zyablik 12 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 (изменено) Один из сотрудников привез свой домашний компьютер. В одноклассники, мол, зайти не могу. Комп запущенный, система левая, разумеется, заросший, тормозит, браузеров полно, но толком ничего не работает. Ну, удалил какие-то непонятные программы — это особо не помогло. Далее. Пробовал KasperskyRemovalTool'ом (с диска грузил, обновил базы), Каспер что-то даже нашел, вроде (я, увы, отходил), но Каспер-система повисла. Потом. Ничего другого под рукой не было: перетряс реестр RegOrganizer'ом (там было, по его мнению, жуткое кол-во ошибок), диск С дефрагментировал PuranDefrag'ом. Чуток стал лучше работать. Но с Интернетом беда по-прежнему. Тормоза. Сделал логи RSIT, AVZ. Но стоит совершенно неадекватный антивирус Avira Free (+ его Real-Time Protection и Web-Protecrion). Не выгружается штатно (нет такого средства, похоже), и не выдергивается из памяти (прямо как сурьезный антивирь). Но самое неприятное в другом: срабатывает именно когда работает AVZ или RegOrganizer — встает поперек со своей "Полной проверкой системы") — почти как вирус (сидел до этого молча, и вдруг начал находить троянцев в крэках, которые тут, скорее всего, сидели годами — и ничего). Удалить не решился. Комп чужой, довольно слабый, даже Антивирус Касперского (пробную Яндекс-версию) не потянет. Так и делал логи. ADW-Cleaner нашел IBUpdaterService (вроде бы, я его удалял/?/), ну, вообщем, я этот апдейтер — сказал ADWC'у — удалить к чёрту. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt AdwCleanerR0.txt AdwCleanerS0.txt Изменено 16 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
Soft 1 505 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 С этими логами надо в раздел Уничтожение вирусов. Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 16 января, 2014 Автор Share Опубликовано 16 января, 2014 (изменено) Один из сотрудников привез свой домашний компьютер. В одноклассники, мол, зайти не могу. Комп запущенный, система левая, разумеется, заросший, тормозит, браузеров полно, но толком ничего не работает. Ну, удалил какие-то непонятные программы — это особо не помогло. Далее. Пробовал KasperskyRemovalTool'ом (с диска грузил, обновил базы), Каспер что-то даже нашел, вроде (я, увы, отходил), но Каспер-система в итоге повисла где-то на 20% проверки. Потом. Ничего другого под рукой не было: перетряс реестр RegOrganizer'ом (там было, по его мнению, жуткое кол-во ошибок), диск С дефрагментировал PuranDefrag'ом. Чуток стал лучше работать. Но с Интернетом беда по-прежнему. Тормоза. Сделал логи RSIT, AVZ. Но стоит совершенно неадекватный антивирус Avira Free (+ его Real-Time Protection и Web-Protecrion). Не выгружается штатно (нет такого средства, похоже), и не выдергивается из памяти (прямо как сурьезный антивирь). Но самое неприятное в другом: срабатывает именно когда работает AVZ или RegOrganizer — встает поперек со своей "Полной проверкой системы") — почти как вирус (сидел до этого молча, и вдруг начал находить троянцев в крэках, которые тут, скорее всего, сидели годами — и ничего). Удалить не решился. Комп чужой, довольно слабый, даже Антивирус Касперского (пробную Яндекс-версию) не потянет. Так и делал логи. ADW-Cleaner нашел IBUpdaterService (вроде бы, я его удалял/?/), ну, вообщем, я этот апдейтер — сказал ADWC'у — удалить к чёрту. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt AdwCleanerR0.txt AdwCleanerS0.txt Изменено 16 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 16 января, 2014 Автор Share Опубликовано 16 января, 2014 (изменено) С этими логами надо в раздел Уничтожение вирусов. Да. Продублировать тему? Создал там. Спасибо. Удалите уж, тогда, отсюда (???). Самостоятельно я, видимо, не могу. Спасибо. Изменено 16 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 В одноклассники, мол, зайти не могуили DNS подменены или фаил Hosts модифицирован. Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 16 января, 2014 Автор Share Опубликовано 16 января, 2014 Поставил до кучи еще один браузер — Maxthon. Везде (что успел попробовать) заходит, кроме odnoklassniki.ru и vk.com. На facebook.com зашел, тем не менее. В одноклассники, мол, зайти не могуили DNS подменены или фаил Hosts модифицирован. C:\Windows\System32\drivers\etc\hosts пустой Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; ClearHostsFile; DeleteFile('C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\extensions\toolbar@ask.com'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\9zessehq.default\searchplugins\askcom.xml'); DeleteFileMask('C:\Program Files\Smiley Bar for Facebook\','*', true); DeleteDirectory('C:\Program Files\Smiley Bar for Facebook\',' '); DelBHO('4723AAA8-B2F9-4CC1-9E60-190976DB1FA4'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru O2 - BHO: Smiley Bar for Facebook - {4723AAA8-B2F9-4CC1-9E60-190976DB1FA4} - C:\Program Files\Smiley Bar for Facebook\ScriptHost.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O17 - HKLM\System\CCS\Services\Tcpip\..\{147DAF79-CA7B-4FBA-ACC2-1E37A47CEEE0}: NameServer = 127.0.0.1 Сделайте новые логи по правилам. + Скачайте Malwarebytes' Anti-Malware здесь или здесь.