непонятный вирус - Форум технической поддержки ESET NOD32

Сообщений: 35

Баллов: 17

Регистрация: 09.03.2012

Размещено 23.03.2012 15:45:30

гл. бух обратился с просьбой разобратся с ее компом. который ужасно тормозил.
я сделал windows update, поставил mbam, просканировал eset_ом диск C (тщательная проверка)
вычистил кучу разной заразы. но один какой то артефакт остался. в трее черный квадратик с белой буквой E (позволяет через контекстное меню на русском языке сделать выход с приложения... может и безобидно, но как то отвлекает внимание). как от этой заразы избавится.

выкладываю образы автозагрузки и mbam log. mbam я после выполнил и он с реестра кучу заразы удалил. зараза не давала запустится есету выдавая окно:

Цитата
--------------------------- Ограничения --------------------------- Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети. --------------------------- ОК ---------------------------

Прикрепленные файлы

VEKA-2-3_2012-03-23_15-27-13.TXT (2.24 МБ)
mbam-log-2012-03-23 (15-34-35).txt (6.93 КБ)

Изменено: kas - 23.03.2012 15:52:01

EAV-0136450696

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 23.03.2012 15:56:05

это блокирование запуска приложений через административные фунции

Цитата
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\|2 (Security.Hijack) -> Параметры: ekrn.exe -> Действие не было предпринято.

очистите все в мбам,
перегрузите систему, и проконтролируйте, чтобы в реестре в этом ключе не было блокирующих записей

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 09.03.2012

Размещено 23.03.2012 16:02:19

santy, это я выполнил. под пользователем теперь стартует eset. но я обратился не за этим.

а как убрать непонятный autorun с голыми бабами и с просьбой посмотреть образ uvz, чтобы проконтролировать, все ли я вычистил в результате очистки компа от вирусни

Изменено: kas - 23.03.2012 16:02:45

EAV-0136450696

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 23.03.2012 16:05:18

хм, если вы это убрали, то зачем тогда это в логах.
мы не по ощущениям выполняем лечение, а только по логам.
образ сейчас гляну.

[ Как создать образ автозапуска? ]

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 23.03.2012 16:08:50

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE addsgn 1A466F9A5583348CF42B254E3143FE84C9A2FFF6895987D5C5C34CB1C47B314CAA0253FA7E551454A72DC49FCF23C1573DDF614FD177F02C4BFBB19F6A462215 8 PornTool.PCHDPlay delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
addsgn 1A466F9A5583348CF42B254E3143FE84C9A2FFF6895987D5C5C34CB1C47B314CAA0253FA7E551454A72DC49FCF23C1573DDF614FD177F02C4BFBB19F6A462215 8 PornTool.PCHDPlay

delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Сообщений: 35

Баллов: 17

Регистрация: 09.03.2012

Размещено 23.03.2012 16:12:27

голые бабы оказались каким то софтом от ero.ru. pchd - в списке установленных программ. удалил ее стандартным способом и бабы исчезли 8)

EAV-0136450696

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 23.03.2012 16:20:41

ну, да, а зачем тогда вам наши скрипты, если вы сами все умеете делать.
тему закрываю.

[ Как создать образ автозапуска? ]

[ Закрыто ] непонятный вирус , не могу избавиться от какого то авторана.