Добрый день,
Я к вам вернулась с той же проблемой(
Было - https://forum.avast.com/index.php?topic=151843.0, успешно вылечили, но сегодня опять прицепился этот вирус, только в этот раз аваст почему-то молчит, при сканировании проблем не обнаружил.
Malwarebytes Anti-Malware обнаружил угрозу (прилагаю скрин), поместила в карантин.
Логи в атаче.
Могу дать ссылку на сайт, с которого прыгнул этот вирус - вдруг поможет вам в дальнейшем.
Заранее благодарю.
еще вложения
Stanley76, здравствуйте!
[*]Сохраните прикрепленный файл fixlist.txt на Рабочий стол
[*]Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[*]Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
здравствуйте, Andrey
файл в атаче
Наблюдается ли проблема после выполнения скрипта?
да в том-то и дело, что в этот раз не так как в прошлый - тогда аваст каждые 10 мин ругался на вирус, а в этот раз все тихо. просто когда вирус прицепился, аваст выбросил такое же сообщение про url mal, но уже с другим url адресом, и не дал возможности что-либо сделать с объектом. при сканировании аваст ничего не обнаружил, но malwarebytes обнаружил подозоит.файл в C:\documents and settings\админ\ Local settings… файл - OCSetup.Hlp.dll
скажите, пожалуйста, как узнать, остался вирус после фикса или нет? может, еще какие-нибудь логи нужны?
Я не думаю, что OCSetup.dll являлось причиной. Не могли бы Вы процитировать содержимое Fixlog.txt, начиная с
========= bitsadmin /reset /allusers =========
и заканчивая
========= End of CMD: =========
в прикрепленном отчете я не смог разобрать текст из-за того, что файл прикреплен не в кодировке ANSI
тоже не могу разобрать, одни символы:
========= bitsadmin /reset /allusers =========
“bitsadmin” ७ 譥
, ᯮ塞 ணࠬ 䠩.
========= End of CMD: =========
как я понимаю, Farbar Recovery Tool сгенерил отчет в utf-8, как можно исправить кодировку, чтоб не потерять символы? перекодировать и сохранить не помогает((
К сожалению, изменить кодировку нельзя.
Запустите Командную строку от имени Администратора и введите следующую команду:
bitsadmin /reset /allusers
и нажмите клавишу enter. Сделайте скришот Командной строки после выполнения команды и прикрепите в следующем сообщении.
а эта команда не удалит настройки учетных записей?
и есть ли какой-нибудь другой способ посмотреть нужные данные? просто есть проблемы с выполнением команд от имени администратора, выбрасывает сообщение “Вход в систему не произведён: имеются ограничения, связанные с учётной записью. Возможные причины: запрещены пустые пароли, ограничено время входа или применены ограничения групповой политики”
могу попытаться запустить с другой учетной записи, но я не уверена, выдаст ли это нужные Вам данные и получится ли выполнить команду.
может, попытаться какой-нибудь программой вытащить эти данные?
Это новый вирус, который использует BITSAdmin (утилиту командной строки, предназначенную для создания задания для загрузки или выгрузки файла и мониторинга их выполнения). Данная команда сбросит все имеющиеся задания, т.е. эта команда не удалит настройки учетных записей. Для выполнения этой команды требуются права администратора.
не получается - запускаю cmd от имени администратора, выводит это -
C:\Documents and Settings\Stan> bitsadmin /reset /allusers
“bitsadmin” не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
может, синтаксис неправильный?
Синтаксис точно правильный. Возможно, я не учел, что у Вас Windows xp…
cd c:\windows
и нажмите клавишу enter
4) введите следующую команду:
bitsadmin /reset /allusers
и нажмите клавишу enter
то же самое ((
C:\Documents and Settings\Админ>cd c:\windows
C:\WINDOWS>bitsadmin /reset /allusers
“bitsadmin” не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
в 1ый раз запускала с учетки с админскими правами, учетка Админ у меня, как я понимаю, имеет ограниченные права (до этого запускала через ‘все программы’ → 'командная строка → '‘запуск от имени администратора’), результат - тот же
Не буду Вас мучить 
Скачайте ComboFix :
Ссылка 1
Ссылка 2
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
[*]Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
[*]Примите соглашение и согласитесь на обновление, если программа попросит об этом
http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png
http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png
[*]После окончания, будет произведен отчет.
[*]Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.
Примечания:
Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.
отчет в атаче,
сообщений об удалении каких-либо программ не было, но некоторые файлы переместились в карантин combofix
Понаблюдайте за работой ПК, если проблем больше не будет, то мы удалим ComboFix.
да вроде все нормально, только заметила что на диске D много временных файлов (скрытых), может быть, это не связано с вирусом - но все же. их удалить можно? (не знаю, были ли они там раньше)
скрин в атаче
спасибо)
Временные файлы можно не трогать, после удаления ComboFix они снова должны стать скрытыми.
Удаление ComboFix
[*]Нажмите клавишу Windows + R на клавиатуре. На экране появится диалоговое окно “Выполнить”
[*]В открывшемся окне введите ComboFix /Uninstall
(Обратите внимание на пробел между “x” и “/”)
и нажмите OK
http://i1224.photobucket.com/albums/ee362/Essexboy3/Misc%20screen%20shots/CF_Uninstall-1.jpg
[]Следуйте инструкциям на экране
[]Должно появиться сообщение, подтверждающее, что ComboFix был удален
вот что вылазит (скрин)
combofix на рабочем столе, в run ввожу все правильно, с пробелом где надо
???