Cuadlv.pif, bxex.exe (меняет имя)

@Lserega83 · Регистрация: 30.04.2010

Author24 — интернет-сервис помощи студентам

Приветствую.
Возможная причина произошедшего установка программы EnCore! (караоке)
Имею ноутбук Lenovo E43 стоит Win XP SP3 32-разрядная
Пользовался антивирусником Avira примерно года 1,5 проблем не было.

В корне каждого диска (3 шт) находится авторун.exe и имя(имеет свойство меняться).pif
Вирус "жрет" выборочно EXEшники, как следствие программы не запускаются, установка не всегда возможна. На удаление регирует возобновлением нового.

Проверил диск CD-Live Curent и пролечил - система упала из-за улаленного системного файла, восстановил. AVZ запустить не удалось(запускается и через мгновение закрывается).

@~~Katharsis~~ · 07.10.2011, 13:31

у вас sality

выполните - Как лечить файловый вирус (сканирование drweb livecd + salitykiller)

после этого - повторные логи avz и rsit (программы скачать заново!)

@Lserega83 · 07.10.2011, 20:43 **[ТС]**

выполните - Как лечить файловый вирус (сканирование drweb livecd + salitykiller)

Запустил salitykiller. Вирус не удалился- удалил вручную. Перезапустил - вирус не виден.

@~~Katharsis~~ · 07.10.2011, 21:55

1.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\XP-D41D8CD9.EXE ','');
 QuarantineFile('C:\Documents and Settings\Сергей\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
 QuarantineFile('C:\WINDOWS\enс.ini','');
 QuarantineFile('H:\slrmgr.exe','');
 QuarantineFile('H:\tnjh.exe','');
 QuarantineFile('I:\vtcgwa.pif','');
 QuarantineFile('D:\xdhpg.exe','');
 QuarantineFile('H:\ikohbg.exe','');
 QuarantineFile('H:\cuadlv.pif','');
 QuarantineFile('E:\ncuu.pif','');
 QuarantineFile('C:\jisp.exe','');
 QuarantineFile('H:\ajtuam.exe','');
 QuarantineFile('C:\mwpyc.exe','');
 QuarantineFile('C:\WINDOWS\system32\740e4247.exe','');
 QuarantineFile('C:\WINDOWS\apppatch\tkvssrx.dat','');
 QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kflqpn.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\kflqpn.sys');
 DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
 DeleteFile('C:\WINDOWS\apppatch\tkvssrx.dat');
 DeleteFile('C:\WINDOWS\system32\740e4247.exe');
 DeleteFile('C:\WINDOWS\system32\XP-D41D8CD9.EXE ');
 DeleteFile('C:\Documents and Settings\Сергей\Главное меню\Программы\Автозагрузка\igfxtray.exe');
 DeleteFile('H:\slrmgr.exe');
 DeleteFile('H:\tnjh.exe');
 DeleteFile('I:\vtcgwa.pif');
 DeleteFile('D:\xdhpg.exe');
 DeleteFile('H:\ikohbg.exe');
 DeleteFile('H:\cuadlv.pif');
 DeleteFile('E:\ncuu.pif');
 DeleteFile('C:\jisp.exe');
 DeleteFile('H:\ajtuam.exe');
 DeleteFile('C:\mwpyc.exe');
 DeleteFileMask('C:\WINDOWS\Temp', '*.exe', true);
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\XP-D41D8CD9');
 RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Сергей^Главное меню^Программы^Автозагрузка^igfxtray.exe');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\drivers\kflqpn.sys');
 BC_DeleteSvc('amsint32');
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2.скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр

