тормозит ПК, подозрение на заражение.

[B0MBJACK]

стоит куча всяких "чистильщиков" реестра и защиты системы, антивирь аваст...

 

после отключения всех этих прог ПК все-равно притормаживает.

 

винда ХР в2002 СП3, 2 ядра, 3,48 Гб ОЗУ.

 

мое мнение - винду переставить, а ваше какое будет?

 

 

 

Сообщение от модератора Tiare

не прикрепляйте лишние (не требуемые) отчеты

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено 19 декабря, 2012 пользователем Tiare

[Tiare]

B0MBJACK,

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\WINDOWS\system32\dbepwen.dll
C:\Documents and Settings\All Users\Application Data\Premium\OptimizerPro1\OptimizerPro1.exe
C:\Documents and Settings\All Users\Application Data\Download and Sa\5097c91d6eff9.ocx

 

 

Знакомо?

C:\Documents and Settings\All Users\Application Data\Download and Sa

C:\Documents and Settings\All Users\Application Data\InstallMate

 

 

У вас установлена Malwarebytes Anti-Malware, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

[B0MBJACK]

Tiare, понял, учту

 

 

Проверьте эти файлы на virustotalРаскрывающийся тексткнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

однако же файлов, которые Вы просите проверить нет в системе,прикладываю скрин автокарантина из малавары (jpg)

 

сделал проверку OptimizerPro.ехе (рядом в папке) ссылка

 

произвел выборочную проверку AVZ папки OptimizerPro1 результат в .тхт (что-то про загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\dbepwen.dll" хотя самого файла нету)

 

вчера еще проверку малаварой делал ( быстрое) тоже логи прикладываю (2 шт)

 

полное сканирование скоро закончится - лог приложу.

 

Знакомо?ЦитатаC:\Documents and Settings\All Users\Application Data\Download and SaC:\Documents and Settings\All Users\Application Data\InstallMate

 

неа )) но в лог-файлах там указано, что файлы установки OptimizerPro находятся

 

 

так, полное завершилось - прикладываю скрин выделенных угроз и лог-файл.

лог_проверки_OptPro1.txt

mbam_log_2012_12_18__17_03_57_.txt

mbam_log_2012_12_18__17_15_00_.txt

mbam_log_2012_12_20__13_55_36_.txt

Изменено 20 декабря, 2012 пользователем B0MBJACK

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('21773298', 4);
QuarantineFile('C:\WINDOWS\system32\dbepwen.dll','');
QuarantineFile('C:\WINDOWS\*.TMP','');
QuarantineFile('C:\WINDOWS\system32\*.TMP','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Download and Sa\5097c91d6eff9.ocx','');
QuarantineFile('c:\windows\system32\serv32.dll','');
QuarantineFile('crjj.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\21773298.sys');
DeleteFile('C:\WINDOWS\system32\dbepwen.dll');
DeleteService('21773298');
DeleteFileMask('C:\WINDOWS\', '*.TMP', false, '');
DeleteFileMask('C:\WINDOWS\system32\', '*.TMP', false, '');
DelAutorunByFileName('C:\WINDOWS\system32\dbepwen.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O20 - AppInit_DLLs: C:\WINDOWS\system32\dbepwen.dll

 

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре:  17
HKCR\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\tdataprotocol.CTData.1 (PUP.Blabbers) -> Действие не было предпринято.
HKCR\tdataprotocol.CTData (PUP.Blabbers) -> Действие не было предпринято.
HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> Действие не было предпринято.
HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> Действие не было предпринято.
HKCR\updatebho.TimerBHO (PUP.Blabbers) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKCR\PROTOCOLS\HANDLER\BASE64 (PUP.Blabbers) -> Действие не было предпринято.
HKCR\PROTOCOLS\HANDLER\CHROME (PUP.Blabbers) -> Действие не было предпринято.
HKCR\PROTOCOLS\HANDLER\PROX (PUP.Blabbers) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  3
HKCR\protocols\Handler\base64|CLSID (PUP.Blabbers) -> Параметры: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Действие не было предпринято.
HKCR\protocols\Handler\chrome|CLSID (PUP.Blabbers) -> Параметры: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Действие не было предпринято.
HKCR\protocols\Handler\prox|CLSID (PUP.Blabbers) -> Параметры: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Documents and Settings\Admin\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.

Обнаруженные файлы:  14
C:\Program Files\Get-Styles 2.0\ie\tdataprotocol.dll (PUP.Blabbers) -> Действие не было предпринято.
C:\Program Files\Get-Styles 2.0\op\updatebho.dll (PUP.Blabbers) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\{0CB35FC6-71F7-4C9A-AE71-39D5D7507D30}\Addons\wxdownload_extension.exe (PUP.FakePlug) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\{0CB35FC6-71F7-4C9A-AE71-39D5D7507D30}\Addons\wxdownload_extensionie.exe (PUP.FakePlug) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\{F5BC0A5C-611E-4A63-A888-293C2E5F28AA}\Addons\wxdownload_extension.exe (PUP.FakePlug) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\MediaGet_id3067565id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\System Volume Information\_restore{7BB4618B-0A07-4D49-A889-91D9D275166B}\RP17\A0017931.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{7BB4618B-0A07-4D49-A889-91D9D275166B}\RP17\A0018516.exe (Trojan.FakeMS) -> Действие не было предпринято.
C:\System Volume Information\_restore{7BB4618B-0A07-4D49-A889-91D9D275166B}\RP9\A0010507.dll (Spyware.Zeus) -> Действие не было предпринято.
C:\System Volume Information\_restore{7BB4618B-0A07-4D49-A889-91D9D275166B}\RP9\A0011508.dll (Spyware.Zeus) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\Rubar-Toolbar\MsiHelper.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar\Service.log.log (PUP.Rubar) -> Действие не было предпринято.

После удаления откройте лог и прикрепите его к сообщению.

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

 >>  Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>>  Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>>  Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>>  Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>>  Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>>  Таймаут завершения процессов находится за пределами допустимых значений
>>  Заблокирован пункт меню Справка и техподдержка
>>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

 

Рекомендую деинсталлировать Optimizer Pro и RegClean Pro.

Вместо них можно использовать CCleaner.

 

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

 

Сделайте новые логи по правилам.

[B0MBJACK]

...Полученный ответ сообщите в этой теме.

 

отвер вирлаба:

SET3.tmp,

SET8.tmp

 

Вредоносный код в файлах не обнаружен.

 

SET4.tmp

 

Файл в процессе обработки.

 

С уважением, Лаборатория Касперского

 

 

вроде все правильно сделал )

mbam_log_2012_12_25__07_55_52_.txt

AdwCleaner_R1_.txt

TDSSKiller.2.7.34.0_25.12.2012_18.05.56_log.txt

[Roman_Five]

Сделайте новые логи по правилам.

забыли...

 

деинсталлируйте MBAM

 

запустите снова AdwCleaner и нажмите кнопку delete. полученный после перезагрузки лог приложите.

[B0MBJACK]

вот логи

 

и файлы на карантине в вирлаб отправил

 

 

Сообщение от модератора Tiare

virusinfo_cure.zip - удален (автокарантин)

virusinfo_syscure.zip

virusinfo_syscheck.zip

AdwCleaner_S1_.txt

Изменено 26 декабря, 2012 пользователем Tiare
автокарантин удален

[Tiare]

B0MBJACK, логи RSIT прикрепите

[B0MBJACK]

сорь, забыл кнопку "загрузить" нажать ))

log.txt

[Tiare]

B0MBJACK,

 

 

Деинсталлируйте Java 6 Update 16 и установите актуальную версию Java

- обновите Adobe Reader до актуальной версии

- обновите Adobe Flash Player до актуальной версии

 

 

Смените важные пароли, особенно от платежных систем.

[B0MBJACK]

Смените важные пароли, особенно от платежных систем.

хд )) вообще-то на компе редко кроме ребенка работают взрослые, но учту и передам им )

ява им только по некоторым играм старым нужна

ридер необязателен - есть другие просмотрщики пдф-файлов (он при первой установке ставился комплектом с дровами).

 

а так всем спасибо за помощь, комп стал слегка быстрее работать )

снес всех "помощников" очистки системы, поставил каспера вместо аваста и эверест.

тему можно закрыть.

 

Сообщение от модератора Roman_Five

Закрыто.