baidu

23 ноября, 2014

в диспетчере задач постоянно висит 7 - 10 процессов с червяками ????????. вопрос . когда делал лог вылазило окно с похожими червями ,это нормально? а то закрадываются смутные сомнения о. лог вот.

CollectionLog-2014.11.24-09.38.zip

23 ноября, 2014

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=039062b9b00446afc44f864e0228cb4b&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=039062b9b00446afc44f864e0228cb4b&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=039062b9b00446afc44f864e0228cb4b&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=039062b9b00446afc44f864e0228cb4b&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: BDHOOK - {15DEE173-1BE9-4424-81E0-58A87076E9B1} - C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\websafe\WebMonBHO.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [baidusdTray] "C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdTray.exe"  -stmd=3
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=039062b9b00446afc44f864e0228cb4b&text=

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Скачайте ComboFix здесь и сохраните в корень диска С.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

30 ноября, 2014

отчёт

ClearLNK-01.12.2014_16-49.log

30 ноября, 2014

А второй лог где?

30 ноября, 2014

не получается . случайно востановления консоль включил как вернуть назад?

30 ноября, 2014

как вернуть назад?

что вернуть?

30 ноября, 2014

попытался запустить 2 раз вылазиет окно какое то с червяками что не так?

попытался запустить 2 раз выползает окно какое то с червяками что не так?

30 ноября, 2014

пожалуйста, подробнее и не спеша.
со скриншотами.
мы не экстрасенсы.

30 ноября, 2014

да не получается последний лог сделать. и случайно в последней утелите включил консоль восстановления.

согласен. скриншот чего и как его сделать

пробовал несколько раз. что не так? комификс или виснет или яне так что делаю .не получается "" скопируйте текст из C: \ ComboFix.txt где искать этот файл. скиншот комбификса и самой проблемы.

реально байду достало

30 ноября, 2014

консоль потом удалите.

пробуйте сделать лог в безопасном режиме.

30 ноября, 2014

в безопасном вродеЛог:

ComboFix 14-11-25.01 - romus 01.12.2014 22:30:57.4.2 - x64 MINIMAL

Microsoft Windows 7 Максимальная 6.1.7601.1.1251.7.1049.18.4010.2840 [GMT 4:00]

Running from: C:\ComboFix.exe

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

* Created a new restore point

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Previous Run -------

.

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\check_update.bat

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\libcurl-4.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\libeay32.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\libidn-11.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\libpdcurses.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\libusb-1.0.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\OpenCL.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\pthreadGC2.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\ssleay32.dll

c:\users\romus\AppData\Roaming\Java\Update\Download\Cache\zlib1.dll

c:\windows\IsUn0407.exe

c:\windows\IsUn0419.exe

c:\windows\pkunzip.pif

c:\windows\pkzip.pif

c:\windows\ST6UNST.000

c:\windows\SysWow64\UNWISE.EXE

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_BD0001

-------\Legacy_BD0002

-------\Service_bd0001

-------\Service_bd0002

-------\Legacy_BD0001

-------\Legacy_BD0002

-------\Service_bd0001

-------\Service_bd0002

.

((((((((((((((((((((((((( Files Created from 2014-11-01 to 2014-12-01 )))))))))))))))))))))))))))))))

.

2014-12-01 18:38 . 2014-12-01 18:38 -------- d-----w- c:\users\Администратор\AppData\Local\temp

2014-12-01 00:33 . 2014-11-02 04:20 11632448 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{254CF522-6ED3-41CC-A53B-34AACFCA32FC}\mpengine.dll

2014-11-29 06:09 . 2014-11-29 06:09 202576 ----a-w- c:\windows\SysWow64\drivers\bd0001.sys

2014-11-29 06:09 . 2014-11-29 06:09 196424 ----a-w- c:\windows\SysWow64\drivers\bd0002.sys

2014-11-21 22:20 . 2014-11-21 22:20 -------- d-----w- c:\programdata\Kaspersky SDK

2014-11-21 08:20 . 2014-11-20 07:20 56136 ----a-w- c:\windows\system32\drivers\BDMWrench_x64.sys

2014-11-20 07:21 . 2014-11-20 07:20 67400 ----a-w- c:\windows\system32\drivers\bd0003.sys

2014-11-20 07:21 . 2014-11-20 07:20 103240 ----a-w- c:\windows\system32\drivers\BDDefense.sys

2014-11-20 07:21 . 2014-11-29 06:09 196424 ----a-w- c:\windows\system32\drivers\bd0002.sys

2014-11-20 07:20 . 2014-11-20 07:20 -------- d-----w- c:\program files (x86)\BaiduSd3.0

2014-11-20 07:19 . 2014-11-20 07:19 -------- d-----w- c:\users\romus\AppData\Roaming\Baidu

2014-11-11 06:42 . 2014-11-11 06:42 -------- d-----w- c:\program files (x86)\MotorData

2014-11-08 11:23 . 2014-11-08 11:23 50816 ----a-w- c:\windows\SysWow64\drivers\rcusbwdm.sys

2014-11-08 11:23 . 2014-11-08 11:23 4032 ----a-w- c:\windows\SysWow64\drivers\hostnt.sys

2014-11-08 11:21 . 2014-11-09 08:30 -------- d-----w- c:\program files (x86)\VAG K+CAN COMMANDER 1.4

2014-11-08 11:21 . 2014-11-08 11:21 -------- d-----w- c:\windows\VAG K+CAN COMMANDER

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2014-12-01 18:39 . 2012-11-17 20:25 42496 ----a-w- c:\windows\system32\drivers\oem-drv64.sys

2014-11-29 06:09 . 2014-10-14 07:27 202576 ----a-w- c:\windows\system32\drivers\bd0001.sys

2014-11-20 07:18 . 2014-10-14 07:27 144712 ----a-w- c:\windows\system32\drivers\BDArKit.sys

2014-11-04 10:30 . 2010-11-21 03:27 275080 ------w- c:\windows\system32\MpSigStub.exe

2014-11-04 05:37 . 2014-10-14 06:38 169288 ----a-w- c:\windows\system32\drivers\bd0004.sys

2014-10-20 01:56 . 2014-10-14 06:38 48968 ----a-w- c:\windows\system32\drivers\BDSafeBrowser.sys

2014-10-17 11:08 . 2014-10-14 06:48 39056 ----a-w- c:\windows\system32\bd64_x86.dll

2014-10-17 11:08 . 2014-10-14 20:13 56648 ----a-w- c:\windows\system32\drivers\BDMWrench.sys

2014-10-17 11:08 . 2014-10-14 06:48 41800 ----a-w- c:\windows\system32\bd64_x64.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite (1)"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-11-06 3673728]

"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2012-11-06 3673728]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-21 1475584]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"IAStorIcon"="c:\program files (x86)\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" [2011-02-18 283160]

"USB Antivirus"="c:\program files (x86)\USB Disk Security\USBGuard.exe" [2011-02-01 623520]

"UpdatePRCShortCut"="c:\program files\Lenovo\OneKey App\OneKey Recovery\MUITransfer\MUIStartMenu.exe" [2009-05-13 222504]

"BCSSync"="c:\program files (x86)\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]

"331BigDog"="c:\program files (x86)\USB Camera\VM331_STI.EXE" [2010-01-15 536576]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-08-21 959176]

"baidusdTray"="c:\program files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdTray.exe" [2014-11-20 2505224]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

"PromptOnSecureDesktop"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]

"LoadAppInit_DLLs"=1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"aux1"=wdmaud.drv

.

------- Supplementary Scan -------

.

uStart Page = about:blank

IE: &Отправить в OneNote - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105

IE: &Экспорт в Microsoft Excel - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000

LSP: %windir%\system32\vsocklib.dll

TCP: DhcpNameServer = 192.168.0.1

.

- - - - ORPHANS REMOVED - - - -

.

AddRemove-Hardlock Device Drivers - c:\windows\system32\UNWISE.EXE

AddRemove-USB Oscilloscope - c:\windows\IsUn0419.exe

AddRemove-Контрольные величины ESI - c:\windows\IsUn0419.exe

.

--------------------- LOCKED REGISTRY KEYS ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]

@Denied: (A 2) (Everyone)

@="IFlashBroker5"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Office\Common\Smart Tag\Actions\{B7EFF951-E52F-45CC-9EF7-57124F2177CC}]

@Denied: (A) (Everyone)

"Solution"="{15727DE6-F92D-4E46-ACB4-0E2C58B31A18}"

.

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3]

@Denied: (A) (Everyone)

.

[HKEY_LOCAL_MACHINE\software\Wow6432Node\Microsoft\Schema Library\ActionsPane3\0]

"Key"="ActionsPane3"

"Location"="c:\\Program Files (x86)\\Common Files\\Microsoft Shared\\VSTO\\ActionsPane3.xsd"

.

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)