Решена Избавление от мусора на компьютере и удаление отладчика

Статус
В этой теме нельзя размещать новые ответы.

TavapHяk

Постоянный участник
Сообщения
134
Реакции
8
На этом компьютере было много разного мусора. Сейчас видно, что есть отладчик.
Также был удален оптимизатор, надеюсь, он не успел напортачить.
 

Вложения

  • hijackthis.log
    8.1 KB · Просмотры: 1
  • MBAM-log-2013-09-25 (19-28-52).txt
    5.1 KB · Просмотры: 2
  • virusinfo_syscure.zip
    22.6 KB · Просмотры: 5
Приветствую TavapHяk, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Вот еще лог
 

Вложения

  • AdwCleaner[R0].txt
    6.7 KB · Просмотры: 3
Здравствуйте!

Выполните скрипт в AVZ:

Код:
begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:
Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Отчет после удаления покажите.

  • Запустите повторно AdwCleaner (by Xplode), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.
 
Сделал
 

Вложения

  • virusinfo_syscheck.zip
    22.1 KB · Просмотры: 1
  • mbam-log-2013-09-26 (10-42-14).txt
    5.3 KB · Просмотры: 1
  • log.txt
    20.5 KB · Просмотры: 1
  • info.txt
    45.4 KB · Просмотры: 2
  • AdwCleaner[S0].txt
    6.4 KB · Просмотры: 1
Да, забыл. Там стоит вводить пароль - это установлено пользователем. Но до него появляется окошко небольшое в шапке [[ текста нету и кнопка типа ОК или Разрешить.

Добавлено через 5 минут 48 секунд
Это в самом начале еще было до лечения...
 
Проверьте работу в режиме "чистой" загрузки:
WIN +R - выполнить - msconfig
На вкладке Общие выберите параметр Выборочный запуск.
В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки.
На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все.
Нажмите Применить - OK и - Перезапустить.

Таким образом попробуйте определить кто "виноват" в появляющемся окошке.

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Таким образом попробуйте определить кто "виноват" в появляющемся окошке.
Не получилось определить... Перепроверю потом еще раз.

Какие еще логи делать? Попробую UVS.
Кстати, в Хроме изменена домстраница. Не могу исправить. Сами настройки на другом языке, не могу найти, вроде бы ничего сложного.

Добавлено через 16 минут 57 секунд
Проверил опять - ничего такого не нашел. Скорей всего оптимизатор порылся где не надо, такое явление частое.
 
Cохраните следующий текст с расширением reg и запустите полученный файл.
Код:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"legalnoticecaption"=""
"legalnoticetext"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption"=""
"LegalNoticeText"=""


в Хроме изменена домстраница. Не могу исправить.
В адресной строке Хрома введите
Код:
chrome://settings/startup
и измените страницу.
 
Домстраницу исправил, нашел сам потом.
Регтекст тоже выполнил.
Я так думаю, что уже вроде бы все или нет. Вот лог UVS.
 

Вложения

  • IRINA-B04D9E9B5_2013-09-26_12-50-37.7z
    325.4 KB · Просмотры: 1
Перезагрузился, т.к. почистил следы за утилитами. Окна нету про которое я тут писал. А что это вообще было?
Если больше ничего подозрительного нету, тогда можно отмечать тему решеной.
Я поставлю на тот комп фаер с проактивкой. Присмотрятся, разберутся.
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.81.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    delref %SystemDrive%\PROGRAM FILES\DENZI\DENZI.EXE
    delref %SystemDrive%\DOCUME~1\IRINA\APPLIC~1\DEALPLY\UPDATE~1\UPDATE~1.EXE
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. Подробнее читайте в этом руководстве.

Видны хвосты антивируса AVG. Удалите.

И, если больше нет проблем, то
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.
 
Последнее редактирование:
В скрипте ошибка. Пишет, что нету команд uVS и выполнение скрипта запрещено

Добавлено через 43 секунды
AVG удалял. Там 2012 версия была. Наверное ей надо почистить.

Добавлено через 1 минуту 4 секунды
Пишет, что в скрипте возможно ошибки
 
Скрипт удаляет ссылки на отсутствующие файлы.
Поправил, попробуйте еще раз.
 
Всеравно пишет, что скрипт содержит ошибки, либо отсутствуют команды uVS, выполнение такого скрипта запрещено.
AVG поудаляю разными утилитами по его удалению, а именно, 2012, 2013, 2014.
 
ОК, давайте лог SecurityCheck.
 
Я все остальное обновлю потом, когда комп верну. У меня не получилось комп к моему интернету подсоединить. Базы обновлений приходилось флешкой переносить.
Когда они его подсоединят, я все обновлю до конца.

Security Check by glax24 version 0.2.4.58 rc1
WebSite: www.safezone.cc
DateLog: 26.09.2013 14:17:35
Run directory: C:\Documents and Settings\Irina\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionLocal: 5.8
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: English(0409)
Installation date OS: 06.05.2010 18:55:12
SystemDrive: C:\ FS: NTFS Capacity: [39.1 Gb] Used: [28.8 Gb] Free: [10.3 Gb]
DefaultBrowser: C:\Documents and Settings\Irina\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Automatic download and scheduled installation
Date install updates: 2012-02-16 19:08:44
Automatic Updates (wuauserv) - The service is running
Security Center (wscsvc) - The service is running
System Restore Disable
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------OtherUtilities-----------------------
CCleaner v.4.06
-------------Java---------------------------------
Java 7 Update 40 v.7.0.400
Java SE Development Kit 7 Update 40 v.1.7.0.400
Java Auto Updater v.2.1.9.8
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.1.102.63 Warning! Download Update
Adobe Reader 9.3 v.9.3.0 Warning! Download Update
-------------Browser------------------------------
Google Chrome v.26.0.1410.43 Warning! Download Update
-------------EndLog-------------------------------

Добавлено через 12 минут 10 секунд
Поставил фаер с проактивкой и попросил перезагрузки. Комп свалился в синий экран.
 
BlueScreenView показал, что нету дампов - чисто. Заглянул в папку - нету.

Добавлено через 7 минут 0 секунд
Тескта очень мало было. В основном он вверху был и коды, но я их не запомнил.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу