15 ответов в этой теме

[Valenki]

Здравствуйте!
Столкнулся с проблеммой!
При входе на некоторые сайты выскакивают скрипты (JS.IFrame.356) и изменяется русская раскладка языка.Скрин прикреплен.
Файл с отчетом весит 4,5 мб и не влезает в загрузку..
Rku : Error loading driver, NTSTATUS code C0000001


логи:

Прикрепленные файлы:

•  2012-12-10_0231.jpg   155,79К   26 Скачано раз
•  hijackthis.rar   3,46К   3 Скачано раз
•  drw-results.cab   36,62К   1 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[Valenki]

Отчет :

http://webfile.ru/6279946

пароль:12345

[l.e.e.]

Этот файл C:\Users\F796~1\AppData\Local\Temp\csrss.exe скопируйте и отправьте на исследование (сделайте копии и запакуйте с паролем)
Затем HijackThis - Scan (отметить такие строки) - FixChecked
O23 - Service: Application Policy Service - Unknown owner - C:\Windows\system32\config\systemprofile\AppData\Local\Application Policy Service\svchost.exe (file missing)
F3 - REG:win.ini: load=C:\Users\F796~1\AppData\Local\Temp\csrss.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.certified-toolbar.com?si=39053&home=true&tid=411
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=falco&s={searchTerms}&f=4

Проверьте сканером (с выбором проверки архивов в настройках сканера) C:\users\димтрий\appdata\

Сообщение было изменено lazarev.ee: 20 Декабрь 2012 - 23:40

[Valenki]

Добрый день!
Почистил ачампом и CCleaner.
После полной проверки сканером находит только вотт это:

Program.Raxo.4

После всех манипуляций и перезагрузки скрипты пропали.
После второй перезагрузки опять появились скрипты (скрины) и изменилась языковая расскладка..непонятно как так?
Указанный вами файл не найден если я правильно указал путь:
( C:\Users\Димтрий\AppData\Local\Temp )
..

Rku : Error loading driver, NTSTATUS code C0000001

Прикрепленные файлы:

•  2012-12-10_0231.jpg   164,86К   10 Скачано раз
•  531979_468650636504449_144113767dfg_n.jpg   132,63К   11 Скачано раз
•  hijackthis.log   6,19К   5 Скачано раз

[userr]

Valenki,
в сканере drweb поставьте самый детальный отчет. потом в сканере
- сделать Быструю проверку
- выборочно проверить C:\users\

потом снова сделать штатный отчет и показать, как в посте 3.

почему до сих пор не стоит sp1 для win7 ? это очень плохо.

[Valenki]

Установил sp1 для win7
Сканер поставил на максимальный отчёт.
Сделал быструю проверку и выборочно проверил C:\users\
Отчёт:

http://webfile.ru/6281421

Пароль: 12345

Все равно скрипты..
Пропадают после чистки CCleaner,потом появляются снова..

Прикрепленные файлы:

•  hijackthis.log   7,84К   3 Скачано раз

[l.e.e.]

Valenki, проверьте сканером точки восстановления и временные папки. А то уж очень подозрительное происходит..


(F3 - REG:win.ini: load=C:\Users\F796~1\AppData\Local\Temp\csrss.exe - я про этот путь говорил.)

[Valenki]

Valenki, проверьте сканером точки восстановления и временные папки.

Я к сожалению не знаю где эти точки восстановления и временные папки и как их проверить в силу отсутствия достаточных тех.знаний.

C:\Users\F796~1\AppData\Local\Temp\csrss.exe

Где или куда нужно скопировать этот путь ,что бы попасть в исходную папку ..?.
Прошу прощения..
Файл csrss.exe лежит в папке C:\Windows\System32 но это видимо другой файл..

[l.e.e.]

Откройте сканер (ярлык на рабочем столе или из трея возле часов). Выборочная проверка - и там отметьте Временные папки и Точки восстановления. И всё..

[Valenki]

Временные папки

Есть "временные файлы"
На всякий случай отметил галочками все пункты..
На диске D (другой жестк .диск от старой машины) в папке system volume information удалилось 46 trojan.download3.17503
но они там уже лет 8 лежали без проблемм..
На диске "С" угроз не обнаружено..
Прогнал ещё раз через
CCleaner...перезагрузил..все без изменений

Прикрепленные файлы:

•  hijackthis.log   7,72К   3 Скачано раз

[mrbelyash]

>При входе на некоторые сайты выскакивают скрипты

ну то отправьте ссылки на сайты

[l.e.e.]

На диске "С" угроз не обнаружено..

Отчёт (лог) сканера нужен. Чистить не надо было... C:\Users\Димтрий\Doctor Web\dwscanner.log

[Valenki]

Очень туго почему-то открывается форум..

http://webfile.ru/6281838

Пароль :12345

[l.e.e.]

Чистка по нашему

[Valenki]

Фиг с ним с этим скриптом..

Прикрепленные файлы:

•  Безымянный.jpg   158,79К   14 Скачано раз