Перейти к содержанию

Слетают настройки Windows [LOG?]


Алексей Н

Рекомендуемые сообщения

Здравствуйте,

У меня такая ситуация. Включил компьютер и на рабочем столе не обнаружил ни одного ярлыка, стояла стандартная тема (была сторонняя, ярлыков было много). Как выяснилось позже, пропали все закладки с браузеров (лиса, опера), все ассоциации файлов, браузер по умолчанию и даже сохранения с игр. Винда как-будто стала чистая, но ни одного приложения не пропало и работало все штатно. Полным сканом KIS обнаружил Packed.Win32.Krap.y в C:\WINDOWS\system32\vhosts.exe. Посмотрите скрин, а вернее "пользователя" на этом скрине. Естественно, такого пользователя в системе мною не создавалось, при запуске спрашивает под каким пользователем зайти но там всего один пользователь созданный мной (не TEMP). Кстати, если все настроить под себя, псоле перезагрузки все настройки опять слетают.

post-10119-1252574241_thumb.jpg

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Нормально, не первый день комп юзаю

У меня тоже была такая ситуация. Я случайно компьютер из сети выключил на Сохранение параметров. И не обнаружил значков

Ссылка на комментарий
Поделиться на другие сайты

Не знаю как XP, а 7 создаёт профиль TEMP если не может загрузить нужный. И удаляет его при выходе. Т.е. это штатное поведение... Другое дело, почему профиль не грузится...

 

Проверьте вашу папку пользователя на диске - там всё может быть на месте (рабочий стол, документы, сохранения и др.)

Ссылка на комментарий
Поделиться на другие сайты

izstas, папка есть, там все на месте. Есть в логах что-нибудь нечистое? В чем может быть проблема при загрузке профиля?

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в АВЗ:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll','');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

 

Логи повторите.

Ссылка на комментарий
Поделиться на другие сайты

Скрипт не помог, проблема осталась, профиль тот же TEMP

c:\windows\system32\msdtc.exe

Проверил бы я на virustotal.com

А также:

C:\Program Files\DMoNsoft\PROWiSe\PROWiSe.exe

C:\WINDOWS\system32\mstask.dll

C:\WINDOWS\system32\Drivers\a347bus.sys

Ссылка на комментарий
Поделиться на другие сайты

Результаты проверки на virustotal

c:\windows\system32\msdtc.exe - http://www.virustotal.com/ru/analisis/9e11...194b-1252572231

C:\Program Files\DMoNsoft\PROWiSe\PROWiSe.exe - http://www.virustotal.com/ru/analisis/0e19...773c-1238852621

C:\WINDOWS\system32\Drivers\a347bus.sys - http://www.virustotal.com/ru/analisis/efbc...62b1-1252567742

c:\windows\system32\msdtc.exe - http://www.virustotal.com/ru/analisis/f635...4886-1252581285

 

Отчет GSI: http://www.getsysteminfo.com/read.php?file...4f5f445829c0a19

 

Вот ответ с virusinfo.info: http://virusinfo.info/showpost.php?p=46546...;postcount=2772

GetSystemInfo_FA5BE17BBC48412_Home_2009_09_10_17_06_14.zip

Изменено пользователем Lexa /nokia 5800/
Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте Malwarebytes' Anti-Malware. Не вижу заражения в логах. Удалите лишних пользователей, проверьте права доступа на системные папки, поставьте последние обновления на систему. Что с ассоциациями файлов?

 

Сделайте лог программой Gmer.

Изменено пользователем миднайт
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • dexter
      От dexter
      Всем привет.
       
      Открыл меню Плюса и увидел сообщение (скрин). Ладно, залез в BIOS и включил виртуализацию и попутно (по совету в одной из профильных статей ЛК) параметр VT-d.
      Опять посетил Настройку защиты ввода данных и опять сообщение "... Обнаружено несовместимое устройство или программное обеспечение."
       
      Хорошо. По поводу устройства - ясен пень, имеется в виду модуль TPM . Но он у меня не установлен. Это я знаю точно, поскольку я его не покупал и не устанавливал ( как мне разъяснили в одном из магазинов,
      сие устройство запрещено к оф. продаже). Разъём на плате есть, а самого модуля - нету.
       
      Смотрим и читаем дальше много букв в одной из профильных статей от ЛК. И оказывается, что причин о несовместимости программного обеспечения может быть несколько - https://support.kaspersky.ru/common/safemoney/13713#block1
      то что вверху написано - не суть важно. Листаем список ниже. И что мы там видим ? А то, что под программным обеспечением имеется в виду в том числе Изоляция ядра и Smart App Control.
      У меня, на начальной стадии использования винды-11 Smart App Control отключен, т.к. находится в  режиме "Оценка".
       
      А теперь такой вопрос к разработчикам : нельзя как-то решить эту коллизию с Smart App Control , Изоляцией ядра и защитой ввода данных с использованием аппаратной виртуализации ?
      Или вы реально решили, что для функционирования Плюса в том виде, как Вы задумали , надо отключить несколько функций по обеспечению безопасности в самой системе ?


    • ska79
      От ska79
      Добавил ksec подключение  на роутер, весь трафик стал заворачиваться в ksec, задача завернуть трафик лишь одного сайта, а не весь. Добавлял маршруты -это не принесло результата. Как разграничить трафик?
    • Evgeny16
      От Evgeny16
      Приветствую. Столкнулся с проблемой постоянно выскакивающим окном Windows с предложением открыть gt26 launcher. При отказе, выскакивает ошибка Windows Script Host С:\Users\user\Documents\tasklC.vbs  c текстом ошибки: "Операция была отменена пользователем" При этом в автозагрузке появился процесс gt26-launcher, отключение которого не помогло. Недолго думая, открыл расположение данного файла и вручную снёс папку с лаунчером. После этого действия постоянно открывается Windows Script Host c текстом ошибки: "Не удается найти указанный файл"
    • infobez_bez
      От infobez_bez
      Здравствуйте! 

      На АРМ c АстраЛинукс установлен KES 12.1 , управляется политикой с нашего сервера администрирования. 
      Пытаемся в политике настроить управление сетевым экраном. Наша цель запретить всё, кроме определенного сайта, например pochta.ru.
      Перепробовали различные комбинации:
      Запрет нижним правилом всего и правилами выше разрешение определенных IP, разрешение "Входящие/Исходящие", "Входящие пакеты/Исходящие пакеты", группы и т.д. но итог практически всегда один, интернет действительно блокируется, сайты в браузере не открываются, через консоль ip нужного сайта пингуется, пакеты доходят, но в браузере нужный сайт все равно не открывается. На странице ошибка DNS_PROBE_FINISHED_NO_INTERNET.
      Может кто-то подсказать решение? Нужно чтобы через браузер открывался только один сайт, веб контроль в данном случае не подходит, нужен именно сетевой экран. Спасибо!
       
    • sputnikk
      От sputnikk
      Страница загрузки Windows 10 Technical Preview
      http://windows.microsoft.com/ru-ru/windows/preview-coming-soon
×
×
  • Создать...