Здраствуйте. Я подхватил какойто вирус он у меня тыкал по многу раз на окна и открывал их по 20-30 раз проверил Нод32 удалил 2 объекта,но вирус продолжал буйствовать. Потом просто вырубил комп с розетки включил и все прошло:) Но теперь у меня нет админ панели тоесть кнопки выключить, выполнить,панель управелния тоже отсутствует. Это еще при первой перезагрузке было когда я вирус подхватил а не после вырубания из разетки, вопрос как востановится?
http://i037.radikal.ru/1012/11/8ec2798be034.jpg (http://www.radikal.ru)

Дмитрий336699,
Сделать рекомендованые логи, сначала надо.
Запустите процесс explorer.exe вызвав ctrl+alt+del диспетчер задач и панель появится, но пролечится ехе раз стоит!

Он запущен, но панель не появилась ,щас перезагружусь.И напишите или ссылку айте какие вам логи нужны...
но пролечится ехе раз стоит! что для этого нужно7

Все равно такая же панель, может я неправельно запускаю его? хотя пишет что процес запущен...

Здравствуйте!

Подготовьте логи AVZ и RSIT по правилам (http://forum.oszone.net/thread-98169.html).

напишете ка панель вернуть а то я выключаю через разетку :laugh: или напишите как выключать подругому...

Вот в правилах написанно: Пожалуйста убедитесь, что вы работаете с правами администратора. А я вроде как не на правах админа щас сижу же...

Запустите AVZ, Файл -- Восстановление системы, отметьте 6-ой и 8-ой пункты и нажмите Выполнить отмеченные операции.

Готовьте логи.

делайте пока как можете..права вам вернем

или напишите как выключать подругому... »
Alt+F4 появится панель отключения.

Странно , права админа сами вернулись, но я все равно подготовил логи ,а то надоело это прыгание всего того что можно и нельзя.

Здравствуйте, сейчас гляну

Добрый день. Панель управления теперь доступна?

Проверьте файл на www.virustotal.com (http://www.virustotal.com/)
C:\Program Files\Save\Save.exe

Дайте ссылку на результат проверки файла.

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx) даже, если им не пользуетесь
Обновите Java до последней актуальной версии. Устаревшие версии несут в себе уязвимости, которые могут стать причиной заражения.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll','');
QuarantineFile('C:\WINDOWS\system32\XDva372.sys','');
QuarantineFile('C:\WINDOWS\system32\XDva370.sys','');
DeleteFile('C:\WINDOWS\system32\XDva370.sys');
DeleteFile('C:\WINDOWS\system32\XDva372.sys');
DeleteService('XDva372');
DeleteService('XDva370');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-filezz.com

Сами делали настройки? Если нет, то
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html):
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/Admin/LOCALS~1/Temp/msohtml1/01/clip_image001.jpg

Ваши DNS?
62.213.7.190 62.213.0.12

OJSC VolgaTelecom - Ваш провайдер?

После выполнения скачайте свежую версию AVZ, обновите базы и повторите логи
вложите логи AVZ в следующие сообщение + подготовьте лог RSIT

Если у вас 32 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то скачайте Random's System Information Tool (RSIT) (http://www.virusnet.info/random/RSIT.exe) или с зеркала (http://images.malwareremoval.com/random/RSIT.exe)
Если у вас 64 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 (http://www.virusnet.info/random/RSITx64.exe) или с зеркала (http://images.malwareremoval.com/random/RSITx64.exe)
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

А как узнать какая битная система? у меня в панели написанно просто виндус хр

Пуск/Выполнить/cmd. В командной строке набрать systeminfo. Если в пункте Тип системы значится х86, значит 32-битная ОС, в противном случае - 64-битная(х64)

С новым годом!
Панель управления теперь доступна? »
Да.

Дайте ссылку на результат проверки файла. »
такого файла ненашел.
Ваши DNS? »
что это?
OJSC VolgaTelecom - Ваш провайдер? »
Да.

Доброго времени суток, С Новым годом!

Удалите в Malwarebytes' Anti-Malware

Зараженные файлы:
C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.

второй файл keygen.exe, кряк для Call of Duty 4 на ваше усмотрение. Может содержать трояны.

Почему не обновили Internet Explorer до 8-ой версии?
Каждая новая версия закрывает уязвимости предыдущей. Вы рискуете, не выполняя рекомендации.

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления

Базы перед выполнением логов надо обновлять!!!

Добьем зловреда.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "

Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Eclips\eclipse\plugins\org.eclipse.jdt.doc.isv_3.5.1.r351_v20090831.jar','');
QuarantineFile('C:\Documents and Settings\Admin\Рабочий стол\Clickermann v3.1f\clk_hook.dll','');
QuarantineFile('C:\Program Files\Save\Save.exe','');
QuarantineFile('C:\WINDOWS\system32\XDva379.sys','');
DeleteFile('C:\WINDOWS\system32\XDva379.sys');
DeleteService('XDva379');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы и сообщите о самочувствии (решена ли проблема)

Эти сайты вам знакомы? Если не ваши настройки, Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2737658
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/hypercam/{69412271-7345-4262-921F-FEB9D3915E04}

что из этого вам не нужно?

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику


Деинсталлируйте Malwarebytes' Anti-Malware .

повторите логи AVZ (c обновленными базами!!! + RSIT)

кряк для Call of Duty 4 на ваше усмотрение »
Это мне нужно я играю по сетке.
Удалите в Malwarebytes' Anti-Malware »
Файл нашел через поиск, а в карантине этой программы его нет.Удалить который через поиск?
Почему не обновили Internet Explorer до 8-ой версии? »
Да не смог скачать щас попробую еще раз.
Эти сайты вам знакомы? »
Нет.
что из этого вам не нужно? »
А что это? наверно лучше убрать.
Деинсталлируйте Malwarebytes' Anti-Malware . »
Потом скачать новую?
повторите логи AVZ (c обновленными базами!!! + RSIT) »
Я скачал с вашего сайта ,я думал новая.
Логи скоро будут...

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/hypercam/{69412271-7345-4262-921F-FEB9D3915E04} »
Вот этого кода не нашел там есть только mocrasoft.com(сори за неправельное написание)
ИЕ обновил до 8
Остальные скрипты тож выполнил.

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2737658


Файл нашел через поиск »
Как удалять с помощю MBAM указанные в теме элементы?
- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

Деинсталлируйте Malwarebytes' Anti-Malware .
Новую скачивать не нужно. Программа необходима только для временного применения во время лечения.

Для обновления баз в AVZ. Программу открыть, файл - обновить базы.

А что это? наверно лучше убрать. »
это список уязвимостей на вашем компе, которые желательно закрыть

Планировщик заданий вам оставила, у вас там прописано задание от Ask.

Выполнить в AVZ

begin
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.


Что с проблемой?
Лог RSIT обязательно повторить.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2737658
Это профиксил.
Деинсталлируйте Malwarebytes' Anti-Malware . »
убрал
Планировщик заданий вам оставила »
Да вы еще и девушка , удивлен.
это список уязвимостей на вашем компе, которые желательно закрыть »
хорошо закрывем , напишите как.
Что с проблемой? »
пока все нормально не че не прыгает , все послушное...
Логи с обновлением + рстс:

все чисто

Да вы еще и девушка , удивлен. »
такое тоже бывает) надеюсь, на лечение пол хелпера не повлиял?)

В качестве рекомендаций:
Для закрытия еще одной потенциально опасной службы и заодно отключения автозапуска со сменных носителей (рекомендую, чтобы не заражаться с различных флешек) выполните скрипт в AVZ

begin
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
end.

Далее
Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Лечение закончено) Чистого интернета вам в новом году!