ark01aarus Опубликовано 29 ноября, 2014 Опубликовано 29 ноября, 2014 Добрый день. Прошу помощи у знатаков, ноутбук Asus K52J - постоянно зависает, в браузерах реклама показывается, многие программы отображаются крокозябрами (что-то с кодировкой). Прикладываю архив проверки. CollectionLog-2014.11.29-12.06.zip
mike 1 Опубликовано 29 ноября, 2014 Опубликовано 29 ноября, 2014 Вы архив с Автологгером распаковывали перед тем как запустить его?
ark01aarus Опубликовано 29 ноября, 2014 Автор Опубликовано 29 ноября, 2014 Вы архив с Автологгером распаковывали перед тем как запустить его? да
Roman_Five Опубликовано 29 ноября, 2014 Опубликовано 29 ноября, 2014 Пофиксите в Hijackthis (инструкция в подписи): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search R3 - Default URLSearchHook is missing O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 m.ok.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: ggg O1 - Hosts: 91.223.89.120 ok.ru O1 - Hosts: 91.223.89.120 odnoklassniki.ru O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru O2 - BHO: ShopperProBHO - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - C:\ProgramData\ShopperPro\ShopperPro.dll O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) Прокси Ваш? если нет - пофиксите и это: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.137.1:3128 +Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; ClearHostsFile; TerminateProcessByName('C:\Program Files\Common Files\ShopperPro\spbiu.exe'); SetServiceStart('SPBIUpdd', 4); SetServiceStart('SPBIUpd', 4); StopService('SPBIUpdd'); StopService('SPBIUpd'); QuarantineFile('spbiu.exe',''); QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe',''); QuarantineFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL',''); QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe',''); QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe',''); QuarantineFile('C:\PROGRA~2\INSTAL~1\{2BF2E~1\setup.exe',''); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32'); DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32'); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbici32.dll','32'); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32'); DeleteFile('C:\PROGRA~2\INSTAL~1\{2BF2E~1\setup.exe','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe','32'); DeleteFile('C:\Windows\Tasks\DSite.job','64'); DeleteFile('C:\Windows\Tasks\iWebar-chromeinstaller.job','64'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-enabler.exe','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-firefoxinstaller.exe','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-updater.exe','32'); DeleteFile('C:\Windows\Tasks\iWebar-updater.job','64'); DeleteFile('C:\Windows\Tasks\iWebar-firefoxinstaller.job','64'); DeleteFile('C:\Windows\Tasks\iWebar-enabler.job','64'); DeleteFile('C:\Windows\Tasks\iWebar-codedownloader.job','64'); DeleteFile('C:\Windows\system32\Tasks\DSite','64'); DeleteFile('C:\Windows\system32\Tasks\iWebar-chromeinstaller','64'); DeleteFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SPMupdate2','64'); DeleteFile('C:\Windows\system32\Tasks\iWebar-updater','64'); DeleteFile('C:\Windows\system32\Tasks\iWebar-firefoxinstaller','64'); DeleteFile('C:\Windows\system32\Tasks\iWebar-enabler','64'); DeleteFile('C:\Windows\system32\Tasks\iWebar-codedownloader','64'); DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32'); DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32'); DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32'); DeleteFile('C:\Program Files (x86)\SysPlayer\updater.exe','32'); DeleteFile('C:\PROGRA~3\Mozilla\oxouhvd.exe','32'); DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ymouwea','64'); DeleteFile('C:\Windows\system32\Tasks\SysPlayerUpd','64'); DeleteFile('C:\Windows\system32\Tasks\SPMupdate1','64'); DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_323833333638353836372d3423412a55452a4123576c32','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperProUpd','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64'); DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SPMupdate3','64'); DelBHO('A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','InstallShieldSetup'); DeleteService('SPBIUpdd'); DeleteService('SPBIUpd'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky."Порядок действий на портале My Kaspersky:": 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить.Важно: размер архива не должен превышать 15 МБ;6) В строке EMail укажите адрес своей электронной почты;7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. "Порядок действий на портале Kaspersky Virus Desk:": 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.Важно: размер архива не должен превышать 12 МБ;3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Сделайте новые логи по правилам (только пункт 3).
ark01aarus Опубликовано 29 ноября, 2014 Автор Опубликовано 29 ноября, 2014 Сообщение от модератора Roman_Five Не цитируйте скрипты! Выполняю скрипт пишет Ошибка Бегин в позиции 1:1 на первую строку ругается вроде Ой извиняюсь не правильно выполнял. Сейчас будет правильно CollectionLog-2014.11.29-14.44.zip
Roman_Five Опубликовано 29 ноября, 2014 Опубликовано 29 ноября, 2014 Скачайте Junkware Removal Tool и сохраните на рабочем столе. Выгрузите всё защитное ПО и браузеры, чтобы избежать конфликтов. Щелкните правой кнопкой мыши и выберите "Запуск от имени администратора". Программа запустится и начнётся сканирование Вашей системы. Дождитесь завершения сканирования. По окончании лог сканирования (JRT.txt) сохранится на рабочий стол и автоматически откроется. Прикрепите полученный лог к следующему сообщению. Сделайте лог AdwCleaner и MBAM http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158 http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256 1
ark01aarus Опубликовано 30 ноября, 2014 Автор Опубликовано 30 ноября, 2014 Приготовил два файла, третий делается все готово) JRT.txt AdwCleanerR0.txt antimalwarelog.txt
Roman_Five Опубликовано 30 ноября, 2014 Опубликовано 30 ноября, 2014 удалите всё найденное в AdwCleaner (можете оставить Mail.Ru) и лог MBAM всё ещё актуален.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти