1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена давайте таки посмотрим логи!...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kиpилл, 30 ноя 2012.

Статус темы:
Закрыта.
  1. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
  2. Инфо.Бот

    Ботан Злостный спам-бот

    Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    980
    Симпатии:
    194
    Баллы:
    293
    Приветствую Koza Nozdri, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.667
    Симпатии:
    5.389
    Баллы:
    848
    Koza Nozdri, сделайте такой лог

    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.667
    Симпатии:
    5.389
    Баллы:
    848
    Тулбары, которые видны в логе AdwCleaner сами ставили ? если нет

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
    -------------------
    Скачайте портативную версию Opera@USB и посмотрите будет ли наблюдаться проблема в ней (чтобы исключить влияние вашего браузера и его настроек).
    -------------------------
    по логам OTM у меня мало опыта, пусть ещё кто-то посмотрит.
     
    Последнее редактирование: 30 ноя 2012
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.459
    Симпатии:
    9.168
    Баллы:
    593
    Не тот шаблон скопировал))

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    В логе OTL много мусора + 2 файла в ADS, давай после AdwCleaner почищу
     
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
    regist, тулбары видимо проскочили когда ось восстанавливал-совсем недавно я ее просто уничтожил,собирал полночи.
    опера не запускается,запустил портабельный мозилла
    Безымянный6.
    та же петрушка,как видим.
    Severnyj,ок давай,тока мне надо знать какой мусор удаляем.
     
  10. akok
    Оффлайн

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.007
    Симпатии:
    14.316
    Баллы:
    2.193
    Поменял заголовок темы. Теперь все чисто :)
     
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
    таких тем много.........
     
    Последнее редактирование: 30 ноя 2012
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.459
    Симпатии:
    9.168
    Баллы:
    593
    • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • В окно Custom Scans/Fixes скопируйте следующую информацию:

      Код (Text):
      :processes
      :OTL
      IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=14335&tt=3012_2&babsrc=SP_ss_cr&mntrId=ac4c6d87000000000000001f16fbdb97
      IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=crm&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYRU&apn_uid=f395ec2b-0d3c-4bde-85fc-0c4f00a01192&apn_sauid=79AD6A5B-6CC8-4201-9BB9-9A06F2D017EC
      FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
      FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
      FF - prefs.js..browser.search.selectedEngine: "Яндекс"
      FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q="
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
      FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
      FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2:  File not found
      FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
      [2012.08.21 23:13:13 | 000,002,323 | ---- | M] () -- C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml
      O2:[b]64bit:[/b] - BHO: (no name) - AutorunsDisabled - No CLSID value found.
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
      O4 - HKLM..\Run: []  File not found
      O4 - HKCU..\Run: []  File not found
      [2009.07.14 12:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
      @Alternate Data Stream - 169 bytes -> C:\ProgramData\TEMP:9D1B94FD
      @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:9E00596C
      @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:D5AD7675

      :Services

      :Files

      ipconfig /flushdns /c
      :Reg

      :Commands
      [EMPTYTEMP]
      [purity]
      [start explorer]
      [Reboot]
    • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
    • Компьютер перезагрузится.
    • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
    Код (Text):
    All processes killed
    ========== PROCESSES ==========
    ========== OTL ==========
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
    Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename
    Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
    Prefs.js: "Яндекс" removed from browser.search.selectedEngine
    Prefs.js: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q=" removed from keyword.URL
    64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
    64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2\ deleted successfully.
    Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
    File C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml not found.
    64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled\ deleted successfully.
    64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
    64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    C:\Windows\assembly\Desktop.ini moved successfully.
    ADS C:\ProgramData\TEMP:9D1B94FD deleted successfully.
    ADS C:\ProgramData\TEMP:9E00596C deleted successfully.
    ADS C:\ProgramData\TEMP:D5AD7675 deleted successfully.
    ========== SERVICES/DRIVERS ==========
    ========== FILES ==========
    [color=#A23BEC]< ipconfig /flushdns /c >[/color]
    No captured output from command...
    E:\загрузки\cmd.bat deleted successfully.
    ========== REGISTRY ==========
    ========== COMMANDS ==========
     
    [EMPTYTEMP]
     
    User: All Users
     
    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56475 bytes
     
    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes
     
    User: Fire
    ->Temp folder emptied: 32644267 bytes
    ->Temporary Internet Files folder emptied: 132031974 bytes
    ->FireFox cache emptied: 127509940 bytes
    ->Google Chrome cache emptied: 218113676 bytes
    ->Flash cache emptied: 3656 bytes
     
    User: Public
     
    User: SafeZone
    ->Temp folder emptied: 50051 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56475 bytes
     
    User: Все пользователи
     
    User: Гость
    ->Temp folder emptied: 1546 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 56475 bytes
     
    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 401408 bytes
    %systemroot%\System32 .tmp files removed: 1618992 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    Session Manager Temp folder emptied: 293030191 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
    RecycleBin emptied: 9238772951 bytes
     
    Total Files Cleaned = 9*579,00 mb
     
     
    OTL by OldTimer - Version 3.2.69.0 log created on 12012012_013542

    Files\Folders moved on Reboot...
    C:\Users\Fire\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    E:\загрузки\OTL.exe moved successfully.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
     
     
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.459
    Симпатии:
    9.168
    Баллы:
    593
    Сделай новый лог OTL
     
  16. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
    иихха!!
    а назад содержимое папки загрузки не вернуть?...
    там малварей коллекция вчерашняя...
    И пара резюме лежало...

    Добавлено через 30 секунд
    лог уже делаю.
     
    Последнее редактирование: 30 ноя 2012
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.459
    Симпатии:
    9.168
    Баллы:
    593
    C:\_OTL\MovedFiles - если там нет то не вернуть
     
    1 человеку нравится это.
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.667
    Симпатии:
    5.389
    Баллы:
    848
    + Файл - Восстановление системы -> поставь галочку у пункта №19 и нажми выполнить отмеченные операции.
     
    1 человеку нравится это.
  19. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.459
    Симпатии:
    9.168
    Баллы:
    593
    Бывает, когда не может получить доступа к какому нибудь файлу.

    Чисто, настрой. Уровни безопасности зон в IE:

    Код (Text):
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
     
    1 человеку нравится это.
  21. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.892
    Симпатии:
    5.304
    Баллы:
    783
    Спасибочки!
     
Статус темы:
Закрыта.

Поделиться этой страницей