Author Topic: Нешта  (Read 34461 times)

0 Members and 1 Guest are viewing this topic.

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #15 on: August 18, 2013, 10:55:07 AM »
Вот извините(

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Re: Нешта
« Reply #16 on: August 18, 2013, 11:05:26 AM »
sky-flame, следов нешты больше нет, что радует, кажется, файлы тоже не были заражены.

Запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]
:OTL
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKU\S-1-5-21-2091426731-606164370-1538952977-1000\..\Toolbar\WebBrowser: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.

:Files
C:\ProgramData\qjaxlkio.dss
C:\ProgramData\knmesfut.gey

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

2) скачайте утилиту Kaspersky TDSSKiller
  • Нажмите кнопку Начать проверку и дождитесь ее окончания.
  • Все, что будет найдено - пробуйте лечить, если лечение невозможно, то выберите "Пропустить".
  • Прикрепите отчет в следующем сообщении.

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #17 on: August 18, 2013, 11:15:58 AM »
Когда начал выполнение скрипта, у меня на строке [emptytemp] залагал OTL

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Re: Нешта
« Reply #18 on: August 18, 2013, 11:16:46 AM »
Выполните скрипт в безопасном режиме.

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #19 on: August 18, 2013, 11:28:59 AM »
Вот лог после выполнения скрипта!!!
Quote
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry value HKEY_USERS\S-1-5-21-2091426731-606164370-1538952977-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{09900DE8-1DCA-443F-9243-26FF581438AF} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
========== FILES ==========
File\Folder C:\ProgramData\qjaxlkio.dss not found.
File\Folder C:\ProgramData\knmesfut.gey not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: user
->Temp folder emptied: 233458420 bytes
->Temporary Internet Files folder emptied: 58051420 bytes
->Google Chrome cache emptied: 224058611 bytes
->Apple Safari cache emptied: 161897472 bytes
->Opera cache emptied: 52700242 bytes
->Flash cache emptied: 675745 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1619120 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 297870970 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69162 bytes
RecycleBin emptied: 5984495460 bytes
 
Total Files Cleaned = 6 690,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 08182013_122103

Files\Folders moved on Reboot...
C:\Users\user\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Re: Нешта
« Reply #20 on: August 18, 2013, 11:30:44 AM »
Т.к Neshta-файловый вирус, то нет полной уверенности, что другие файлы не были заражены.

Скачайте Dr.Web LiveUSB
  • Создайте загрузочный флеш-накопитель (подробнее: http://www.freedrweb.com/liveusb/how_it_works/ )
  • Для найденных угроз выберите действие Лечить, если лечение невозможно, то переместите файлы в карантин.
« Last Edit: August 18, 2013, 11:32:21 AM by Andrey,pro »

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #21 on: August 18, 2013, 11:51:14 AM »
Спасибо огромное, всё в порядке, ничто ничего не находит, ни Доктор, ни малваре байтс, ни авира, ни каспер.)

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Re: Нешта
« Reply #22 on: August 18, 2013, 11:54:00 AM »
sky-flame, важно сделать сканирование с LiveUSB, даже если остается 1 зараженный файл, то начнется заражение других, скачивать и делать загрузочную флешку лучше с другого компьютера!
« Last Edit: August 18, 2013, 11:55:33 AM by Andrey,pro »

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #23 on: August 18, 2013, 01:15:31 PM »
Хорошо спасибо сделаю)

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #24 on: August 19, 2013, 04:21:03 PM »
sky-flame, важно сделать сканирование с LiveUSB, даже если остается 1 зараженный файл, то начнется заражение других, скачивать и делать загрузочную флешку лучше с другого компьютера!
Андрей, помогите, опять началась такая хрень, да у меня не получилось сделать загрузочную флешку, точнее получилось, но у меня на ноуте не назначена клавиша выбора запуска, а в биосе я не мог настроить что бы запускало с флешки, как только не ставил, и первой по запуску и последней, никак((
Вот отчёты на данный момент от Malwarebytes и TDSKiller

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #25 on: August 19, 2013, 04:30:33 PM »
Ах да и OTL Вообще не запускается, пишет что это не Win32

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Re: Нешта
« Reply #26 on: August 19, 2013, 04:31:28 PM »
Восстановите все файлы из карантина, которые обнаружил TDSSKiller. Похоже, что нешта осталась. Тогда, может Вам лучше сделать загрузочный диск (Live CD): http://www.freedrweb.com/livecd/how_it_works/
Некоторые старые версии BIOS не поддерживают загрузку со съемных носителей.

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #27 on: August 19, 2013, 04:34:32 PM »
Дело в том что комп я купил на этот новый год Samsung np355v5x

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Re: Нешта
« Reply #28 on: August 19, 2013, 04:40:25 PM »
модель немного другая, но должно быть одинаково, прочитайте здесь, как можно сделать загрузку со съемного носителя: http://www.cyberforum.ru/notebooks/thread737352.html

Offline sky-flame

  • Full Member
  • ***
  • Posts: 108
Re: Нешта
« Reply #29 on: August 19, 2013, 04:49:00 PM »
не помогает(