Код

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe"="C:\\Program Files\\Rockstar Games\\Rockstar Games Social Club\\RGSCLauncher.exe:*:Enabled:Rockstar Games Social Club"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\\Program Files\\uTorrent\\uTorrent.exe"="D:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:ipsec"
"C:\\Program Files\\uTorrent\\utorrent.exe"="C:\\Program Files\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"D:\\PROGRA~1\\THEKMP~1\\KMPlayer.exe"="D:\\PROGRA~1\\THEKMP~1\\KMPlayer.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\Explorer.EXE:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe:*:Enabled:ipsec"
"D:\\Program Files\\AIMP2\\AIMP2.exe"="D:\\Program Files\\AIMP2\\AIMP2.exe:*:Enabled:ipsec"
"D:\\Program Files\\WinRAR\\WinRAR.exe"="D:\\Program Files\\WinRAR\\WinRAR.exe:*:Enabled:ipsec"
"C:\\Program Files\\Avant Browser\\avant.exe"="C:\\Program Files\\Avant Browser\\avant.exe:*:Enabled:ipsec"
"C:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\WINWORD.EXE:*:Enabled:ipsec"
"D:\\Program Files\\Notepad++\\notepad++.exe"="D:\\Program Files\\Notepad++\\notepad++.exe:*:Enabled:ipsec"
"C:\\WINDOWS\\system32\\NOTEPAD.EXE"="C:\\WINDOWS\\system32\\NOTEPAD.EXE:*:Enabled:ipsec"
"D:\\Program Files\\Internet Download Manager\\IDMan.exe"="D:\\Program Files\\Internet Download Manager\\IDMan.exe:*:Enabled:ipsec"
"C:\\Program Files\\Unlocker\\Unlocker.exe"="C:\\Program Files\\Unlocker\\Unlocker.exe:*:Enabled:ipsec"
"C:\\Program Files\\Total Commander XP\\TOTALCMD.EXE"="C:\\Program Files\\Total Commander XP\\TOTALCMD.EXE:*:Enabled:ipsec"
"D:\\Program Files\\QIP Infium\\infium.exe"="D:\\Program Files\\QIP Infium\\infium.exe:*:Enabled:ipsec"
"C:\\Program Files\\Splan70\\Splan70.exe"="C:\\Program Files\\Splan70\\Splan70.exe:*:Enabled:ipsec"
"C:\\Program Files\\Globe Visibility Connection Manager\\Globe Visibility Connection Manager.exe"="C:\\Program Files\\Globe Visibility Connection Manager\\Globe Visibility Connection Manager.exe:*:Enabled:ipsec"

3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.обновите базы AVZ и сделайте повторные логи avz и rsit.

@Lserega83 · 08.10.2011, 09:04 **[ТС]**

Katharsis,

1.
2.
3.
4.

Сказано, сделано.

@thyrex · 08.10.2011, 10:44

Запустите МВАМ и выполните полную проверку

После сканирования выберите Ок и далее Show Results (Показать результаты), отметьте все найденное и нажмите Remove Selected (удалить выделенные). После удаления откройте лог и прикрепите его к сообщению.

Смените все пароли

@Lserega83 · 08.10.2011, 13:50 **[ТС]**

Сообщение от Katharsis

3.Скачайте Malwarebytes' Anti-Malware или ....... Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.

Сообщение от thyrex

Запустите МВАМ и выполните полную проверку
..., отметьте все найденное и нажмите Remove Selected (удалить выделенные). ....

Удалять найденное или нет?
Проверку снова запустил. Уже найдено 14 зараженных объекта. Проверка продолжается...

@~~Katharsis~~ · 08.10.2011, 14:07

то, что было найдено при быстрой проверке - удалите.
лог после полной проверки выложите, удалять пока ничего не надо.

@Lserega83 · 08.10.2011, 15:29 **[ТС]**

Результат полной проверки.

@~~Katharsis~~ · 08.10.2011, 15:52

из найденного удалите:

Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.

Зараженные папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Зараженные файлы:
c:\RECYCLER\S-1-5-18\Dc1.exe (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> No action taken.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\og.edt (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken.
c:\documents and settings\Сергей\application data\chkntfs.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.

лог повторите ("Perform Full Scan").

скачайте и установите Internet Explorer 8
скачайте и установите все последние обновления для безопасности windows
так же обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

@Lserega83 · 08.10.2011, 20:46 **[ТС]**

1.Выкладываю еще один результат полной проверки.

2. Internet Explorer 8 и QuickTime поставил, обновления натроил. Остальные рекомендации чуть позже (не совсем понял как скачать/установить)

@~~Katharsis~~ · 08.10.2011, 21:01

Ставить все вышедшие обновления для безопасности - это обязательно. Даже если у вас включено автообновление. http://go.microsoft.com/fwlink/?linkid=10678 Всё остальное - тоже (перейти по ссылкам и скачать).

После того, как всё установите:
Проверить на целостность системные файлы:
Пуск - "выплонить". впишите команду:

sfc.exe /scannow

нажмите enter. Может потребоваться диск с дистрибутивом.

После того как всё сделаете, отпишитесь о результате

@~~Katharsis~~ · 12.10.2011, 11:59

Чем всё закончилось, мы видимо так и не узнаем и ответа не удостоимся.

@Lserega83 · 13.10.2011, 16:27 **[ТС]**

Сообщение от Katharsis

Чем всё закончилось, мы видимо так и не узнаем и ответа не удостоимся.

Извиняюсь за молчание.
Все обновления установил. При выполнении sfc.exe /scannow последовал запрос диска SP3. В наличии нет (сам в командировке).
В самое ближайшее время отпишусь ОБЯЗАТЕЛЬНО!

Я использую Avant Browser. Стоит заменить?

@~~Katharsis~~ · 13.10.2011, 16:40

Сообщение от Lserega83

Я использую Avant Browser. Стоит заменить?

Зачем, пользуйтесь, если нравится.

Сообщение от Lserega83

При выполнении sfc.exe /scannow последовал запрос диска SP3. В наличии нет (сам в командировке).

Нужно будет найти и сделать позже. После такой болячки часть системных файлов может работать криво, на них могут материться антивирусы и тд (т к после очистки меняется контрольная сумма).

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

@Lserega83 · 13.10.2011, 17:17 **[ТС]**

Сообщение от Katharsis

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - ... Очистить
2. Нажмите Пуск - ... Создать.
Очистите ... с помощью ATF Cleaner

Сделал.

@~~Katharsis~~ · 13.10.2011, 17:21

ок, как найдете диск - проверьте системные файлы. и если будут проблемы - пишите

@Lserega83 · 14.10.2011, 13:38 **[ТС]**

Сообщение от Katharsis

найдете диск - проверьте системные файлы

Проверил, больше замечаний не было. УРА

Да, еще
1. IE8 запускается и через мгновение закрывается. Переустановка не помогла. Может так оставить я им не пользуюсь?
2. Переустановил антивирусник Avira, перепроверился, обнаружил пораженные/подозрительные файлы.
отчет приложил.
3. В некоторых программах Aimp, Qip и др возникают ошибки приложений. Переустановлю

@~~Katharsis~~ · 14.10.2011, 16:08

от файлов, которые отмечены

Содержит код Windows-вируса W32/Sality.Patched

лучше избавиться. ПО переустановить. Остальное - это:

Сообщение от Katharsis

на них могут материться антивирусы и тд (т к после очистки меняется контрольная сумма)

Точки восстановления так же ещё раз желательно почистить

Сообщение от Lserega83

IE8 запускается и через мгновение закрывается. Переустановка не помогла. Может так оставить я им не пользуюсь?

Сообщение от Lserega83

3. В некоторых программах Aimp, Qip и др возникают ошибки приложений.

После очистки некоторые файлы могут становятся нерабочими, переустановите ПО (обычно достаточно без удаления, выбрать repair или modify). Если не запускаются и после переустановки - попробуйте создать новую админскую учетную запись. Возможно, будут работать под ней.

@Lserega83 · 16.10.2011, 07:42 **[ТС]**

Понятно.
В остальном порядок!!!!

Благдарю за помощь.

@~~Katharsis~~ Заблокирован
	07.10.2011, 13:31	2
	у вас sality выполните - Как лечить файловый вирус (сканирование drweb livecd + salitykiller) после этого - повторные логи avz и rsit (программы скачать заново!) 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	08.10.2011, 10:44	6
	Запустите МВАМ и выполните полную проверку После сканирования выберите Ок и далее Show Results (Показать результаты), отметьте все найденное и нажмите Remove Selected (удалить выделенные). После удаления откройте лог и прикрепите его к сообщению. Смените все пароли 0

@Lserega83 0 / 0 / 0 Регистрация: 30.04.2010 Сообщений: 85
	08.10.2011, 13:50 [ТС]	7
	Сообщение от Katharsis 3.Скачайте Malwarebytes' Anti-Malware или ....... Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Сообщение от thyrex Запустите МВАМ и выполните полную проверку ..., отметьте все найденное и нажмите Remove Selected (удалить выделенные). .... Удалять найденное или нет? Проверку снова запустил. Уже найдено 14 зараженных объекта. Проверка продолжается... 0

@~~Katharsis~~ Заблокирован
	08.10.2011, 14:07	8
	то, что было найдено при быстрой проверке - удалите. лог после полной проверки выложите, удалять пока ничего не надо. 0

