• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена давайте таки посмотрим логи!...

Статус
В этой теме нельзя размещать новые ответы.

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую Koza Nozdri, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Koza Nozdri, сделайте такой лог

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Тулбары, которые видны в логе AdwCleaner сами ставили ? если нет

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
-------------------
Скачайте портативную версию [email protected] и посмотрите будет ли наблюдаться проблема в ней (чтобы исключить влияние вашего браузера и его настроек).
-------------------------
по логам OTM у меня мало опыта, пусть ещё кто-то посмотрит.
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Не тот шаблон скопировал))

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

В логе OTL много мусора + 2 файла в ADS, давай после AdwCleaner почищу
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
regist, тулбары видимо проскочили когда ось восстанавливал-совсем недавно я ее просто уничтожил,собирал полночи.
опера не запускается,запустил портабельный мозилла
Безымянный6.jpg
та же петрушка,как видим.
Severnyj,ок давай,тока мне надо знать какой мусор удаляем.
 

akok

Команда форума
Администратор
Сообщения
19,316
Реакции
13,332
Баллы
2,203
Поменял заголовок темы. Теперь все чисто :)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=14335&tt=3012_2&babsrc=SP_ss_cr&mntrId=ac4c6d87000000000000001f16fbdb97
    IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=crm&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYRU&apn_uid=f395ec2b-0d3c-4bde-85fc-0c4f00a01192&apn_sauid=79AD6A5B-6CC8-4201-9BB9-9A06F2D017EC
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..browser.search.selectedEngine: "Яндекс"
    FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q="
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
    FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
    FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2:  File not found
    FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
    [2012.08.21 23:13:13 | 000,002,323 | ---- | M] () -- C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml
    O2:[b]64bit:[/b] - BHO: (no name) - AutorunsDisabled - No CLSID value found.
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
    O4 - HKLM..\Run: []  File not found
    O4 - HKCU..\Run: []  File not found
    [2009.07.14 12:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
    @Alternate Data Stream - 169 bytes -> C:\ProgramData\TEMP:9D1B94FD
    @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:9E00596C
    @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:D5AD7675
    
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename
Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
Prefs.js: "Яндекс" removed from browser.search.selectedEngine
Prefs.js: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q=" removed from keyword.URL
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
File C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml not found.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled\ deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Windows\assembly\Desktop.ini moved successfully.
ADS C:\ProgramData\TEMP:9D1B94FD deleted successfully.
ADS C:\ProgramData\TEMP:9E00596C deleted successfully.
ADS C:\ProgramData\TEMP:D5AD7675 deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
No captured output from command...
E:\загрузки\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Fire
->Temp folder emptied: 32644267 bytes
->Temporary Internet Files folder emptied: 132031974 bytes
->FireFox cache emptied: 127509940 bytes
->Google Chrome cache emptied: 218113676 bytes
->Flash cache emptied: 3656 bytes
 
User: Public
 
User: SafeZone
->Temp folder emptied: 50051 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
User: Все пользователи
 
User: Гость
->Temp folder emptied: 1546 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 401408 bytes
%systemroot%\System32 .tmp files removed: 1618992 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 293030191 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
RecycleBin emptied: 9238772951 bytes
 
Total Files Cleaned = 9*579,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12012012_013542

Files\Folders moved on Reboot...
C:\Users\Fire\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
E:\загрузки\OTL.exe moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Сделай новый лог OTL
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
иихха!!
а назад содержимое папки загрузки не вернуть?...
там малварей коллекция вчерашняя...
И пара резюме лежало...

Добавлено через 30 секунд
лог уже делаю.
 
Последнее редактирование:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
C:\_OTL\MovedFiles - если там нет то не вернуть
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
+ Файл - Восстановление системы -> поставь галочку у пункта №19 и нажми выполнить отмеченные операции.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Бывает, когда не может получить доступа к какому нибудь файлу.

Чисто, настрой. Уровни безопасности зон в IE:

Код:
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
Спасибочки!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу