что за фигня творится? Каждый раз просит комп сохранить какой то файл а нод32 отвечает трояном. Недавно просил загрузить smileycentral.exe файл нод32 визжал сейчас вообще какой то antichitPRO.exe просит сохранить на что антивирус тоже визжит. Помогите . хз что делать( я не сам сохраняю эти файлы а они через рандомный промежуток времени сами вылезают и просят сохранить файл

что за фигня творится? »
И я вот тоже не пойму... http://forum.oszone.net/thread-98169.html

что за фигня творится? »
хз что делать »
Воздержитесь от нецензурных выражений ! И выложите логи по приведенной в предыдущем посте ссылке.

Итак начнем. Вчера скачал и запустил в 12 часов дня Dr.web. Проверялся он до 3 часов ночи (полная проверка) Нашел вирусы из них был SmileyCentral.exe полегчало как то мне. Сегодня опять какая то фигня вылезла смотрите http://rghost.ru/4633210.view http://rghost.ru/4633206.view

Скачал я АВЗ сделал логи вот они.

virusinfo_syscure.zip - http://rghost.ru/4633896
virusinfo_syscheck.zip - http://rghost.ru/4633900

Лог HiJackThis - http://rghost.ru/4633910

Жду ответа\помощи

Заметил что скрины не видны тогда они тут

1) http://rghost.ru/4633206.view
2) http://rghost.ru/4633210.view

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

1) Это ваше в процессах?
c:\docume~1\user\locals~1\temp\vcheck.exe
c:\docume~1\user\locals~1\tempimg\vercontrol.exe

проверить файлы на http://www.virustotal.com

c:\program files\common files\akamai\netsession_win_dbc0250.dll
C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys
C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys

ссылки на результат запостить сюда в тему

2) C:\Program Files\Pazera Toolbar\Toolbar.dll
freevideomaster Toolbar
- Тулбары сами устанавливали?

3) диск E - CDROM?
Вы при проверки забыли там диск или оставили его намеренно для проверки?

Отключаю вам автозапуск с носителей

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('E:\valve\!hlae.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys','');
QuarantineFile('C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys','');
QuarantineFile('c:\program files\common files\akamai\netsession_win_dbc0250.dll','');
QuarantineFile('c:\docume~1\user\locals~1\tempimg\vercontrol.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\vcheck.exe','');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы
Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - (no file)
O3 - Toolbar: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: ,
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)


Если у вас 32 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то скачайте Random's System Information Tool (RSIT) (http://www.safezone.cc/random/RSIT.exe) или с зеркала (http://images.malwareremoval.com/random/RSIT.exe)
Если у вас 64 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 (http://www.safezone.cc/random/RSITx64.exe) или с зеркала (http://images.malwareremoval.com/random/RSITx64.exe)
Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

maniy77, 1) Это ваше в процессах?
Код:
c:\docume~1\user\locals~1\temp\vcheck.exe
c:\docume~1\user\locals~1\tempimg\vercontrol.exe »

А как узнать мое это или нет ? )

А как узнать мое это или нет ? ) »
мне тоже это интересно: ваше это или зловред.. проверьте файлы на http://www.virustotal.com
ссылку на результат сюда
для инфо:
vcheck.exe создан: 02.03.2011 17:51:32
vercontrol.exe создан: 04.10.2010 20:46:12,
вспоминайте, что устанавливали

maniy77, Я так не вспомню что я устанавливал тогда

проверьте файлы на http://www.virustotal.com
один из них был установлен два дня назад-неужели не помните

vercontrol.exe http://www.virustotal.com/file-scan/report.html?id=399b54cfabcb46feca42ec219db44a9c35f63a99d3f184826d904b7d7c05e321-1294563815

vchek.exe http://www.virustotal.com/file-scan/report.html?id=a6c1377f3f8170ac710b871ec982810dc814f1345134e2c6bb8340c1cc712fbc-1299196257

maniy77, в описании vchek увидел "WebGrabber"

В описании vercontrol.exe увидел "Auto Update Checker"

files »
проверить файлы на http://www.virustotal.com
Код:
c:\program files\common files\akamai\netsession_win_dbc0250.dll
C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys
C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys »

два последних файла найти не смог. 1 Проверил на вирустотал он чистый

продолжайте выполнение рекомендаций из поста 6

Очистил временные файлы AFT Cleaner

ссылки на результат запостить сюда в тему
2) C:\Program Files\Pazera Toolbar\Toolbar.dll
freevideomaster Toolbar
- Тулбары сами устанавливали? »
Я лично нет.Может сестра установила.

3) Диск E - CDROM?
Вы при проверки забыли там диск или оставили его намеренно для проверки? »

Диск E - CDROM

Выполнил 2 скрипта AVZ успешно. Отправил архив quarantine.zip .

Скачал Random's System Information Tool (RSIT). Проверил. Вот отчеты

Жду пока просканируются диски C:D:E:F программой Malwarebytes' Anti-Malware . Позже выложу отчет

Вопрос: C:\DOCUME~1\WAMPIR\LOCALS~1\Temp\ChangeMe.sys
C:\DOCUME~1\user\LOCALS~1\Temp\GodOfWar.sys

скачаны с Читерского Форума? видимо принадлежат игре вашей какойто

maniy77, Совершенно верно ) На скрине показан сайт

D:\VALVE\hl.exe
E:\valve\hl.exe
это видимо тоже ваше?

maniy77, Да

А можно только диск C проверить Malware? или обязательно все надо?

обновите adobe reader (http://www.adobe.com/support/downloads/product.jsp?platform=windows&product=10)

Ну раз все файлы мне сомнительные у вас подозрений не вызывают))

"WebGrabber" » и это принадлежит вам,
то проблем более не вижу

Тулбары, что указывала (определитесь с сестрой), можете удалить через установку/удаление программ (если не нужны)
почистим мусор и дождемся лог мвам полный

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\imsins.BAK','');
DeleteFile('C:\WINDOWS\imsins.BAK');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.



ну и вобщем то основное по вашей проблеме!
по поводу Каждый раз просит комп сохранить какой то файл а нод32 отвечает трояном »
читаем тут
ссылку удалила

Как видите, сайт заражен и пытается заразить вас. Нод стоически отбивает атаку...и разрывает соединение

при рассмотрении кода не видно насильственного запуска этого файла.. вы запускали его самостоятельно?

на всяк случай поменяйте все пароли свои
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

внимание, подправила скрипт-будьте внимательны

C:\WINDOWS\vncutil.exe на http://www.virustotal.com проверить