@~~Katharsis~~ Заблокирован
	08.10.2011, 15:52	10
	из найденного удалите: Зараженные ключи в реестре: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AMSINT32 (Virus.Sality) -> No action taken. Зараженные параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken. Зараженные папки: c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Зараженные файлы: c:\RECYCLER\S-1-5-18\Dc1.exe (Malware.Packer.Gen) -> No action taken. c:\WINDOWS\system32\internet.fne (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> No action taken. c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> No action taken. c:\WINDOWS\system32\com.run (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> No action taken. c:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> No action taken. c:\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> No action taken. c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> No action taken. c:\WINDOWS\system32\og.edt (Worm.AutoRun) -> No action taken. c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> No action taken. c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> No action taken. c:\documents and settings\Сергей\application data\chkntfs.dat (Malware.Trace) -> No action taken. c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken. лог повторите ("Perform Full Scan"). скачайте и установите Internet Explorer 8 скачайте и установите все последние обновления для безопасности windows так же обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 0

@~~Katharsis~~ Заблокирован
	08.10.2011, 21:01	12
	Ставить все вышедшие обновления для безопасности - это обязательно. Даже если у вас включено автообновление. http://go.microsoft.com/fwlink/?linkid=10678 Всё остальное - тоже (перейти по ссылкам и скачать). После того, как всё установите: Проверить на целостность системные файлы: Пуск - "выплонить". впишите команду: sfc.exe /scannow нажмите enter. Может потребоваться диск с дистрибутивом. После того как всё сделаете, отпишитесь о результате 0

@~~Katharsis~~ Заблокирован
	12.10.2011, 11:59	13
	Чем всё закончилось, мы видимо так и не узнаем и ответа не удостоимся. 0

@Lserega83 0 / 0 / 0 Регистрация: 30.04.2010 Сообщений: 85
	13.10.2011, 16:27 [ТС]	14
	Сообщение от Katharsis Чем всё закончилось, мы видимо так и не узнаем и ответа не удостоимся. Извиняюсь за молчание. Все обновления установил. При выполнении sfc.exe /scannow последовал запрос диска SP3. В наличии нет (сам в командировке). В самое ближайшее время отпишусь ОБЯЗАТЕЛЬНО! Я использую Avant Browser. Стоит заменить? 0

@~~Katharsis~~ Заблокирован
	13.10.2011, 16:40	15
	Сообщение от Lserega83 Я использую Avant Browser. Стоит заменить? Зачем, пользуйтесь, если нравится. Сообщение от Lserega83 При выполнении sfc.exe /scannow последовал запрос диска SP3. В наличии нет (сам в командировке). Нужно будет найти и сделать позже. После такой болячки часть системных файлов может работать криво, на них могут материться антивирусы и тд (т к после очистки меняется контрольная сумма). Если больше никаких проблем не возникает, то: Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool 0

@Lserega83 0 / 0 / 0 Регистрация: 30.04.2010 Сообщений: 85
	13.10.2011, 17:17 [ТС]	16
	Сообщение от Katharsis Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - ... Очистить 2. Нажмите Пуск - ... Создать. Очистите ... с помощью ATF Cleaner Сделал. 0

	16.10.2011, 07:42

@~~Katharsis~~ Заблокирован
	13.10.2011, 17:21	17
	ок, как найдете диск - проверьте системные файлы. и если будут проблемы - пишите 0

@~~Katharsis~~ Заблокирован
	14.10.2011, 16:08	19
	от файлов, которые отмечены Содержит код Windows-вируса W32/Sality.Patched лучше избавиться. ПО переустановить. Остальное - это: Сообщение от Katharsis на них могут материться антивирусы и тд (т к после очистки меняется контрольная сумма) Точки восстановления так же ещё раз желательно почистить Сообщение от Lserega83 IE8 запускается и через мгновение закрывается. Переустановка не помогла. Может так оставить я им не пользуюсь? Сообщение от Lserega83 3. В некоторых программах Aimp, Qip и др возникают ошибки приложений. После очистки некоторые файлы могут становятся нерабочими, переустановите ПО (обычно достаточно без удаления, выбрать repair или modify). Если не запускаются и после переустановки - попробуйте создать новую админскую учетную запись. Возможно, будут работать под ней. 0

@Lserega83 0 / 0 / 0 Регистрация: 30.04.2010 Сообщений: 85
	16.10.2011, 07:42 [ТС]	20
	Понятно. В остальном порядок!!!! Благдарю за помощь. 0