Перейти к содержанию

clubrelaxxxx.com/ после вирусятины а также непонятности при запуске


Пью

Рекомендуемые сообщения

На компе по недосмотру вышли в сеть с отключенным Kaspersky Crystal (сама версия 9.1.0.124), после чего, естественно, пришлось выковыривать то что комп подцепил.

Было:

Trojan-Spy.Win32.Carberp.sud

Trojan.Script.Carberp.a

Bacdor.Win32.Hlux.afp

Kaspersky Crystal впоследствии был подключен, вирусня увиделась, но лечить пришлось специфической утилитой с этого сайта, сам Kaspersky Crystal справиться с бедой не мог.

 

Вроде победили, но:

браузер (Опера) постоянно лезет в адрес (который в заголовке темы). Прописывание этого адреса как запрещенного не очень помогает.

Кэш чистил (впрочем, кэш и вообще содержимое IE не трогал т.к. не пользуюсь, перед написанием сюда на форум, заглянул в IE, что-то от Bacdor там прописалось. Пока не удаляю в видах более точной диагностики.)

 

При старте системы, само по себе всегда стало открываться окно проводника в разделе

Windows\System32, что подозрительно. (Система Win XP х32)

 

И опять же при старте, на фоне заставки на долю секунды появляется небольшое черное окно с исполнением (по всей видимости) какой-то команды, рассмотреть кто это, не успевается.

Ссылка на комментарий
Поделиться на другие сайты

Вот выполнено:

 

А также - черное окно, выскакивающее при запуске, вроде как на cmd заканчивается

virusinfo_syscheck.zip

info.txt

log.txt

KL_syscure.zip

Изменено пользователем Пью
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\DOCUME~1\Yu-Yu\LOCALS~1\Temp\43218968FdOh','');
DeleteFile('C:\DOCUME~1\Yu-Yu\LOCALS~1\Temp\43218968FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','43219375');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Выполните новые логи по правилам, отчеты прикрепите к следующему сообщению

Логи RSIT делайте с подключенным интернетом.

 

 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

 

Смените все важные пароли, особенно от платежных систем сейчас, после окончания лечения смените пароли еще раз.

Ссылка на комментарий
Поделиться на другие сайты

DealBulldog Toolbar

StartNow Toolbar

Video Download Toolbar 2.2.0.0

Используете? Это разновидность Adware

Если нет - желательно удалить штатным способом (через установку и удаление программ).

 

После удаления (если решите не удалять тулбары - фикс не делайте)

Пофиксите в HijackThis следующие строчки. Некоторые строки могут отсутствовать

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/videodownloadtoolbar/{FE26394F-9713-4CE4-BBE1-F8E017C503BD}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/videodownloadtoolbar/{FE26394F-9713-4CE4-BBE1-F8E017C503BD}
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\DealBulldog Toolbar\tbhelper.dll
O2 - BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll
O2 - BHO: Video Download Toolbar Intercept - {B29002A0-87A1-4DC4-AC55-5982034EB61E} - C:\PROGRA~1\VIDEOD~1\VIDEOD~1.DLL
O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll
O3 - Toolbar: StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll
O3 - Toolbar: DealBulldog Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\DealBulldog Toolbar\tbcore3.dll

 

 

- деинсталлируйте Malwarebytes' Anti-Malware

- обновите Java до актуальной версии

- обновите Adobe Flash Player до актуальной версии

- обновите Adobe Reader до актуальной версии

 

 

 

Проблемы есть?

Ссылка на комментарий
Поделиться на другие сайты

DealBulldog Toolbar

StartNow Toolbar

Video Download Toolbar 2.2.0.0

Используете? Это разновидность Adware

Нет, ни разу, возможно попала с установкой софта, который воткнули принудительно от провайдера при подключении к сети, или при устанвоке каких-то видеокодеков (K-Lite), на которые кстати при запуске Каспер ругался.

 

В принципе, проблем более нет. (Черное окошко с cmd.exe перестало появляться после выполнения первого скрипта, написанного в сообщении - если это свидетельствовало о какой-то реальной проблеме).

То что при старте проводник произвольно открывается в окошке WINDOWS\System32 - раз инструментальные методы показывают, что комп ничем не заражен, то придется терпеть.

В любом случае, спасибо за помощь.

 

Еще комп не выключается, если проводник не закрыть - KIS выгружается и далее дело не идет, закроешь проводник, второй раз выключить/перезагрузить - срабатывает.

Обе нештатности (особенность при старте и при выключении) по всей видимости несущественны и выходят за рамки начатой темы в разделе борьбы с вирусами, но если кто подскажет где поискать решение, то это было бы хорошо.

Контрольных точек не делалось, никогда не занимался восстановлением винды никакими средствами, там восстановление системы изначально выключено, и никакой замены этой задачи сторонним софтом на этом компе не предусмотрено.

Ссылка на комментарий
Поделиться на другие сайты

если тулбары удалили - повторите лог RSIT (не отключая интернет), посмотрим, нет ли хвостов.

 

 

 

Насчет вашего вопроса - создайте тему в разделе "Компьютерная помощь". Кроме того, удалите из автозапуска лишние программы.

Например, знакомо?

O4 - HKCU\..\Run: [multifon.exe] "" /autostart
Ссылка на комментарий
Поделиться на другие сайты

Tiare

Например, знакомо?

 

O4 - HKCU\..\Run: [multifon.exe] "" /autostart

Что-то смотрел-смотрел, не увидел где сидит этот кусок от мегафоновского модема (таки да, до неприличия много дряни оставляет в компе, удалял его хвосты как умел но не все заметил). Это оно? - :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

 

Вообще, на данный момент винда по внешним признакам полностью нормализовалась, никаких подозрительных действий при старте, и выключаться стала по-штатному. Понравилось :happybirth: Видать, хвост какой-то удалил, значит (EasyCleaner-ом пошерстил как раз автозапуск, и какую-то мертвечину оттуда выпилил).

 

На всякий случай лог RSIT прилагаю - может там еще лишнее есть.

Судя по всему, adware влезло с кодеками, так может еще что-то можно удалить, там что-то с видео связано но я сам побаиваюсь удалять.

 

 

 

Кстати, насчет актуального ПО - насколько я помню, у Adobe весь софт сейчас пригружен всякой фигнёй. Если память не изменяет, они кругом суют McAfee к примеру (его деятельность рядом с KIS как минимум странна, если я правильно понял), почему у меня и установлено всё древнее, пока оно было относительно чистое. Причем без этих милых дополнений их софт не становился, насколько мне помнится.

В случае установки актуального, таки вынужденнно соглашаться на установку доп. компонентов и потом удалять их - вполне штатное решение, получается?

log3rsit.txt

Изменено пользователем Пью
Ссылка на комментарий
Поделиться на другие сайты

Что-то смотрел-смотрел, не увидел где сидит этот кусок от мегафоновского модема (таки да, до неприличия много дряни оставляет в компе, удалял его хвосты как умел но не все заметил). Это оно? - :

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

нет, не трогайте. Того хвоста уже нет.

 

Судя по всему, adware влезло с кодеками, так может еще что-то можно удалить, там что-то с видео связано но я сам побаиваюсь удалять.

один из тулбаров установился с FLVPlayer4Free. При установке обращайте внимание, что идет "в нагрузку" )

 

удалите вручную

C:\Documents and Settings\Yu-Yu\Application Data\Toolbar4

 

насчет обновления Адоб - галочку снимите

post-19943-1354174552_thumb.jpg

 

 

 

 

 

Все чисто.

Ссылка на комментарий
Поделиться на другие сайты

Тулбар снес, за всю помощь спасибо :happybirth:

Наверное, тему можно закрывать.

 

 

 

Сообщение от модератора Tiare

Проблема решена. Тема закрыта по просьбе топикстартера

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • mamruc
      От mamruc
      Здравствуйте!
      Физически помер сервер с установленным KSC14, есть бекап сервера. На новом сервере устанавливал  KSC с новой базой, при подключении через Веб морду ничего не отображает, через MMC пишет:
      «Операция не может быть выполнена, так как программа инициализируется или деинициализируется»
      Такой статус еже несколько часов.
    • Lotte
      От Lotte
      Добрый день.
       
      Помогите подскажите возможно ли так сделать? 
       
      Читал статью Запрет запуска объектов установил веб консоль на сервер там же от куда Касперский устанавливается на рабочие станции, подключился под доменным админом и дальше не могу понять.
      Пытаюсь новую политику создать и страница зависает.
       

       

       
      Kaspersky Security Center 13.2 Web Console: 13.2.571
      Версия Сервера администрирования: 13.2.0.1511
    • ГГеоргий
      От ГГеоргий
      Добрый день!
      подскажите пожалуйста, как лучше реализовать следующий функционал - 
      Нам немобходимо чтобы создался перечень определенных приложений на армах в группах, и было разрешено открывать-запускать исключительно эти приложения.

      Проблемы с которыми мы столкнулись6
      На Linux можно создать Golden Image для этого, а в виндовой версии такого нет.
      При экспорте перечня программ из реестра приложений мы получаем csv или txt файлы, в то время как компонент "контроль приложений" принимает на импорт только xml.
      Вручную добавлять программы не вариант, тк их может быть очень много
      Через задачу "формирования правил контроля запуска программ" это тоже делается с трудом, тк там можно выбрать из уже запущенных программ, и из отчетов KSC, нам же необходимо скопом закинуть туда перечень
      И кроме того при формировании правил контроля запуска программ  в блоке "по завершении задачи" есть пункт "Экспортировать разрешающие правила в файл." Там необходимо указать полный путь к файлу xml (для экспорта) но как бы мы не указывали - получаем ошибку неверный путь. Подскажите что можно сделать? 
    • Dan4es
      От Dan4es
      Добрый день.
       
      Возникла проблема с цикличным перезапуском KES при открытии Outlook2016. Обе программы переустанавливал. Также пробовал на другом ПК с другой УЗ, поведение такое же. Клиенты под управлением KSC 14.2, KES 12.6.0.438. Скрин, примененной политики, прилагаю. Может кто сталкивался с таким поведением.





    • SK_
      От SK_
      Служба "kladminserver" остановлена из-за ошибки. #1950 (208) Generic db error: "208 'Invalid object name 'sys.database_scoped_configurations'.{42S02};' LastStatement='EXEC upgd_set_maxdop'"  
      cервер на win 8.1
      SQL Express - 10.50.4042.0
×
×
  • Создать...