Перейти к содержанию
Авторизация  
death in june

медленная работа браузера, DFH:HOSTS.corrupted

Рекомендуемые сообщения

периодически крайне медленно / вообще не обновляются сайты. иногда помогает перезагрузка. ОС - Windows XP

 

при сканировании CureIt! появилось уведомление DFH:HOSTS.corrupted, файл HOSTS в полном порядке (единственная запись - 127.0.0.1 localhost).

 

в логе ComboFix обнаружились странные файлы в директории \system32\drivers\ - ecegitly.sys и eyadnwws.sys, невидимые в проводнике.

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зачем запускали Combofix?  :(

 

Покажите что снес вам Combofix, прикрепите отчет C:\ComboFix.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
KillAll::
 
Firefox::
FF - user.js: extentions.webcake.installId - f75d6768-df0a-4784-a67a-0b902a8c6250
FF - user.js: extentions.webcake.defaultEnableAppsList - layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc

FileLook::
 
DirLook::
 
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
5315621m.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
DeQuarantine::
c:\windows\system32\AegisI5Installer.exe
c:\windows\IsUn0419.exe
 
Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
cfscript.gif
На рабочем столе появится отчет DeQuarantine.txt, прикрепите его к сообщению.

  •  
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+ в папке профиля Firefox найдите файл user.js и выпилите из него эти две строки

 

extentions.webcake.installId - f75d6768-df0a-4784-a67a-0b902a8c6250
extentions.webcake.defaultEnableAppsList - layers/banner,layers/inline,layers/search,layers/shopping,newOffers/wc

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • файл DeQuarantine.txt не появился. только обычный лог на диске C.

user.js отредактировал.

AdwCleanerR0.txt

ComboFix.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

DeQuarantine.txt не появился. 

Да это нормально я немного ошибся в скрипте. В папке C:\Qoobox\quarantine найдите файл ComboFix-quarantined-files.txt и прикрепите его

 

 

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
Папка Найдено : C:\Documents and Settings\All Users\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Mail.Ru
Папка Найдено : C:\Documents and Settings\Администратор\Local Settings\Application Data\Yandex
Папка Найдено : C:\Documents and Settings\Администратор\Главное меню\Программы\Yandex
Папка Найдено : C:\Program Files\Yandex
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

сделано.


кстати, по ощущениям - страницы стали открываться гораздо бодрее. и даже традиционно тормозящая в XP адресная строка Chrome заработала нормально.

 

спасибо большое!

AdwCleanerS0.txt

ComboFix-quarantined-files.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.



DeQuarantine::
C:\Qoobox\Quarantine\C\WINDOWS\IsUn0419.exe.vir
C:\Qoobox\Quarantine\C\WINDOWS\system32\AegisI5Installer.exe.vir
 
Quit::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

5315621m.gif

 

На рабочем столе появится отчет DeQuarantine.txt, прикрепите его к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все часть файлов восстановили. 

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
 
combofix-uninstall.jpg
 
Скачайте OTCleanIt, запустите, нажмите Clean up
 
Что с проблемой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
  1. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  2. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  3. Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  4. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  5. Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...