы эмуляторов дисков(если таковые имеются).
   3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
   4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
   5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
      • Sections
      • IAT/EAT
      • Show all

6.Из всех дисков оставьте отмеченным только системный диск (обычно C:).Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите «Да».

[Helper]

Понятно, если эти файлы(кейгены) Вам известны, удалять их не следует.
Теперь выполняем скрипт в авз (перед выполнением отключаем антивирусы и/или фаерволлы, выгружаем программы. Запускаем авз от имени администратора.

procedure DisableAutorun;

begin

RegKeyIntParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer','NoDriveTypeAutoRun', 221);

RegKeyIntParamWrite('HKLM','SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer','NoDriveAutoRun', 4);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SystemCurrentControlSetServicesCDROM','AutoRun', 0);

end;

begin

DisableAutorun;

SaveLog('c:avz_log.txt');

RebootWindows(true);

end.

Компьютер перезагрузится.
c:avz_log.txt файл прикрепить к следующему сообщению.

[Автор]

Сообщения