SaiTa Опубликовано 4 октября, 2011 Опубликовано 4 октября, 2011 После загрузки операционки загружаются еще 2 окна: Да, еще непонятные процессы проходили ранее, отписывался вот в этой теме В силу сложившейся ситуации подозреваю, что в компе появились вирусы! Высылаю отчеты: hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip И GetSystemInfo
Tiare Опубликовано 4 октября, 2011 Опубликовано 4 октября, 2011 SaiTa, здравствуйте. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\progra~1\windows ilivid toolbar\datamngr\datamngr.dll',''); QuarantineFile('C:\WINDOWS\system32\usbapi.dll',''); QuarantineFile('c:\progra~1\bandoo\bndhook.dll',''); QuarantineFile('ilivid.exe',''); QuarantineFile('MySQL.sys',''); QuarantineFile('Apache.sys',''); QuarantineFile('C:\Program Files\SmartFTP Client\sfShellTools.dll',''); QuarantineFile('C:\Program Files\mediabar toolbar\rubarbroker.exe',''); QuarantineFile('C:\Program Files\mediabar toolbar\rubar.dll',''); QuarantineFile('C:\Program Files\mediabar toolbar\rubarupdateservice.exe',''); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена Установите SP3 (может потребоваться активация) + все новые обновления для Windows Установите Internet Explorer 8 (даже если им не пользуетесь) - обновите Java до актуальной версии - обновите Adobe Reader до актуальной версии Обновлять или нет - на ваше усмотрение Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC: Новые доступные обновления Загрузить новый драйвер После этого выполните новые логи по правилам раздела + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. + Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
SaiTa Опубликовано 4 октября, 2011 Автор Опубликовано 4 октября, 2011 А как реагировать на эти сообщения:
Roman_Five Опубликовано 4 октября, 2011 Опубликовано 4 октября, 2011 А как реагировать на эти сообщения: это при очистке корзины? при использовании ATFCleaner'a? никак пока не реагировать. выполняйте все предложенные выше рекомендации.
SaiTa Опубликовано 5 октября, 2011 Автор Опубликовано 5 октября, 2011 (изменено) это при очистке корзины? при использовании ATFCleaner'a?никак пока не реагировать. выполняйте все предложенные выше рекомендации. Да, начал с ATFCleaner'a а здесь сразу выпрыгивают эти окна. Испугался! Спасибо! Да еще, Tiare а долго ли нужно ждать ответ с личного кабинета? Изменено 5 октября, 2011 пользователем SaiTa
SaiTa Опубликовано 5 октября, 2011 Автор Опубликовано 5 октября, 2011 (изменено) Tiare Утилита Malwarebytes' Anti-Malware проверяет компьютер. Все сделал как говорили. Но проблема так же и осталась После загрузки операционки загружаются еще 2 окна Вот новые логи: virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt Да и еще, после установки SP3 стала моргать панель быстрого запуска! Ничего не понимаю. Изменено 5 октября, 2011 пользователем SaiTa
Roman_Five Опубликовано 5 октября, 2011 Опубликовано 5 октября, 2011 (изменено) SaiTa, у меня для начала пара вопросов: - используете это ПО? 1) Windows iLivid Toolbar 2) ADK's WinHider 3) mediabar Toolbar 4) YandexBar 5) bandoo 6) Xobni если не используете - деинсталлируйте его. если в списке установленных программ не значатся такие пункты или деинсталляция не происходит - воспользуйтесь CCleaner, где выберите "очистка реестра" Изменено 5 октября, 2011 пользователем Roman_Five
SaiTa Опубликовано 5 октября, 2011 Автор Опубликовано 5 октября, 2011 SaiTa,у меня для начала пара вопросов: - используете это ПО? 1) Windows iLivid Toolbar 2) ADK's WinHider 3) mediabar Toolbar 4) YandexBar 5) Только ADK's WinHider
Roman_Five Опубликовано 5 октября, 2011 Опубликовано 5 октября, 2011 Да и еще, после установки SP3 стала моргать панель быстрого запуска! в качестве эксперимента временно деинсталлируйте все "украшалки" рабочего стола (RocketDock, ...) Только ADK's WinHider а 5 и 6 пункт (добавил позднее)? когда очистите реестр с помощью CCleaner, переделайте лог RSIT и сообщите, что из выше перечисленного можно подчищать.
SaiTa Опубликовано 5 октября, 2011 Автор Опубликовано 5 октября, 2011 в качестве эксперимента временно деинсталлируйте все "украшалки" рабочего стола (RocketDock, ...) а 5 и 6 пункт (добавил позднее)? когда очистите реестр с помощью CCleaner, переделайте лог RSIT и сообщите, что из выше перечисленного можно подчищать. Кроме 2-й никакой программой не пользуюсь. Хотел удалить RocketDock и анимацию окон, да не нашел, где установлены. Так, что можно остальные удалять. log.txt И еще долго сканит Утилита Malwarebytes' Anti-Malware. Скорее всего оставлю на ночь.
Roman_Five Опубликовано 5 октября, 2011 Опубликовано 5 октября, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('XobniService', 4); SetServiceStart('Bandoo Coordinator', 4); QuarantineFile('C:\Program Files\mediabar toolbar\*.*',''); QuarantineFile('E:\NTGLM7X.sys',''); QuarantineFile('E:\NTACCESS.sys',''); QuarantineFile('E:\install4\MSICPL.sys',''); QuarantineFile('E:\INSTALL\GMSIPCI.SYS',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\gccusd.sys',''); QuarantineFile('C:\Program Files\Xobni\*.*',''); QuarantineFile('C:\PROGRA~1\Bandoo\*.*',''); QuarantineFile('C:\WINDOWS\003006_.tmp ',' '); DeleteFile('C:\WINDOWS\003006_.tmp '); DeleteFileMask('C:\PROGRA~1\Bandoo\ ','*.* ',true ,' '); DeleteDirectory('C:\PROGRA~1\Bandoo\ ',' '); DeleteFileMask('C:\Program Files\Xobni\ ','*.* ',true ,' '); DeleteDirectory('C:\Program Files\Xobni\ ',' '); DeleteFileMask('C:\Program Files\mediabar toolbar\ ','*.* ',true ,' '); DeleteDirectory('C:\Program Files\mediabar toolbar\ ',' '); DelBHO('23DD83B5-BDDC-49CE-B77B-514819C6D551'); DeleteService('XobniService'); DeleteService('Bandoo Coordinator'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\Windows iLivid Toolbar\Datamngr\ToolBar\searchqudtx.dll O20 - AppInit_DLLs: c:\progra~1\windows ilivid toolbar\datamngr\datamngr.dll c:\progra~1\windowsc:\progra~1\bandoo\bndhook.dll Сделайте новые логи по правилам.
SaiTa Опубликовано 5 октября, 2011 Автор Опубликовано 5 октября, 2011 Вот отчет от Malwarebytes' Anti-Malware mbam_log_2011_10_05__18_48_16_.txt Остальное уже завтра. Спасибо!
Roman_Five Опубликовано 5 октября, 2011 Опубликовано 5 октября, 2011 Хотел удалить RocketDock и анимацию окон, да не нашел, где установлены. Win+R msconfig автозагрузка снимите галочки со всего, чего не знаете или не нужно (в т.ч. и RocketDock). перезагрузитесь. "левые" окна появились? Вот отчет от Malwarebytes' Anti-Malware Удалите в MBAM ТОЛЬКО следующие объекты: Зараженные ключи в реестре: HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Крэки - на Ваше усмотрение. Проверьте на virustotal.com следующие файлы: c:\documents and settings\user\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe (Adware.ADON) -> No action taken. c:\documents and settings\user\application data\microsoft\warcraft iii\BNVBotII.exe (Trojan.Dropper) -> No action taken. c:\Install\от сергея\warcraft_iii\BNVBotII.exe (Trojan.Dropper) -> No action taken. c:\program files\Opera AC\misc\txt2clip.exe (Backdoor.Bot) -> No action taken. c:\program files\invisible ip map\invisibleip.exe (Malware.NSPack) -> No action taken.
SaiTa Опубликовано 6 октября, 2011 Автор Опубликовано 6 октября, 2011 (изменено) После чистки автозагрузки выпрыгивает только папка System32 И еще, в автозагрузке 2 KasperskyUpdater и 2 RocketDock с одинаковыми путями. Плюс после выключения из автозагрузки RocketDock он снова включен! MBAM заново проверяет комп. Это может занять часа 3-4. Не могу загрузить файлы Изменено 6 октября, 2011 пользователем SaiTa
Roman_Five Опубликовано 6 октября, 2011 Опубликовано 6 октября, 2011 (изменено) Не могу загрузить файлы куда? сюда на форум или virustotal? проверил. сюда. сообщу по инстанции. Изменено 6 октября, 2011 пользователем Roman_Five
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти