Решена После загрузки личных параметров сразу открывается папка мои документы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем neonoviy, 19 дек 2010.

Статус темы:
Закрыта.
  1. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    Здравствуйте! Помогите избавится от гадости. Хоть и не очень мешает тем не менее довольно неприятно. Суть дела в том, что при загрузке личных параметров сразу открывается папка мои документы. При запуске винды в безопасном режиме всё повторяется. Перейдя в диспетчер задач работает мои документы и ещё "неопределённый объект", причём при перезагрузке или включении компьютера "неопределённый объект" меняет своё название. Перейдя в процессы обнаруживается Odbcctl.exe (В безопасном режиме процесса нет). После завершения данного процесса ничего не меняется. Всё, что мог сделать сделал, как описано в правилах оформления запроса о помощи, только не смог разобраться, где делается вот этот пункт (в папке меню Сервис - Свойства папки, вкладка Вид снять флажок "Скрывать расширения для зарегистрированных типов файлов"; Нажать на ок.). Эта гадость не даёт обновиться AVZ. И не только, она ещё и не даёт скачивать антивирусы, в общем рубит по полной. Уже трое суток с ней борюсь и всё безуспешно. Очень надеюсь на Вашу помощь.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      20,7 КБ
      Просмотров:
      7
    • log.txt
      Размер файла:
      36,1 КБ
      Просмотров:
      5
    • info.txt
      Размер файла:
      41,3 КБ
      Просмотров:
      2
    • hijackthis.log
      Размер файла:
      12,9 КБ
      Просмотров:
      2
  2. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\Odbcctl.exe','');
     QuarantineFile('C:\WINDOWS\system32\lkeroo.exe','');
     DeleteFile('C:\WINDOWS\system32\lkeroo.exe');
     DeleteFile('C:\WINDOWS\system32\Odbcctl.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft ODBC Engine');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(20);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>safezone.cc (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

    Пофиксить в HijackThis следующие строчки
    Код (Text):
     F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\lkeroo.exe,userinit.exe
    O4 - HKLM\..\Run: [Microsoft ODBC Engine] Odbcctl.exe
    O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/07C4~1/LOCALS~1/Temp/msohtmlclip1/01/clip_image002.jpg
     
    После чего повторите логи, только не забудьте обновить базы.

    +

    скопируйте следующий код в блокнот, сохраните под любым именем с расширением .reg После сохранения кликните дважды по файлу, подтвердите добавление в реестр

    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "PersistBrowsers"=dword:00000000
     
    Последнее редактирование: 20 дек 2010
  3. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    goredey, Выполнил код "1" и код "2". В HijackThis не нашёл первые две строчки, в чём дело?. quarantine.zip отправил на проверку, жду ответа. И где можно скачать FAQ по HijackThis, а то боюсь не справлюсь. Чисто интуитивно пофиксил в HijackThis последнюю строчку, после чего она исчезла из HijackThis это норма? Блин полный чайник......
     
  4. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    Вот здесь


    ничего страшного!

    Да.

    Подготовьте повторные логи AVZ, только не забудьтя обновить базы
    Код (Text):
    AVZ-->файл-->обновить базы
    +


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Что с проблемами?
     
  5. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    goredey, Сканировал Malwarebytes' Anti-Malware. Нашёл много ифицированных файлов 33 шт. Что мне с ними делать? Malwarebytes' Anti-Malware предлагает удалить объекты. Мне выполнить это действие? Для создания новых логов АВЗ, мне потребуется перезагрузка, а Malwarebytes' Anti-Malware пока работает и ждет моих действий. Вот осёл, сначала ведь нужно было логи подготовить!!!
     

    Вложения:

    Последнее редактирование: 21 дек 2010
  6. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    Вот логи AVZ
     

    Вложения:

    Последнее редактирование модератором: 21 дек 2010
  7. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('C:\WINDOWS\system32\lkeroo.exe','');
     DeleteFile('C:\WINDOWS\system32\lkeroo.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Удалите в Malwarebytes' Anti-Malware
    Код (Text):
    Заражённые папки:
    c:\documents and settings\Алексей\application data\winxrar (Trojan.Agent) -> No action taken.
    Заражённые файлы:
    c:\WINDOWS\system32\'4rЂ
    c:\documents and settings\Алексей\application data\chkntfs.dat (Malware.Trace) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\a.htm (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\aview (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\key (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
    c:\documents and settings\Алексей\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
     
    Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

    Что с проблемами?
     
    Последнее редактирование: 21 дек 2010
  8. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    Скрипт выполнил. Логи вложил. Изменения небольшие. Папка мои документы как открывалась так и открывается, только теперь в диспетчере задач нет приложения и процесса.
     

    Вложения:

    • info.txt
      Размер файла:
      41,3 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      40,7 КБ
      Просмотров:
      6
  9. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Создайте твик реестра с содержимым

    Код (Text):
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "PersistBrowsers"=dword:00000000
    Добавлено через 10 секунд
    А так?
     
  10. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    Нет и это не помогло. Прилагаю скриншот. Непонятны два процесса отмеченные стрелками.
     

    Вложения:

    • 1.png
      1.png
      Размер файла:
      21,8 КБ
      Просмотров:
      13
  11. goredey
    Оффлайн

    goredey Ассоциация VN

    Сообщения:
    442
    Симпатии:
    392
    neonoviy, это легальные системные процессы
    1) taskmgr.exe- это диспетчер задач
    2) Ctfmon - системный процесс Windows. Этот процесс производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных.
     
    4 пользователям это понравилось.
  12. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    Дальше-то что?:( Форматировать диск?
     
  13. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Проведите поиск файлов при помощи AVZ:

    • CTFMON.EXE
    • taskmgr.exe

    И перешлите полученный архив на quarantine<at>safezone.cc (at=@) в заголовке (теме) письма укажите ссылку на тему.

    Добавлено через 1 минуту 28 секунд
    neonoviy, сформулируйте, что смущает в работе системы.

    Насколько понимаю у вас windows сборка?
     
    2 пользователям это понравилось.
  14. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    Да, сборка windows, лицензионная. Смущает то, что сидит у меня какая-то "фигня" и я не знаю, что она из себя представляет. Ранее писал, что после загрузки личных параметров открывается папка мои документы, причем без моих действий. Файлы в карантин не добавляются.
     

    Вложения:

    • 2.png
      2.png
      Размер файла:
      12,6 КБ
      Просмотров:
      7
  15. akok
    Онлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    2 пользователям это понравилось.
  16. neonoviy
    Оффлайн

    neonoviy Активный пользователь

    Сообщения:
    9
    Симпатии:
    6
    akoK После ознакомления с данной темой проблема решилась :victory:. Но всё равно не понял, почему это произошло. Система работала больше года без косяков, а тут на тебе поменялась ни с того ни с сего. Огромное спасибо всем участникам форума!!! С наступающим новым годом!!!
     
    6 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей