При подключении к интернету обнаруживаются вирусы

@ElvenQween · Регистрация: 21.08.2011

Студворк — интернет-сервис помощи студентам

При каждом подключении к интернету Аваст обнаруживает от 15 до 35 вирусов.

@Techno · 21.08.2011, 18:12

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\apppatch\imwnsb.dat','');
 DeleteFile('C:\WINDOWS\apppatch\imwnsb.dat');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit','С:\WINDOWS\system32\userinit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Сделайте такой лог Как подготовить лог HijackThis

@ElvenQween · 24.08.2011, 14:15 **[ТС]**

После выполнения первого скрипта комп перезагрузился, и когда в окне приветствия я нажимаю на иконку пользователя, он загружает личные параметры, а потом сразу же "завершение работы". Потом снова окно приветствия, нажимаю на пользователя, и он снова включается и выключается. В безопасном режиме то же самое.

@Katharsis · 24.08.2011, 14:20

Загрузитесь пожалуйтста с любого LiveCD. (кроме линуксовых и специализированных, типа drweb)

открывайте редактор реестра (пуск - выполнить - regedit)

1.выделите в нем раздел HKEY_USERS
2. откройте меню файл - загрузить куст
3. перейдите в папку Буква_системного_раздела:\Windows\System 32\Config\SOFTWARE
4. откройте файл SOFTWARE без расширения
5. дайте любое имя новому разделу и откройте его
6. найдите HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows NT\CurrentVersion\Winlogon
7. Значение ключа

Userinit

исправьте на

С:\WINDOWS\system32\userinit.exe,

8. как всё сделаете - не забудьте выгрузить куст

загрузитесь с жесткого диска

@ElvenQween · 24.08.2011, 17:46 **[ТС]**

Все сделала, но не помогло.
Ах да, папки С:\Windows\System32\Config\SOFTWARE не было. Может, в этом дело?

@Katharsis · 24.08.2011, 17:55

с какого livecd грузились?

Сообщение от ElvenQween

Ах да, папки С:\Windows\System32\Config\SOFTWARE не было.

??? это не папка, а файл такой, без расширения, куст реестра. как же вы всё сделали, если у вас нет этого файла?

раз не помогло, найдите этот файл, запакуйте и выложите сюда (загрузиться с livecd)

@ElvenQween · 24.08.2011, 18:15 **[ТС]**

файл есть))
грузилась с Windows XP SP3 Alkid Live CD (2010.8)

@Katharsis · 24.08.2011, 18:38

возьмите файл из вложения, распакуйте и с livecd замените свой файл C:\Windows\System32\Config\SOFTWARE на этот.

попробуйте загрузиться с жесткого диска

@ElvenQween · 25.08.2011, 11:59 **[ТС]**

Спасибо большое, теперь работает. А в чем была причина такого странного поведения?

Мне дальше выполнять инструкцию, предложенную Techno? Тогда можно нескромную просьбу - не могли бы вы проверить второй скрипт? (Что-то мне подсказывает, что

Сообщение от Techno

Qurantine

пишется через ua)

@Katharsis · 25.08.2011, 15:15

Сообщение от ElvenQween

Мне дальше выполнять инструкцию, предложенную Techno?

да, выполните дальше.

Сообщение от ElvenQween

пишется через ua)

всё написано правильно.

@ElvenQween · 25.08.2011, 18:38 **[ТС]**

карантин отправлен, вот логи

@Katharsis · 25.08.2011, 19:24

1.Смените пароли!

2.Из найденного malwarebytes удалите:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Enum\Root\LEGACY_KMHFOOT (Trojan.Agent) -> No action taken.
Зараженные файлы:
d:\elvenqween\для лечения\avz4\quarantine\2011-08-24\avz00001.dta (Spyware.Passwords.XGen) -> No action taken.
d:\elvenqween\для лечения\avz4\quarantine\2011-08-24\bcqr00001.dat (Spyware.Passwords.XGen) -> No action taken.
d:\elvenqween\для лечения\avz4\quarantine\2011-08-24\bcqr00002.dat (Spyware.Passwords.XGen) -> No action taken.

лог повторите.

3. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить

Code
1
2
3
4
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(true);
end.

после перезагрузки повторите стандартный скрипт 2, лог выложите.

@ElvenQween · 26.08.2011, 14:21 **[ТС]**

Сделано

@Katharsis · 26.08.2011, 15:29

чисто. проблема решена?

@ElvenQween · 26.08.2011, 22:25 **[ТС]**

Пока все хорошо.
Спасибо большое!

@Katharsis · 26.08.2011, 22:31

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

reg add HKLM\Software\Microsoft\Windows\CurrentV ersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f

Нажмите enter.

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 01.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 31.01.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@ElvenQween 0 / 0 / 0 Регистрация: 21.08.2011 Сообщений: 8
	24.08.2011, 14:15 [ТС]
	После выполнения первого скрипта комп перезагрузился, и когда в окне приветствия я нажимаю на иконку пользователя, он загружает личные параметры, а потом сразу же "завершение работы". Потом снова окно приветствия, нажимаю на пользователя, и он снова включается и выключается. В безопасном режиме то же самое. 0

@ElvenQween 0 / 0 / 0 Регистрация: 21.08.2011 Сообщений: 8
	24.08.2011, 17:46 [ТС]
	Все сделала, но не помогло. Ах да, папки С:\Windows\System32\Config\SOFTWARE не было. Может, в этом дело? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	26.08.2011, 15:29
	чисто. проблема решена? 0

@ElvenQween 0 / 0 / 0 Регистрация: 21.08.2011 Сообщений: 8
	26.08.2011, 22:25 [ТС]
	Пока все хорошо. Спасибо большое! 0