Решена - Вирус закрывает программы и не даёт загрузить web страницу

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем Duzer18, 3 ноя 2011.

  1. Duzer18

    Duzer18 Junior User

    Доброго времени суток! Вкратце опишу симптомы: после загрузки компьютера всё работает в обычном режиме, после этого минут через 5-30 начинают закрываться все используемые программы (при обращении к ним), сворачиваться открытые меню (например пуск), в браузере не открываются страницы (или открываются частично).
    http://webfile.ru/5644563
    http://webfile.ru/5644566
     
    Duzer18, 3 ноя 2011
    #1
  2. oleg

    oleg Expert Вирусоборец

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('ujk0otc2');
 DeleteFile('ujk0otc2.sys');
 DeleteFile('C:\40ebbdab6e992f6662\DW\DW20.exe');
 DeleteFile('C:\Program Files\fliptoast\fliptoast.exe');
 DeleteFile('C:\Users\Kirill\AppData\Roaming\Yggpgn.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O2 - BHO:  Спутник@Mail.Ru  - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - Startup: fliptoast.lnk = C:\Program Files\fliptoast\fliptoast.exe
    5. Сделайте новые логи AVZ.

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
    oleg, 3 ноя 2011
    #2
  3. Duzer18

    Duzer18 Junior User

    вот эта строка отсутствовала.

    Вируса не замечено. Даже не верится)) Сейчас ещё проверю AVPTool.
    Спасибо огромное за помощь!!! Полгода мучался пока не нашёл Вас! Ещё раз спасибо!

    Посмотреть вложение mbam-log-2011-11-03 (22-00-05).txt

    Посмотреть вложение virusinfo_syscure.zip
     
    Duzer18, 3 ноя 2011
    #3
  4. Nod

    Nod Moderator

    Уалите в MBAM следующее:

    В остальном все чисто.
    Если вирус проблема более не беспокоит, на этом лечение завершено.
     
    Nod, 3 ноя 2011
    #4
  5. Duzer18

    Duzer18 Junior User

    Снова проявились те же симптомы. как быть?
     
    Duzer18, 3 ноя 2011
    #5
  6. Nod

    Nod Moderator

    Сделайте НОВЫЕ логи AVZ,MBAM и HijackThis.
     
    Nod, 3 ноя 2011
    #6
  7. Duzer18

    Duzer18 Junior User

    Duzer18, 4 ноя 2011
    #7
  8. oleg

    oleg Expert Вирусоборец

    Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('90811167');
 SetServiceStart('90811167', 4);
 DeleteFile('90811167.sys');
 DeleteFile('C:\Users\Kirill\AppData\Local\Temp\_uninst_90811167.bat');
 DeleteFile('C:\Windows\system32\DRIVERS\6365515drv.sys');
 DeleteFile('C:\Users\Kirill\AppData\Local\Temp\RarSFX5\6365515.exe');
 DeleteFile('C:\Users\Kirill\AppData\Local\Temp\8829297\6365515.exe');
 DeleteFile('C:\Users\Kirill\Desktop\setup_11.0.0.1245.x01_2011_11_03_11_49.exe');
 DeleteService('90811167');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    Пофиксите в HijackThis[/URL] следующие строчки:
    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)O4 - Startup: _uninst_46329911.lnk = C:\Users\Kirill\AppData\Local\Temp\_uninst_46329911.bat
O4 - Startup: _uninst_90811167.lnk = C:\Users\Kirill\AppData\Local\Temp\_uninst_90811167.bat
     
    oleg, 4 ноя 2011
    #8
  9. Duzer18

    Duzer18 Junior User

    Вот эта строчка отсутствовала.

    Всё сделал как говорили. Сейчас протестирую всё ли нормально.
     
    Duzer18, 4 ноя 2011
    #9
  10. Duzer18

    Duzer18 Junior User

    Пошли вторые сутки исправной работы! Спасибо огромное за помощь!!!:)
     
    Duzer18, 5 ноя 2011
    #10
  11. oleg

    oleg Expert Вирусоборец

    Пожалуйста. Обращайтесь
     
    oleg, 5 ноя 2011
    #11

Поделиться этой страницей