Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] открываются все программы автозапуска + черное окно (http://forum.oszone.net/showthread.php?t=271125)

santana109 01-11-2013 03:58 2245118
открываются все программы автозапуска + черное окно
 
Вложений: 5
Добрый вечер.
Описую проблему: все было нормально, скачал официальную программу обновления прошивки телефона fly, начал обновление, во время него вылазили (мигали за долю секунды черное окно), что вполне обычно. Но после перезагрузки компьютера это черное окно мигает с периодчиностью секунд в 30 + компьютер глючит и самое главное при запуске виндовс открываются все программы авто запуска, иконки этих программ стали нечеткими, как бы кубиками.
p.s грозит ли это моему телефону ? (пока вроде все нормально)
Прошу помощи.

santana109 01-11-2013 13:16 2245344
Вложений: 1
Вот на всякий случай лог полного сканирования

Katharsis 01-11-2013 18:33 2245552
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\АРТУР\appdata\roaming\microsoft\posix', '*', true, '', 0, 0);
 QuarantineFile('C:\Windows\SYSWOW64\msconfig.exe_2d07f.exe','');
 QuarantineFile('C:\Windows\tsnp2std.exe_2d07f.exe','');
 QuarantineFile('C:\Windows\FixCamera.exe_2d07f.exe','');
 QuarantineFile('C:\Windows\vsnp2std.exe_2d07f.exe','');
 QuarantineFile('C:\Windows\SYSWOW64\dinotify.exe_2d07f.exe','');
BC_ImportAll;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(1);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

santana109 01-11-2013 19:16 2245574
Katharsis, все сделал как написали, вылезло сообщение, что консультант сообщит.
Подскажите в течении какого времени это обычно происходит?

Katharsis 01-11-2013 19:24 2245579
пока я в ящике ничего не вижу. отправьте еще раз на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме

santana109 01-11-2013 19:35 2245588
Katharsis, отправил туда.

Katharsis 01-11-2013 20:23 2245610
1/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\АРТУР\appdata\Microsoft\SysWOW_amd64', '*', true, '', 0, 0);
 DeleteFile('C:\Windows\SYSWOW64\dinotify.exe_2d07f.exe');
 DeleteFile('C:\Windows\SYSWOW64\msconfig.exe_2d07f.exe');
 DeleteFileMask('c:\users\АРТУР\appdata\Microsoft\SysWOW_amd64', '*', true);
 DeleteFileMask('c:\users\АРТУР\appdata\roaming\microsoft\posix', '*', true);
 DeleteDirectory('c:\users\АРТУР\appdata\roaming\microsoft\posix');
 DeleteDirectory('c:\users\АРТУР\appdata\Microsoft\SysWOW_amd64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме

2/ сделайте лог uvs

+ поменяйте все пароли

santana109 01-11-2013 20:48 2245621
Вложений: 1
отправил на имейл + прикрепил лог uvs

Цитата:
Цитата Katharsis
+ поменяйте все пароли »
какие?

Katharsis 01-11-2013 21:47 2245648
выполните скрипт в uvs:

Код:
;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
addsgn 1A53E99A5583C58CF42B518444805605DA9F6867CAFA9AB8F1C13A6C3ACF99F87C17C33D3F3F9DA1CD9F849FC5D24513D6C0E87299167CE0E1BB68E30BCAEEBF 64 ytfitfitygyk
zoo %SystemDrive%\PROGRAM FILES\TREND MICRO\АРТУР.EXE
bl B3428640CDA1E7838875DEFEB4ADEBB9 678432
chklst
delvir
zoo %SystemDrive%\USERS\АРТУР\APPDATA\ROAMING\MICROSOFT\POSIX\ODL\PWDC.DLL
czoo
deltmp
restart
компьютер перезагрузится. пришлите еще раз карантин по инструкции, потом сделайте новые логи uvs, avz (cт скрипт 2) и rsit
Цитата:
Цитата santana109
какие? »
от интернета (в смысле все значимые пароли на компе)


%SystemDrive%\PROGRAM FILES\TREND MICRO\АРТУР.EXE - не HijackThis

santana109 01-11-2013 22:28 2245664
Цитата:
Цитата Katharsis
от интернета
%SystemDrive%\PROGRAM FILES\TREND MICRO\АРТУР.EXE - не HijackThis »
это вообще не понял.
Цитата:
Цитата Katharsis
avz (cт скрипт 2) »
не понял что именно тоже
логи сейчас будут

Katharsis 01-11-2013 22:43 2245674
Цитата:
Цитата santana109
%SystemDrive%\PROGRAM FILES\TREND MICRO\АРТУР.EXE - не HijackThis » »
в вашем случае HijaskThis это - C:\PROGRAM FILES\TREND MICRO\АРТУР.EXE_2D07F.EXE
Цитата:
Цитата santana109
avz (cт скрипт 2) »
лог АВЗ - стандартный скрипт 2

santana109 01-11-2013 23:41 2245708
Цитата:
Цитата Katharsis
выполните скрипт в uvs:
Код:
;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
addsgn 1A53E99A5583C58CF42B518444805605DA9F6867CAFA9AB8F1C13A6C3ACF99F87C17C33D3F3F9DA1CD9F849FC5D24513D6C0 E87299167CE0E1BB68E30BCAEEBF 64 ytfitfitygyk
zoo %SystemDrive%\PROGRAM FILES\TREND MICRO\АРТУР.EXE
bl B3428640CDA1E7838875DEFEB4ADEBB9 678432
chklst
delvir
zoo %SystemDrive%\USERS\АРТУР\APPDATA\ROAMING\MICROSOFT\POSIX\ODL\PWDC.DLL
czoo
deltmp
restart »
сделал данный скрип, компьютер перезагрузился и ничего не работало, ярлыки белые браузер и программы не запускались, пришлось переустанавливать виндовс

Katharsis 01-11-2013 23:47 2245713
можно было просто сделать откат системы. жаль конечно.

переустанавливали без форматирования?

santana109 01-11-2013 23:51 2245717
Цитата:
Цитата Katharsis
переустанавливали без форматирования? »
с форматированием.
Посоветуйте что сделать чтобы это не повторилось?

Katharsis 01-11-2013 23:59 2245722
установите все выпущенные обновления windows, не скачивайте софт из неизвестных источников, также почитайте эти советы для безопасности.

santana109 02-11-2013 00:11 2245725
Цитата:
Цитата Katharsis
не скачивайте софт из неизвестных источников »
так я прошил официальной программой телефон https://flymobile.zendesk.com/entrie...8%D1%8F%D1%85-

с телефоном все в порядке, что бы это могло быть?

Katharsis 02-11-2013 00:13 2245726
насчет телефона ничего сказать не могу, но на комп вы словили троянца

а что именно вы скачивали?

santana109 02-11-2013 00:18 2245730
я скачал программу для обновления и драйвер по ссылке что я скинул постом выше, все было нормально после установки всего этого, потом подключил телефон, прошил его, отключил от компьютера, перезагрузил комп и началось.

Katharsis 02-11-2013 00:21 2245734
Fly_Cable_Upda?te.rar - это?

santana109 02-11-2013 00:26 2245740
MTK_USB_Driver_for_SmartPhone.rar - драйвер
Fly_Cable_Upda?te.rar - сама программа прошивки
качал и то и то

Katharsis 02-11-2013 00:30 2245741
Fly_Cable_Upda?te - программа легитимная, чистая

santana109 02-11-2013 00:31 2245742
Katharsis, а что ж тогда? значит не в этом дело?

Katharsis 02-11-2013 00:34 2245749
драйвер тоже. Может быть вы что то еще сегодня ставили, или давно не перезагружали комп (троянец был установлен раньше, а запустился только после перезагрузки)

не в этом

santana109 02-11-2013 00:36 2245751
да нет, в том то и дело че я грешил на это, потому что пришел включил комп сделал то что писал раньше и сразу после перезагрузки началось.

Katharsis 02-11-2013 00:39 2245755
черные окна - это консольные команды для внесения изменений в систему. У вас была перезаписана часть файлов (системные и пользовательские) и заменена на троянские. в время этого как раз такие окошки могли появляться.

santana109 02-11-2013 00:42 2245762
обидно даже не то что переустановил, а то что не знаю откуда оно взялось.
А если бы у меня была точка восстановления до заражения и я ее бы применил, то все бы исчезло?

Katharsis 02-11-2013 00:45 2245765
может быть

santana109 02-11-2013 00:45 2245767
Цитата:
Цитата Katharsis
может быть »
а что не факт? я думал что если по инструкции что вы скинули сделать точку, то в случае чего откат поможет?

Katharsis 02-11-2013 00:47 2245769
иногда вирусные файлы остаются

santana109 02-11-2013 00:48 2245771
Цитата:
Цитата Katharsis
иногда вирусные файлы остаются »
то есть нет такого действенного способа чтобы вернуться?

Katharsis 02-11-2013 00:50 2245774
можно было откатиться к работоспособному состоянию системы и перебить вирье другим способом

santana109 02-11-2013 00:52 2245776
ясно, все равно спасибо за понимание и помощь. Создал току восстановления себе.

Katharsis 02-11-2013 00:55 2245779
ок.

также дополнительно можете провериться на незакрытые уязвимости - для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

santana109 02-11-2013 01:23 2245803
Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 01.11.2013 23:23:06
Run directory: C:\Users\ARTUR\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.1
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 01.11.2013 19:05:21
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [64.9 Гб] Занято: [23.7 Гб] Свободно: [41.2 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------Java---------------------------------
Java 7 Update 45 v.7.0.450
Java Auto Updater v.2.1.9.8
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.9.900.117
Adobe Reader X (10.1.2) - Russian v.10.1.2 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.30.0.1599.101
Opera Stable 17.0.1241.53 v.17.0.1241.53
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.30.0.1599.101
-------------EndLog-------------------------------

обновления скачал...

Katharsis 02-11-2013 01:43 2245814
обновитесь, uac включите

santana109 02-11-2013 01:46 2245816
Цитата:
Цитата Katharsis
обновитесь, uac включите »
а что именно включить, куда ползунок передвинуть?

Katharsis 02-11-2013 02:18 2245834
на 3 уровень снизу


Время: 20:17.

Время: 20:17.
© OSzone.net 2001-