медленная работа браузера, DFH:HOSTS.corrupted

[death in june]

периодически крайне медленно / вообще не обновляются сайты. иногда помогает перезагрузка. ОС - Windows XP

 

при сканировании CureIt! появилось уведомление DFH:HOSTS.corrupted, файл HOSTS в полном порядке (единственная запись - 127.0.0.1 localhost).

 

в логе ComboFix обнаружились странные файлы в директории \system32\drivers\ - ecegitly.sys и eyadnwws.sys, невидимые в проводнике.

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[mike 1]

Зачем запускали Combofix? 

 

Покажите что снес вам Combofix, прикрепите отчет C:\ComboFix.txt

[death in june]

Зачем запускали Combofix?

 

понадеялся, что поможет.

ComboFix.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::
 
Firefox::
FF - user.js: extentions.webcake.installId - f75d6768-df0a-4784-a67a-0b902a8c6250
FF - user.js: extentions.webcake.defaultEnableAppsList - layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc

FileLook::
 
DirLook::
 
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

 

[death in june]

готово.

...

ComboFix_new.txt

ComboFix_new.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.

DeQuarantine::
c:\windows\system32\AegisI5Installer.exe
c:\windows\IsUn0419.exe
 
Quit::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

На рабочем столе появится отчет DeQuarantine.txt, прикрепите его к сообщению.

•  

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[thyrex]

+ в папке профиля Firefox найдите файл user.js и выпилите из него эти две строки

 

extentions.webcake.installId - f75d6768-df0a-4784-a67a-0b902a8c6250
extentions.webcake.defaultEnableAppsList - layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc

[death in june]

• файл DeQuarantine.txt не появился. только обычный лог на диске C.

user.js отредактировал.

AdwCleanerR0.txt

ComboFix.txt

[mike 1]

DeQuarantine.txt не появился. 

Да это нормально я немного ошибся в скрипте. В папке C:\Qoobox\quarantine найдите файл ComboFix-quarantined-files.txt и прикрепите его

 

 

 

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

• По окончанию сканирования снимите галочки со следующих строк:

Папка Найдено : C:\Documents and Settings\All Users\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Mail.Ru
Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Главное меню\Программы\Yandex
Папка Найдено : C:\Program Files\Yandex

• Нажмите кнопку "Clean" и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

[death in june]

сделано.

кстати, по ощущениям - страницы стали открываться гораздо бодрее. и даже традиционно тормозящая в XP адресная строка Chrome заработала нормально.

 

спасибо большое!

AdwCleanerS0.txt

ComboFix-quarantined-files.txt

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

DeQuarantine::

C:\Qoobox\Quarantine\C\WINDOWS\IsUn0419.exe.vir

C:\Qoobox\Quarantine\C\WINDOWS\system32\AegisI5Installer.exe.vir

 

Quit::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

 

На рабочем столе появится отчет DeQuarantine.txt, прикрепите его к сообщению.

[death in june]

...

DeQuarantine.txt

[mike 1]

Все часть файлов восстановили. 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Что с проблемой?

[death in june]

пока все очень хорошо. тормоза практически пропали.

 

буду наблюдать дальше

[mike 1]

1. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
2. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
3. Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
4. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
5. Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt