Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   опять борьба с вирусами. (http://forum.oszone.net/showthread.php?t=233987)

Kinqui 03-05-2012 18:37 1909984
опять борьба с вирусами.
 
Вообщем, после небольшого перерыва от недавней проверки, система начала снова вести сея странно.
При загрузке винды, как появилось сообщение "Добро пожаловать" по середине вылезает пустое окно с какими то иероглифами. + Интернет стал тормозить, но это м у провайдера, хотя не знаю.
Вообщем, подготовил логи.

также, прошу убрать 30 секнудное ожидание в boot.ini

iskander-k 03-05-2012 22:05 1910086
Временно отключите:
Антивирус/Файерволл

Нужно Пофиксить в эти строки в HiJackThis.
Код:
O4 - .DEFAULT User Startup: Game-Edition.Ru.bat (User 'Default user')
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
QuarantineFile('C:\WINDOWS\iun6002.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 QuarantineFile('C:\WINDOWS\system32\CTFMON.EXE','');
 QuarantineFile('C:\WINDOWS\system32\mrt.exe','');
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

что у вас в папках
C:\zhltt
C:\54d0e995dcd96e06e105eedcbe
C:\0b2a3acc6a1dcf22a5afbaf4

Kinqui 04-05-2012 14:12 1910437
все выполнил. Отправил quarantine через форму.
Логи прикрепил.

В папке zhltt компиляторы, необходимые для работы одной программы.
В C:\54d0e995dcd96e06e105eedcbe лежат файлы с названием
Цитата:
WapRes.1049.dll , WapUI.dll
В C:\0b2a3acc6a1dcf22a5afbaf4 лежит
Цитата:
WapUI.dll
upd: quarantine.zip через форму отправляется слишком долго. до сих пор пишет что загружается.

Kinqui 04-05-2012 17:41 1910566
не могу отправить карантин через форму. жду уже который час, он не отправляет.

alex_sev 04-05-2012 17:56 1910583
Отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Kinqui 04-05-2012 18:03 1910587
отправил на мыло.

alex_sev 04-05-2012 18:06 1910589
Cохраните следующий текст с расширением reg и запустите полученный файл.

Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"legalnoticecaption"=""
"legalnoticetext"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""
Повторите сканирование в MBAM и удалите:

Код:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
Подготовьте лог OTL by OldTimer

Kinqui 04-05-2012 18:51 1910618
Все выполнил, логи прикрепил.
По своей глупости, удалил все найденные вирусы в MBAM >_<

Kinqui 05-05-2012 11:14 1910910
ну что?

alex_sev 05-05-2012 11:20 1910911
  • Запустите повторно OTL by OldTimer

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes

    :OTL
    IE - HKU\S-1-5-21-57989841-1958367476-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=111434&babsrc=HP_ss&mntrId=c419c332000000000000001b38d05cc3
    O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
    O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
    MsConfig - StartUpFolder: C:^Documents and Settings^All Users.WINDOWS^Главное меню^Программы^Автозагрузка^Tabs.lnk -  - File not found
    [2012.04.29 17:54:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Application Data\BabylonToolbar
    [2012.04.24 21:38:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon
    [2012.04.24 21:37:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Администратор\Application Data\Babylon
    [2012.04.24 21:37:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon
    [2012.04.24 21:37:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon
    [2012.04.24 21:37:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Администратор\Application Data\Babylon
    [2012.04.29 17:54:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Администратор\Application Data\BabylonToolbar

    :Commands
    [EMPTYJAVA]
    [EMPTYFLASH]
    [purity]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Как самочувствие системы?

Kinqui 05-05-2012 13:40 1910966
LOG
========== PROCESSES ==========
========== OTL ==========
HKU\S-1-5-21-57989841-1958367476-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{98889811-442D-49dd-99D7-DC866BE87DBC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Documents and Settings^All Users.WINDOWS^Главное меню^Программы^Автозагрузка^Tabs.lnk\ deleted successfully.
C:\WINDOWS\pss\Tabs.lnkCommon Startup moved successfully.
C:\Documents and Settings\Администратор\Application Data\BabylonToolbar\BabylonToolbar folder moved successfully.
C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon\Setup\HtmlScreens folder moved successfully.
C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon\Setup folder moved successfully.
C:\Documents and Settings\Администратор\Local Settings\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Администратор\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon folder moved successfully.
Folder C:\Documents and Settings\All Users.WINDOWS\Application Data\Babylon\ not found.
Folder C:\Documents and Settings\Администратор\Application Data\Babylon\ not found.
C:\Documents and Settings\Администратор\Application Data\BabylonToolbar folder moved successfully.
========== COMMANDS ==========

[EMPTYJAVA]

User: All Users

User: All Users.WINDOWS

User: Default User

User: Default User.WINDOWS

User: LocalService

User: NetworkService

User: Администратор
->Java cache emptied: 577830 bytes

Total Java Files Cleaned = 1,00 mb


[EMPTYFLASH]

User: All Users

User: All Users.WINDOWS

User: Default User

User: Default User.WINDOWS
->Flash cache emptied: 56475 bytes

User: LocalService

User: NetworkService

User: Администратор
->Flash cache emptied: 29530 bytes

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.42.2 log created on 05052012_132927

Вроде все работает стабильно, + widnows загружаться начал немного быстрее, что хорошо =)
Мне бы еще пофиксить 30 секундное ожидание при включении пк. Там надо пользователя выбирать, хотя раньше такого не было.
+ я не пойму почему у меня в Google Chrome главная страница всегда mail.ru даже если я изменяю стартовую и главную страницу на google.

iskander-k 05-05-2012 13:48 1910970
Цитата:
Цитата Kinqui
Мне бы еще пофиксить 30 секундное ожидание при включении пк. »
Свойства-- Мой компьютер - вкладка Дополнительно - кнопка Загрузка и восстановление - и выберите нужный предел ожидания - применить и ОК

Kinqui 05-05-2012 13:56 1910980
спасибо =)

alex_sev 05-05-2012 14:35 1911003
Цитата:
Цитата Kinqui
Google Chrome главная страница всегда mail.ru »
Деинсталлируйте Guard.Mail.ru

Подготовьте
такой лог

Kinqui 05-05-2012 15:11 1911022
прикрепил.

alex_sev 05-05-2012 15:37 1911034
Ок. Прекрасно.

Снова запустите OTL (которой мы ранее пользовались) и нажмите кнопку Clean Up.

Ознакомьтесь с этими рекомендациями

Kinqui 05-05-2012 15:58 1911040
Сделано.
А как включить восстановление системы? В Пуск- Программы – Стандартные – Служебные ее нету.

alex_sev 05-05-2012 16:27 1911050
В меню Пуск щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
В диалоговом окне Свойства системы откройте вкладку Восстановление системы.

Kinqui 05-05-2012 16:40 1911057
ее нет же =]

alex_sev 05-05-2012 16:57 1911065
Почитайте тут http://forum.ixbt.com/topic.cgi?id=22:67796

Kinqui 05-05-2012 17:10 1911071
Спасибо. Тему можно считать решенной =)


Время: 18:49.

Время: 18:49.
© OSzone.net 2001-