Решена Компьютер тупит, пользователь подозревает всякое

Тема в разделе "Лечение компьютерных вирусов", создана пользователем SeLeg, 21 май 2013.

Статус темы:
Закрыта.
  1. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    Всем привет, посмотрите, пожалуйста, логи.
     

    Вложения:

    • info.txt
      Размер файла:
      60,7 КБ
      Просмотров:
      2
    • KL_syscure.zip
      Размер файла:
      16,5 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      24,4 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую SeLeg, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Здравствуйте!
    Сделайте дополнительно лог HiJackThis
     
  4. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    Лог HiJackThis
     

    Вложения:

    • hijackthis.log
      Размер файла:
      12,6 КБ
      Просмотров:
      3
  5. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Пофиксите в HijackThis следующие строчки:
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    O1 - Hosts: 37.10.117.102 odnoklassniki.ru m.odnoklassniki.ru m.vk.com wap.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru
    O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)
    O3 - Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - (no file)
    O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
    Для полного удаления вебальты:

    AVZ - Сервис - Поиск данных в реестре.
    В поле "Образец" впишите webalta, нажмите "Пуск". После окончания сохраните протокол и выложите сюда.
    Поиск не закрывайте.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
     
  6. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    Логи
     

    Вложения:

  7. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    На результатах поиска в AVZ правой кнопкой - Выделить все, Удалить.

    Откройте блокнотом и процитируйте содержимое файла:
    C:\windows\tasks\At1.job

    Если не получится, запакуйте его и выложите сюда.

    Попробуйте с помощью, например, Revo удалить временно vksaver.

    В MBAM удалите все, кроме

    Повторите сканирование (можно только диск С).
     
  8. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    1. В AVZ удалил.
    2. Содержимое At1.job
    Код (Text):

     бЛЩл;OЁ“$Ќщ_ЊAF F    <
          s       *!Э     % ђ   c m d . e x e   З " / c   a t t r i b   - H   C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s   & &   c o p y   C : \ U s e r s \ C 7 6 5 ~ 1 \ A p p D a t a \ L o c a l \ T e m p \ 4 8 4 0 5 4 5 6 a q   C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s   / Y   & &   a t t r i b   + H   C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s "      A8AB5<0   !>AB02;5=>  N e t S c h e d u l e J o b A d d .               0   Э         ,                            :шїЌИ 2=ХЁиЃGVrТ§ «Л=що·   т ЌЇђх+ЬFЉМДxФw g№в>Ђ)]Ж‚G*Як4э7mШO
     
    3. С помощью Revo принудительно удалил vksaver.
    4. MBAM новые логи после удаления
     

    Вложения:

  9. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('C:\Users\C765~1\AppData\Local\Temp\48405456aq','');
     DeleteFile('C:\Users\C765~1\AppData\Local\Temp\48405456aq');
     DeleteFile('C:\windows\tasks\At1.job');
     ExecuteRepair(13);
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Повторите логи AVZ (стандартный скрипт 2) и RSIT

    Что с проблемой?
     
  10. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    1. Архив отправил формой.
    2. Логи прикрепляю.
    3. Комп работать стал повеселее.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      15,8 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      24,4 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      58,9 КБ
      Просмотров:
      1
  11. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Хвост еще остался.

    В AVZ выполните скрипт:

    Код (Text):
    begin
     QuarantineFile('C:\PROGRA~2\VKSaver\vksaver3.dll','');
     DeleteFile('C:\PROGRA~2\VKSaver\vksaver3.dll');
    end.
    Пофиксите в HijackThis (если останутся) следующие строчки:
    Код (Text):
    O20 - AppInit_DLLs: C:\PROGRA~2\VKSaver\vksaver3.dll
    Сделайте еще раз ст. скрипт 2 AVZ и лог HiJack
     
  12. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    Подцепил инет. Всплыла вебальта при загрузке firefox.
    Скрипт выполнил, в Джеке пофиксил, логи выкладываю
     

    Вложения:

  13. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    В других браузерах не появляется?
    Проверьте свойства ярлыка Firefox не дописано ли что лишнее (вебальта). Если да, удалите.
     
  14. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    В других не появляется. Ярлык сделал заново - тоже самое.
     
  15. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Последнее редактирование: 21 май 2013
  16. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    Обновил Firefox, сменил стартовую. Нормально стало, перезагрузился - опять изменена стартовая.
     
  17. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Посмотрите что у вас в дополнениях Фокса. Временно все отключите.

    Если не поможет, не обновляйте, а удалите с зачисткой и установите снова.
     
  18. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    Удалил с Revo Firefox, все нормально было до перезагрузки. После - опять стартовая вебальта.
     
  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.447
    Симпатии:
    13.950
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
     
    1 человеку нравится это.
  20. SeLeg
    Оффлайн

    SeLeg Активный пользователь

    Сообщения:
    149
    Симпатии:
    1
    Вобщем, я вторым способом через about поменял страницу стартовую. Пробовал несколько раз - вроде нормально стало.
    Логи выкладываю на всякий случай
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей