Слетают настройки Windows [LOG?]

[Алексей Н]

Здравствуйте,

У меня такая ситуация. Включил компьютер и на рабочем столе не обнаружил ни одного ярлыка, стояла стандартная тема (была сторонняя, ярлыков было много). Как выяснилось позже, пропали все закладки с браузеров (лиса, опера), все ассоциации файлов, браузер по умолчанию и даже сохранения с игр. Винда как-будто стала чистая, но ни одного приложения не пропало и работало все штатно. Полным сканом KIS обнаружил Packed.Win32.Krap.y в C:\WINDOWS\system32\vhosts.exe. Посмотрите скрин, а вернее "пользователя" на этом скрине. Естественно, такого пользователя в системе мною не создавалось, при запуске спрашивает под каким пользователем зайти но там всего один пользователь созданный мной (не TEMP). Кстати, если все настроить под себя, псоле перезагрузки все настройки опять слетают.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Росляев]

А ты компьютер нормально выключал?

[Алексей Н]

Нормально, не первый день комп юзаю

[Росляев]

Нормально, не первый день комп юзаю

У меня тоже была такая ситуация. Я случайно компьютер из сети выключил на Сохранение параметров. И не обнаружил значков

[Алексей Н]

И настройки все слетали при каждой перезагрузке?

[Росляев]

И настройки все слетали при каждой перезагрузке?

Нет

[izstas]

Не знаю как XP, а 7 создаёт профиль TEMP если не может загрузить нужный. И удаляет его при выходе. Т.е. это штатное поведение... Другое дело, почему профиль не грузится...

 

Проверьте вашу папку пользователя на диске - там всё может быть на месте (рабочий стол, документы, сохранения и др.)

[Алексей Н]

izstas, папка есть, там все на месте. Есть в логах что-нибудь нечистое? В чем может быть проблема при загрузке профиля?

[C. Tantin]

Lexa /nokia 5800/ например, в отсутствии прав доступа NTFS на профиль для пользователя SYSTEM

[миднайт]

Выполните скрипт в АВЗ:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll','');
DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\extension\components\fftma.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); 
RebootWindows(true);
end.

 

Логи повторите.

[Алексей Н]

Скрипт не помог, проблема осталась, профиль тот же TEMP

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните, пожалуйста, http://forum.kaspersky.com/index.php?showtopic=103868

 

 

Сделайте отчет GSI

[Severus]

Скрипт не помог, проблема осталась, профиль тот же TEMP

c:\windows\system32\msdtc.exe

Проверил бы я на virustotal.com

А также:

C:\Program Files\DMoNsoft\PROWiSe\PROWiSe.exe

C:\WINDOWS\system32\mstask.dll

C:\WINDOWS\system32\Drivers\a347bus.sys

[Алексей Н]

Результаты проверки на virustotal

c:\windows\system32\msdtc.exe - http://www.virustotal.com/ru/analisis/9e11...194b-1252572231

C:\Program Files\DMoNsoft\PROWiSe\PROWiSe.exe - http://www.virustotal.com/ru/analisis/0e19...773c-1238852621

C:\WINDOWS\system32\Drivers\a347bus.sys - http://www.virustotal.com/ru/analisis/efbc...62b1-1252567742

c:\windows\system32\msdtc.exe - http://www.virustotal.com/ru/analisis/f635...4886-1252581285

 

Отчет GSI: http://www.getsysteminfo.com/read.php?file...4f5f445829c0a19

 

Вот ответ с virusinfo.info: http://virusinfo.info/showpost.php?p=46546...;postcount=2772

GetSystemInfo_FA5BE17BBC48412_Home_2009_09_10_17_06_14.zip

Изменено 10 сентября, 2009 пользователем Lexa /nokia 5800/

[миднайт]

Деинсталлируйте Malwarebytes' Anti-Malware. Не вижу заражения в логах. Удалите лишних пользователей, проверьте права доступа на системные папки, поставьте последние обновления на систему. Что с ассоциациями файлов?

 

Сделайте лог программой Gmer.

Изменено 10 сентября, 2009 пользователем миднайт