Знач суть проблемы такова:
Аваст постоянно ругается на wscript.exe который лезет на какуюто там страницу.
Папки на любом сменном носителе единожды вставленном в комп получают атрибут “скрытые” и заменяются ярлыками. При этом аваст ругается на autorun.inf тоже связанный с wscript.exe
Невозможно что либо сделать с реестром, ниодна утилита просто не запускается, точнее запускается на долю секунды и сразу закрывается. С командой “Выполнить> regedit” таже шляпа.
Сканирование ничего не показывает.
Основная проблема в том что аваст этот вирус не видит, так как я только что поймал его вторым ноутом при попытке перекинуть данные чтоб переустановить винду. АВ на обоих ноутах обновляется постоянно, соответственно переустанавливать винду смысла нет, что делать незнаю.
Orbital,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.
Если какая-то утилита из представленных не запустится или не будет работать, попробуйте запустить ее в безопасном режиме, если и это не поможет, то сообщите об этом. На время лечения пока не подключайте съемные носители к ПК, позже мы их тоже вылечим.
Вот, вроде все сделал. Malwarebytes’ Anti-Malware и OTL запускаются только в безопасном режиме. Malwarebytes’ Anti-Malware кого-то убил, но Аваст по прежнему регулярно ругается на то что что-то куда-то полезло.
Orbital, запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No CLSID value found.
O4 - HKCU..\Run: [410] C:\Users\Лунагрыз\AppData\Roaming\571\410.js ()
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1
:Files
C:\Users\Лунагрыз\AppData\Roaming\571
C:\56d19
:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
Компьютер перезагрузится.
После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
Теперь отключаем автозапуск съемных носителей. Для этого нажмите Пуск->Панель управления → Все элементы панели управления → Автозапуск, снимите флажок «использовать автозапуск для всех носителей и устройств» и нажмите кнопку сохранить.
Теперь вирус с флэш-нокопителя не заразит компьютер, если Вы его не запустите сами. Самый лучший вариант-скопировать нужные файлы на компьютер и отфоратировать флешку.
Если этот компьютер вылечен и больше нет всплывающих сообщений от аваста, то перейдем к лечению второго ПК. Нужны логи по инструкции.
Чтобы аваст начал обнаруживать эти вирусы, запакуйте папку C:_OTL в архив с паролем virus и отправьте в аваст, используя специальную форму: http://www.avast.ru/contact-form.php
Unable to start System Restore Service. Error code 1084
OTL by OldTimer - Version 3.2.69.0 log created on 06182013_181815
Files\Folders moved on Reboot…
C:\Users\Лунагрыз\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files…
Registry entries deleted on Reboot…
[/i]
Вот, все сделал.
Тем не менее, сразу после перезагрузки вылезло окно о том что аваст блокирует вредоносный URL.
посмотрим, что найдет CureIt!
Скачайте сканер Dr.web CureIt!http://www.freedrweb.com/cureit и проведите сканирование. Если что-то будет найдено пробуйте лечить, если лечение невозможно, то переместите в карантин.
Мде, вообще клево. Dr.web CureIt нашел 4 угрозы, все удалил и перезагрузился, после перезагрузки опять вылезло окно “Вредоносный URL блокирован”… не смешно уже
Orbital, можете сделать скриншот того, что нашел CureIt? Подготовьте новые логи OTL по инструкции. Проверьте пожалуйста автозагрузку на предмет наличия файлов с расширением *.js.