Решена давайте таки посмотрим логи!...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kиpилл, 30 ноя 2012.

Статус темы:
Закрыта.
  1. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Koza Nozdri, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Koza Nozdri, сделайте такой лог

    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Тулбары, которые видны в логе AdwCleaner сами ставили ? если нет

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
    -------------------
    Скачайте портативную версию Opera@USB и посмотрите будет ли наблюдаться проблема в ней (чтобы исключить влияние вашего браузера и его настроек).
    -------------------------
    по логам OTM у меня мало опыта, пусть ещё кто-то посмотрит.
     
    Последнее редактирование: 30 ноя 2012
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Не тот шаблон скопировал))

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    В логе OTL много мусора + 2 файла в ADS, давай после AdwCleaner почищу
     
  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    regist, тулбары видимо проскочили когда ось восстанавливал-совсем недавно я ее просто уничтожил,собирал полночи.
    опера не запускается,запустил портабельный мозилла
    Безымянный6.jpg
    та же петрушка,как видим.
    Severnyj,ок давай,тока мне надо знать какой мусор удаляем.
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Поменял заголовок темы. Теперь все чисто :)
     
  10. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    таких тем много.........
     
    Последнее редактирование: 30 ноя 2012
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • В окно Custom Scans/Fixes скопируйте следующую информацию:

      Код (Text):
      :processes
      :OTL
      IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=14335&tt=3012_2&babsrc=SP_ss_cr&mntrId=ac4c6d87000000000000001f16fbdb97
      IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=crm&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYRU&apn_uid=f395ec2b-0d3c-4bde-85fc-0c4f00a01192&apn_sauid=79AD6A5B-6CC8-4201-9BB9-9A06F2D017EC
      FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
      FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
      FF - prefs.js..browser.search.selectedEngine: "Яндекс"
      FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q="
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
      FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
      FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2:  File not found
      FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
      [2012.08.21 23:13:13 | 000,002,323 | ---- | M] () -- C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml
      O2:[b]64bit:[/b] - BHO: (no name) - AutorunsDisabled - No CLSID value found.
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
      O4 - HKLM..\Run: []  File not found
      O4 - HKCU..\Run: []  File not found
      [2009.07.14 12:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
      @Alternate Data Stream - 169 bytes -> C:\ProgramData\TEMP:9D1B94FD
      @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:9E00596C
      @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:D5AD7675

      :Services

      :Files

      ipconfig /flushdns /c
      :Reg

      :Commands
      [EMPTYTEMP]
      [purity]
      [start explorer]
      [Reboot]
    • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
    • Компьютер перезагрузится.
    • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Код (Text):
    All processes killed
    ========== PROCESSES ==========
    ========== OTL ==========
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
    Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename
    Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
    Prefs.js: "Яндекс" removed from browser.search.selectedEngine
    Prefs.js: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q=" removed from keyword.URL
    64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
    64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2\ deleted successfully.
    Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
    File C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml not found.
    64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled\ deleted successfully.
    64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
    64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    C:\Windows\assembly\Desktop.ini moved successfully.
    ADS C:\ProgramData\TEMP:9D1B94FD deleted successfully.
    ADS C:\ProgramData\TEMP:9E00596C deleted successfully.
    ADS C:\ProgramData\TEMP:D5AD7675 deleted successfully.
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    [color=#A23BEC]< ipconfig /flushdns /c >[/color]
    No captured output from command...
    E:\загрузки\cmd.bat deleted successfully.
    ========== REGISTRY ==========
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: All Users
     
    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56475 bytes
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    User: Fire
    ->Temp folder emptied: 32644267 bytes
    ->Temporary Internet Files folder emptied: 132031974 bytes
    ->FireFox cache emptied: 127509940 bytes
    ->Google Chrome cache emptied: 218113676 bytes
    ->Flash cache emptied: 3656 bytes
     
    User: Public
     
    User: SafeZone
    ->Temp folder emptied: 50051 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56475 bytes
     
    User: Все пользователи
     
    User: Гость
    ->Temp folder emptied: 1546 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56475 bytes
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 401408 bytes
    %systemroot%\System32 .tmp files removed: 1618992 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    Session Manager Temp folder emptied: 293030191 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
    RecycleBin emptied: 9238772951 bytes
     
    Total Files Cleaned = 9*579,00 mb
     
     
    OTL by OldTimer - Version 3.2.69.0 log created on 12012012_013542

    Files\Folders moved on Reboot...
    C:\Users\Fire\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    E:\загрузки\OTL.exe moved successfully.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
     
     
  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Сделай новый лог OTL
     
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    иихха!!
    а назад содержимое папки загрузки не вернуть?...
    там малварей коллекция вчерашняя...
    И пара резюме лежало...

    Добавлено через 30 секунд
    лог уже делаю.
     
    Последнее редактирование: 30 ноя 2012
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    C:\_OTL\MovedFiles - если там нет то не вернуть
     
    1 человеку нравится это.
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    + Файл - Восстановление системы -> поставь галочку у пункта №19 и нажми выполнить отмеченные операции.
     
    1 человеку нравится это.
  18. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Бывает, когда не может получить доступа к какому нибудь файлу.

    Чисто, настрой. Уровни безопасности зон в IE:

    Код (Text):
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
     
    1 человеку нравится это.
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.232
    Симпатии:
    4.980
    Спасибочки!
     
Статус темы:
Закрыта.

Поделиться этой страницей