Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите убрать вирус! (http://forum.oszone.net/showthread.php?t=244193)

Vovik_0_1 08-10-2012 19:08 2001546
Помогите убрать вирус!
 
Вложений: 2
  • log.txt (40.30 KB, скачиваний: 10)
  • info.txt (17.00 KB, скачиваний: 9)
Привет всем! Помогите плиз удалить вирус. Дело обстоит так: Включаю компьютер и обнаруживаю на рабочем столе зелёный файлик формата exe и написано на нем песенка.mp3 1 мегабайт ну ясное дело что это не песня, а вирь. Спросил у сестры. И оказалось что она скачивала музыку и нечаянно скачала и запустила этот файл.
И ещё во всех браузерах изменились стартовые странички(( В опере вообще при старте две вкладки с левой поисковой системой. В Мозилле одна." http://home.webalta.ru/ "
Вот логи!

alex_sev 08-10-2012 20:22 2001588
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.

+

Подготовьте лог OTL by OldTimer

Vovik_0_1 08-10-2012 20:43 2001600
Вложений: 2
Вот!

Vovik_0_1 08-10-2012 20:44 2001601
Вложений: 1
  • OTL.rar (13.20 KB, скачиваний: 10)
Вот просто первый раз не прикреплялось!

alex_sev 08-10-2012 20:59 2001608
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    IE - HKCU\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE
    FF - prefs.js..browser.search.defaultenginename: "Webalta Search"
    FF - prefs.js..browser.search.selectedEngine: "Яндекс"
    FF - prefs.js..keyword.URL: "http://webalta.ru/search?from=FF&q="
    FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
    [2012.03.13 00:34:56 | 000,000,412 | ---- | M] () -- C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\9vf96daw.default\searchplugins\webalta-search.xml
    CHR - default_search_provider: \u042F\u043D\u0434\u0435\u043A\u0441 ()
    CHR - default_search_provider: search_url = http://webalta.ru/srch?q={searchTerms}
    CHR - homepage: http://home.webalta.ru
    [2012.10.10 23:45:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Пользователь\Главное меню\Программы\Webalta Toolbar
    [2012.10.10 23:45:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Пользователь\Local Settings\Application Data\Webalta Toolbar
    [2012.06.19 12:47:59 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
    @Alternate Data Stream - 135 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:679ABA25
    :Services

    :Files

    autorun.inf /alldrives
    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Vovik_0_1 08-10-2012 21:44 2001648
Странно компьютер не перезагрузился. пришлось кнопочку нажимать. И в браузерах всё осталось как было((

Vovik_0_1 08-10-2012 21:45 2001649
Вложений: 1
10112012_213304

alex_sev 08-10-2012 21:46 2001652
Бывает, лог найдите и приложите, как я указал. С браузерами сейчас разберемся, давайте сначала мусор почистим))

Vovik_0_1 08-10-2012 21:48 2001657
Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ not found.
Prefs.js: "Webalta Search" removed from browser.search.defaultenginename
Prefs.js: "Яндекс" removed from browser.search.selectedEngine
Prefs.js: "http://webalta.ru/search?from=FF&q=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\9vf96daw.default\searchplugins\webalta-search.xml moved successfully.
Use Chrome's Settings page to remove the default_search_provider items.
Use Chrome's Settings page to remove the default_search_provider items.
Use Chrome's Settings page to change the HomePage.
C:\Documents and Settings\Пользователь\Главное меню\Программы\Webalta Toolbar folder moved successfully.
C:\Documents and Settings\Пользователь\Local Settings\Application Data\Webalta Toolbar folder moved successfully.
C:\WINDOWS\assembly\Desktop.ini moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:679ABA25 deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
autorun.inf not found in C:\
autorun.inf not found in D:\
autorun.inf not found in E:\
autorun.inf not found in F:\
File move failed. L:\AUTORUN.INF scheduled to be moved on reboot.
< ipconfig /flushdns /c >
No captured output from command...
C:\Documents and Settings\Пользователь\Рабочий стол\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: LocalService
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temporary Internet Files folder emptied: 67 bytes
 
User: ????????????
 
User: Пользователь
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 983296 bytes
->FireFox cache emptied: 33171725 bytes
->Google Chrome cache emptied: 17281489 bytes
->Opera cache emptied: 52586445 bytes
->Flash cache emptied: 18587 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2340499 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8323940 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 109,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 10112012_213304

Files\Folders moved on Reboot...
File move failed. L:\AUTORUN.INF scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

alex_sev 08-10-2012 21:52 2001660
Отлично, все что хотел почистить - почистилось.

С браузерами у Вас дело в ярлыках.

Читайте эту тему, а точнее последнее сообщение и исправляйте ярлыки. Они у Вас изменены не только на рабочем столе но и в панели быстрого запуска.

Затем:
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

Vovik_0_1 08-10-2012 22:13 2001676
Вложений: 2
Вот!

alex_sev 08-10-2012 22:21 2001682
Antivirus out of date! - обновите антивирус
Java version out of Date! - прочтите статью и обновите Java (ссылка в статье)
Flash Player out of Date! - ссылка
Adobe Reader out of Date! - обновите через меню Справка - Проверка обновлений
Firefox out of Date! - тоже обновить.

Что с проблемами?


Время: 19:11.

Время: 19:11.
© OSzone.net 2001-