Установите mbam-setup-<current number>.exeОткажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".Полученный лог прикрепите к сообщению. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 288 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru C:\Windows\System32\drivers\etc\hosts пустойда простят меня модераторы, но не смог удержатся, когда врут. Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 16 января, 2014 Автор Share Опубликовано 16 января, 2014 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): Этот первый скрипт выполняю. Вроде, выполнился. Хотя там перед перезагрузкой Авира что-то успела выкинуть сообщение типа "доступ к хост файлу заблокирован для вашего же блага" (вольно излагаю)... O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru C:\Windows\System32\drivers\etc\hosts пустойда простят меня модераторы, но не смог удержатся, когда врут. Да? А чем же его открыть. В Блокноте я ничего не увидел. Ну тут я много тупее многих, уж простите. Врать никакого желания. Во время перезагрузки был синий экран: что-то про netbt.sys. STOP 0x000000D1 и прочая байда. Перезагрузил — пока нормально. Изменено 16 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 да простят меня модераторы, но не смог удержатся, когда врут. 1) host файл может быть перемещён 2) много пустых строк перед "левыми" записями Всё, больше не спорим. @zyablik, ждём новые логи 1 3 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 16 января, 2014 Автор Share Опубликовано 16 января, 2014 Спасибо. Но мне, видимо, придется удалить этот чёртовый антивирус Avira. HJT'ом пытаюсь пофиксить выбранное — всплывает сообщение Авиры, типа "хост заблокирован" и ошибка HJT. Решил по одному пункту фиксить, начал с "01.. одноклассники". Та же фигня. И ошибка HJT #58 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 делайте фикс в безопасном режиме 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 16 января, 2014 Автор Share Опубликовано 16 января, 2014 (изменено) делайте фикс в безопасном режиме Понял. В безопасном режиме п.O1 - Hosts: 95.156.222.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru пофиксился. Собственно, только один этот пункт и остался, оказывается, из указанного Вами. A некоторых не было изначально: 2 - BHO: Smiley Bar for Facebook - {4723AAA8-B2F9-4CC1-9E60-190976DB1FA4} - C:\Program Files\Smiley Bar for Facebook\ScriptHost.dll --------------- НЕ БЫЛО O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll --------- НЕ БЫЛО O3 - Toolbar: Avira SearchFree Toolbar plus Web Protection - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll ----------- НЕ БЫЛО --- Пока всё это пишу -- тот комп висит на выгрузке ОС... Не... всё-таки отвис, кажись... Всё — одноклассники и вконтакте открываются, в принципе. ADWCleaner'ом прошелся. Фиксил, что было во вкладке FireFox. Но после повторного запуска (после перезагрузки) строчка опять появлялась. Короче, удалил FireFox — и без него тут куча браузеров, обойдутся. Пусть учатся Maxthon'ом пользоваться RSIT новые сделал. AVZ логи делает сейчас. Ну, и Malwarebytes' Anti-Malware чуток позже запущу. AdwCleanerR1.txt AdwCleanerS1.txt AdwCleanerR2.txt info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Скачал Malwarebytes' Anti-Malware — запускаю. До этого удалил вызывавшую ошибку при выключении компа программу Skype Click to Call — c2c_service.exe Процесс c2c_service.exe позволяет пользователям совершать звонки через Skype, делая вызов непосредственно из окна браузера. Вроде бы, этой ошибки не стало. MBAM начал грызть. Изменено 16 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 января, 2014 Share Опубликовано 16 января, 2014 MBAM начал грызть. ждём. в AVZ выполните в безопасном режиме (после проверки MBAM) begin SetAVZGuardStatus(True); ClearHostsFile; RebootWindows(true); end. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
zyablik 12 Опубликовано 16 января, 2014 Автор Share Опубликовано 16 января, 2014 (изменено) Протокол MBAM: MBAM-log-2014-01-16 (15-04-55).txt Я, правда, уже по строчкам: C:\System Volume Information\_restore{FACC0338-2FF3-4AFF-9085-F31643FA3CFF}\RP113\A0079349.exe (PUP.Optional.OpenCandy) -> C:\System Volume Information\_restore{FACC0338-2FF3-4AFF-9085-F31643FA3CFF}\RP114\A0079424.exe (PUP.Optional.FileScout.A) -> C:\System Volume Information\_restore{FACC0338-2FF3-4AFF-9085-F31643FA3CFF}\RP114\A0079449.exe (PUP.Optional.PCPerformer.A) -> выбрал удалить, потому как Авира уже на них по разу реагировал (записывал!), даже предлагал удалить, и я ему: "удаляй", Авира проковыряется, а они всё на месте. Раз и MBAM, думаю, нашел — уж наверняка надо удалить.Так что этих 3-х строчек нету (новый протокол не сохранил, увы — быстро нажал на перезагрузку). Что до stressreducers.exe -- 100 лет знаю эту программу-шутку. Ничего никогда на нее не реагировало... ---- Скрипт выполнил. Пошла перезагрузка. Э-эй, млин, надо было в безопасном!Сделал-таки и в безопасном. Изменено 16 января, 2014 пользователем zyablik Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.