Решена Компьютер тупит, пользователь подозревает всякое

Статус
В этой теме нельзя размещать новые ответы.

SeLeg

Постоянный участник
Сообщения
176
Реакции
1
Всем привет, посмотрите, пожалуйста, логи.
 

Вложения

  • info.txt
    60.7 KB · Просмотры: 2
  • KL_syscure.zip
    16.5 KB · Просмотры: 2
  • log.txt
    24.4 KB · Просмотры: 2
Приветствую SeLeg, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Здравствуйте!
Сделайте дополнительно лог HiJackThis
 
Лог HiJackThis
 

Вложения

  • hijackthis.log
    12.6 KB · Просмотры: 3
Пофиксите в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O1 - Hosts: 37.10.117.102 odnoklassniki.ru m.odnoklassniki.ru m.vk.com wap.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru
O2 - BHO: (no name) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - (no file)
O3 - Toolbar: (no name) - {8dcb7100-df86-4384-8842-8fa844297b3f} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)

Для полного удаления вебальты:

AVZ - Сервис - Поиск данных в реестре.
В поле "Образец" впишите webalta, нажмите "Пуск". После окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
 
Логи
 

Вложения

  • MBAM-log-2013-05-21 (12-45-52).txt
    3.4 KB · Просмотры: 2
  • protocol_reg.txt
    74.8 KB · Просмотры: 4
На результатах поиска в AVZ правой кнопкой - Выделить все, Удалить.

Откройте блокнотом и процитируйте содержимое файла:
C:\windows\tasks\At1.job

Если не получится, запакуйте его и выложите сюда.

Попробуйте с помощью, например, Revo удалить временно vksaver.

В MBAM удалите все, кроме

C:\Users\галина\AppData\Roaming\3po.ru\Uninstall.exe (Trojan.Clicker) -> Действие не было предпринято.
C:\Users\галина\AppData\Roaming\3po.ru\update.exe (Trojan.Clicker) -> Действие не было предпринято.

Повторите сканирование (можно только диск С).
 
1. В AVZ удалил.
2. Содержимое At1.job
Код:
 бЛЩл;OЁ“$Ќщ_ЊAF F    < 
      s       *!Э     % ђ   c m d . e x e   З " / c   a t t r i b   - H   C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s   & &   c o p y   C : \ U s e r s \ C 7 6 5 ~ 1 \ A p p D a t a \ L o c a l \ T e m p \ 4 8 4 0 5 4 5 6 a q   C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s   / Y   & &   a t t r i b   + H   C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s "      A8AB5<0   !>AB02;5=>  N e t S c h e d u l e J o b A d d .               0   Э          ,                            :шїЌИ	2=ХЁиЃGVrТ§ «Л=що·	тЌЇђх+ЬFЉМДxФwg№в>Ђ)]Ж‚G*Як4э7mШO
3. С помощью Revo принудительно удалил vksaver.
4. MBAM новые логи после удаления
 

Вложения

  • MBAM-log-2013-05-21 (17-15-02).txt
    2.5 KB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\C765~1\AppData\Local\Temp\48405456aq','');
 DeleteFile('C:\Users\C765~1\AppData\Local\Temp\48405456aq');
 DeleteFile('C:\windows\tasks\At1.job');
 ExecuteRepair(13);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ (стандартный скрипт 2) и RSIT

Что с проблемой?
 
1. Архив отправил формой.
2. Логи прикрепляю.
3. Комп работать стал повеселее.
 

Вложения

  • virusinfo_syscheck.zip
    15.8 KB · Просмотры: 1
  • log.txt
    24.4 KB · Просмотры: 1
  • info.txt
    58.9 KB · Просмотры: 1
С помощью Revo принудительно удалил vksaver
Хвост еще остался.

В AVZ выполните скрипт:

Код:
begin
 QuarantineFile('C:\PROGRA~2\VKSaver\vksaver3.dll','');
 DeleteFile('C:\PROGRA~2\VKSaver\vksaver3.dll');
end.

Пофиксите в HijackThis (если останутся) следующие строчки:
Код:
O20 - AppInit_DLLs: C:\PROGRA~2\VKSaver\vksaver3.dll

Сделайте еще раз ст. скрипт 2 AVZ и лог HiJack
 
Подцепил инет. Всплыла вебальта при загрузке firefox.
Скрипт выполнил, в Джеке пофиксил, логи выкладываю
 

Вложения

  • hijackthis.log
    10.9 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    15.4 KB · Просмотры: 1
В других браузерах не появляется?
Проверьте свойства ярлыка Firefox не дописано ли что лишнее (вебальта). Если да, удалите.
 
В других не появляется. Ярлык сделал заново - тоже самое.
 
Обновил Firefox, сменил стартовую. Нормально стало, перезагрузился - опять изменена стартовая.
 
Посмотрите что у вас в дополнениях Фокса. Временно все отключите.

Если не поможет, не обновляйте, а удалите с зачисткой и установите снова.
 
Удалил с Revo Firefox, все нормально было до перезагрузки. После - опять стартовая вебальта.
 
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Вобщем, я вторым способом через about поменял страницу стартовую. Пробовал несколько раз - вроде нормально стало.
Логи выкладываю на всякий случай
 

Вложения

  • AdwCleaner[R1].txt
    1.3 KB · Просмотры: 4
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу