Проблемы с компом
ptary
Грандмастер
4/15/2009, 4:43:03 PM
периодически компьютер выдает мне полный завис, при запущенном минимуме программ, иногда не грузит виндоус.
самое забавное происходит когда запускаешь люой из трех интернет эксплореров.
собственно ИЕ, Мозилу и оперу.
окна повисают в хаотичном порядке, закрываешь вкладку - закрывается вобще все что запущено, но все бы ничего если бы вчера в довершение всего не столкнулась с проблемой невозможности перемещения файлов на компьютере. куда бы не перемещала - пишет поток прерван.
сканирование с помощью avz система прошла, однако выполнить лечащие скрипты не удалось, папка отсутствует....
https://www.backbook.me/go/?id=1&d=&f=/files/221543613/virusinfo_syscheck.zip.html
https://www.backbook.me/go/?id=1&d=&f=/files/221543774/virusinfo_syscure.zip.html
avz логи пока что...
и подскажите что делать чтобы пролечить?
самое забавное происходит когда запускаешь люой из трех интернет эксплореров.
собственно ИЕ, Мозилу и оперу.
окна повисают в хаотичном порядке, закрываешь вкладку - закрывается вобще все что запущено, но все бы ничего если бы вчера в довершение всего не столкнулась с проблемой невозможности перемещения файлов на компьютере. куда бы не перемещала - пишет поток прерван.
сканирование с помощью avz система прошла, однако выполнить лечащие скрипты не удалось, папка отсутствует....
https://www.backbook.me/go/?id=1&d=&f=/files/221543613/virusinfo_syscheck.zip.html
https://www.backbook.me/go/?id=1&d=&f=/files/221543774/virusinfo_syscure.zip.html
avz логи пока что...
и подскажите что делать чтобы пролечить?
ptary
Грандмастер
4/15/2009, 4:51:28 PM
DELETED
Акула пера
4/15/2009, 8:40:36 PM
Нужно сделать полную проверку DrWeb CureIt в безопасном режиме, как написано в правилах(пункт-1)
Пока что сделайте следущее:
Очистите папку карантин в папке АВЗ!
Отключите восстановление системы!!!
Отключите НОД , интернет и закройте все приложения!
Выполните в АВЗ такой скрипт(файл\выполнить скрипт\скопировать скрипт в окошко\запустить):
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{FB5F1910-F110-11d2-BB9E-00C04F795683}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
QuarantineFile('C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp','');
QuarantineFile('C:\Program Files\Wyyo\wyyo.dll','');
QuarantineFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteRepair(8);
ExecuteRepair(16);
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
Пофиксить, если найдутся, в Hijack строчки:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=40488
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное(автозапуск и обновление системы- по желанию) следует пометить галочками и нажать исправить отмеченные. Операцию повторить для категории "Настройки и твики браузера".
Карантин из папки АВЗ залейте на рапиду, и дайте ссылку.
Возможно некоторые файлы не попадут в карантин, проверте их на https://www.virustotal.com/ru/
C:\WINDOWS\system32\Unlocker.exe
C:\Documents and Settings\All Users\Application Data\Wyyo\wyyo129.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\Program Files\Wyyo\wyyo.exe
Пока что сделайте следущее:
Очистите папку карантин в папке АВЗ!
Отключите восстановление системы!!!
Отключите НОД , интернет и закройте все приложения!
Выполните в АВЗ такой скрипт(файл\выполнить скрипт\скопировать скрипт в окошко\запустить):
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{FB5F1910-F110-11d2-BB9E-00C04F795683}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
QuarantineFile('C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe','');
QuarantineFile('C:\WINDOWS\system32\Unlocker.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp','');
QuarantineFile('C:\Program Files\Wyyo\wyyo.dll','');
QuarantineFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteRepair(8);
ExecuteRepair(16);
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
Пофиксить, если найдутся, в Hijack строчки:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=40488
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное(автозапуск и обновление системы- по желанию) следует пометить галочками и нажать исправить отмеченные. Операцию повторить для категории "Настройки и твики браузера".
Карантин из папки АВЗ залейте на рапиду, и дайте ссылку.
Возможно некоторые файлы не попадут в карантин, проверте их на https://www.virustotal.com/ru/
C:\WINDOWS\system32\Unlocker.exe
C:\Documents and Settings\All Users\Application Data\Wyyo\wyyo129.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\Program Files\Wyyo\wyyo.exe
DELETED
Акула пера
4/15/2009, 8:48:46 PM
Еще забыл добавить:
После проверки DrWeb CureIt, в АВЗ активируйте "драйвер расширенного мониторинга AVZPM" и перезагрузите систему. Затем сделайте повторные логи.
После проверки DrWeb CureIt, в АВЗ активируйте "драйвер расширенного мониторинга AVZPM" и перезагрузите систему. Затем сделайте повторные логи.
ptary
Грандмастер
4/15/2009, 10:50:14 PM
в безопасном режиме проверку сделала. трояны якобы почищены уже.
повторный лог авз сделать сегодня постараюсь.
повторный лог авз сделать сегодня постараюсь.
DELETED
Акула пера
4/15/2009, 11:41:41 PM
Если проводилась полная проверка CureIt, то не помешает посмотреть на лог этой проверки. Файл находится в C:\Documents and Settings\имя пользователя\DoctorWeb\ Заархивируйте его и залейте куда нибудь.
DELETED
Акула пера
4/16/2009, 3:18:10 AM
(ptary @ 15.04.2009 - время: 22:36)https://www.rapidshare.ru/1006932
Не могу сейчас скачать ваш лог(лимит на бесплатные закачки). Что сказал VirusTotal по поводу тех файлов, которые просил проверить?
Задания я впланировщике задач ваши? Если нет, удалите через панель управления\управление заданиями.
Закройте все приложения, антивирус, отключите интернет;
Выполните в АВЗ скрипт:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('Wyyo Service', 4);
TerminateProcessByName('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
TerminateProcessByName('c:\program files\wyyo\wyyo.exe');
DeleteFile('c:\program files\wyyo\wyyo.exe');
DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
DeleteFile('C:\Program Files\Wyyo\wyyo.dll');
DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
BC_DeleteFile('c:\program files\wyyo\wyyo.exe');
BC_DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
BC_DeleteFile('C:\Program Files\Wyyo\wyyo.dll');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится(возможно потребуется некоторое время подожать минут 5-10) если это не произойдет(случай непростой), придется "ресетить".
Пофиксить в Hijack:
O8 - Extra context menu item: Block frame with Ad Muncher - https://www.admuncher.com/request_will_be_i...d=menu_ie_frame
O8 - Extra context menu item: Block image with Ad Muncher - https://www.admuncher.com/request_will_be_i...d=menu_ie_image
O8 - Extra context menu item: Block link with Ad Muncher - https://www.admuncher.com/request_will_be_i...id=menu_ie_link
O8 - Extra context menu item: Don't filter page with Ad Muncher - https://www.admuncher.com/request_will_be_i...menu_ie_exclude
O8 - Extra context menu item: Report page to the Ad Muncher developers - https://www.admuncher.com/request_will_be_i...=menu_ie_report
O8 - Extra context menu item: яКНБЮПХ@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/TRANSLATE.HTM
Повторите логи!
РS. Все эти файлы:
('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
('C:\Program Files\Wyyo\wyyo.dll');
так же можно удалить из безопасного режима, предварительно удалив ключи реестра "wyyo"(тоже в безопасном) при помощи поиска по реестру.
Не могу сейчас скачать ваш лог(лимит на бесплатные закачки). Что сказал VirusTotal по поводу тех файлов, которые просил проверить?
Задания я впланировщике задач ваши? Если нет, удалите через панель управления\управление заданиями.
Закройте все приложения, антивирус, отключите интернет;
Выполните в АВЗ скрипт:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('Wyyo Service', 4);
TerminateProcessByName('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
TerminateProcessByName('c:\program files\wyyo\wyyo.exe');
DeleteFile('c:\program files\wyyo\wyyo.exe');
DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
DeleteFile('C:\Program Files\Wyyo\wyyo.dll');
DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\Unlocker.exe');
BC_DeleteFile('c:\program files\wyyo\wyyo.exe');
BC_DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
BC_DeleteFile('C:\Program Files\Wyyo\wyyo.dll');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится(возможно потребуется некоторое время подожать минут 5-10) если это не произойдет(случай непростой), придется "ресетить".
Пофиксить в Hijack:
O8 - Extra context menu item: Block frame with Ad Muncher - https://www.admuncher.com/request_will_be_i...d=menu_ie_frame
O8 - Extra context menu item: Block image with Ad Muncher - https://www.admuncher.com/request_will_be_i...d=menu_ie_image
O8 - Extra context menu item: Block link with Ad Muncher - https://www.admuncher.com/request_will_be_i...id=menu_ie_link
O8 - Extra context menu item: Don't filter page with Ad Muncher - https://www.admuncher.com/request_will_be_i...menu_ie_exclude
O8 - Extra context menu item: Report page to the Ad Muncher developers - https://www.admuncher.com/request_will_be_i...=menu_ie_report
O8 - Extra context menu item: яКНБЮПХ@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/TRANSLATE.HTM
Повторите логи!
РS. Все эти файлы:
('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
('C:\Program Files\Wyyo\wyyo.dll');
так же можно удалить из безопасного режима, предварительно удалив ключи реестра "wyyo"(тоже в безопасном) при помощи поиска по реестру.
ptary
Грандмастер
4/16/2009, 1:17:41 PM
https://www.backbook.me/go/?id=1&d=&f=/files/221909058/hijackthis2.txt.html
после фиксов.
щас логи авз сделаю.
после фиксов.
щас логи авз сделаю.
ptary
Грандмастер
4/16/2009, 1:25:39 PM
после выполнения авз скрипта система перезагрузилась, но не с требованием авз, а для завершения установки автоматических обнослений.
на компе ожили иконки программ - порадовало сразу же.
файлы записанные в самом низу не удаляются... а первых двух строчек вобще не нашла.
зато открыв папку виндоус обнаружила множество скрытых папок, выделенных синим шрифтом.. повергло в ужас..
на компе ожили иконки программ - порадовало сразу же.
файлы записанные в самом низу не удаляются... а первых двух строчек вобще не нашла.
зато открыв папку виндоус обнаружила множество скрытых папок, выделенных синим шрифтом.. повергло в ужас..
ptary
Грандмастер
4/16/2009, 2:12:46 PM
avz новые логи после установки драйвера расширенного мониторинга
https://www.backbook.me/go/?id=1&d=&f=/files/221919843/virusinfo_syscheck.zip.html
https://www.backbook.me/go/?id=1&d=&f=/files/221920193/virusinfo_syscure.zip.html
https://www.backbook.me/go/?id=1&d=&f=/files/221919843/virusinfo_syscheck.zip.html
https://www.backbook.me/go/?id=1&d=&f=/files/221920193/virusinfo_syscure.zip.html
DELETED
Акула пера
4/16/2009, 7:45:40 PM
Восстановление системы: включено
Будте внимательнее или до бесконечности лечится будем. Я выше написал, что обязательно нужно отключить восстановление! После полного излечения можно будет включить.
Еще раз, задания в планирощике задач ваши? Если нет, удалите, как выше написал.
После того, как отключите восстановление, выполните в АВЗ:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteRepair(8);
BC_ImportDeletedList;
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
В логе Hijack все на месте. Пофиксите, как написано в правилах, строчки и после перезагрузите систему:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=40488
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
После повторите лог №2 (syscheck.zip) и Hidjack
PS. после выполнения авз скрипта система перезагрузилась, но не с требованием авз, а для завершения установки автоматических обнослений.
на компе ожили иконки программ - порадовало сразу же.
файлы записанные в самом низу не удаляются... а первых двух строчек вобще не нашла.
зато открыв папку виндоус обнаружила множество скрытых папок, выделенных синим шрифтом.. повергло в ужас..
Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. Cкрытые системные(синие) папки, тоже нормально.
Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте https://www.slil.ru/
Найдите файл C:\WINDOWS\system32\SamFaxPort.dll и проверте его https://www.virustotal.com/ru/ или запакуйте в архив и залейте https://www.slil.ru/ (логи кстати тоже туда же заливайте). Я не могу его трогать, пока не узнаю насколько он вредоносен.
Будте внимательнее или до бесконечности лечится будем. Я выше написал, что обязательно нужно отключить восстановление! После полного излечения можно будет включить.
Еще раз, задания в планирощике задач ваши? Если нет, удалите, как выше написал.
После того, как отключите восстановление, выполните в АВЗ:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}');
DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteRepair(8);
BC_ImportDeletedList;
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Система перезагрузится.
В логе Hijack все на месте. Пофиксите, как написано в правилах, строчки и после перезагрузите систему:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.yandex.ru/?clid=40488
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
После повторите лог №2 (syscheck.zip) и Hidjack
PS. после выполнения авз скрипта система перезагрузилась, но не с требованием авз, а для завершения установки автоматических обнослений.
на компе ожили иконки программ - порадовало сразу же.
файлы записанные в самом низу не удаляются... а первых двух строчек вобще не нашла.
зато открыв папку виндоус обнаружила множество скрытых папок, выделенных синим шрифтом.. повергло в ужас..
Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. Cкрытые системные(синие) папки, тоже нормально.
Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте https://www.slil.ru/
Найдите файл C:\WINDOWS\system32\SamFaxPort.dll и проверте его https://www.virustotal.com/ru/ или запакуйте в архив и залейте https://www.slil.ru/ (логи кстати тоже туда же заливайте). Я не могу его трогать, пока не узнаю насколько он вредоносен.
ptary
Грандмастер
4/16/2009, 8:36:12 PM
в панели управления управления заданиями не вижу...
ptary
Грандмастер
4/16/2009, 8:45:32 PM
(Semenka @ 16.04.2009 - время: 16:45)
Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте https://www.slil.ru/
восстановление отключила.
('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
('C:\Program Files\Wyyo\wyyo.dll');
последних двух строчек нет вобще в этих папках.
анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме.
Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. .
систему как раз нелицензионная
щас сделаю проверку сказанного файла
Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте https://www.slil.ru/
восстановление отключила.
('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
('c:\documents and settings\all users\application data\wyyo\wyyo129.exe');
('C:\Program Files\Wyyo\wyyo.dll');
последних двух строчек нет вобще в этих папках.
анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме.
Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. .
систему как раз нелицензионная
щас сделаю проверку сказанного файла
ptary
Грандмастер
4/16/2009, 8:57:25 PM
скрипт провела.
выскочило окно - скрипт выполнен без ошибок и система перезагрузилась.
лог с Hijack последний
https://www.backbook.me/go/?id=1&d=&f=/files/222025909/hijackthis3.txt.html
лог с авз делается сейчас.
выскочило окно - скрипт выполнен без ошибок и система перезагрузилась.
лог с Hijack последний
https://www.backbook.me/go/?id=1&d=&f=/files/222025909/hijackthis3.txt.html
лог с авз делается сейчас.
DELETED
Акула пера
4/16/2009, 9:03:13 PM
(ptary @ 16.04.2009 - время: 16:45) ('C:\WINDOWS\system32\Unlocker.exe');
('c:\program files\wyyo\wyyo.exe');
анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме.
систему как раз нелицензионная
Все равно не припятствуйте обновлению. Эта проблема решаемая. Вы последний скрипт выполняли? В Хайджек фиксили строчки?
C:\WINDOWS\system32\Unlocker.exe
c:\program files\wyyo\wyyo.exe
В последних логах не было. Можно их удалить при помощи этой программы:
https://www.backbook.me/go/?id=1&d=&f=/files/133061044/IceSword122en.zip.html
-Распакуйте и запустите программу.
-Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы.
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
-Перезагрузите компьютер.
PS. Как сейчас общее состояние системы. Какие проблемы остались?
('c:\program files\wyyo\wyyo.exe');
анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме.
систему как раз нелицензионная
Все равно не припятствуйте обновлению. Эта проблема решаемая. Вы последний скрипт выполняли? В Хайджек фиксили строчки?
C:\WINDOWS\system32\Unlocker.exe
c:\program files\wyyo\wyyo.exe
В последних логах не было. Можно их удалить при помощи этой программы:
https://www.backbook.me/go/?id=1&d=&f=/files/133061044/IceSword122en.zip.html
-Распакуйте и запустите программу.
-Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы.
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
-Перезагрузите компьютер.
PS. Как сейчас общее состояние системы. Какие проблемы остались?
ptary
Грандмастер
4/16/2009, 9:21:58 PM
(Semenka @ 16.04.2009 - время: 18:03) PS. Как сейчас общее состояние системы. Какие проблемы остались?
сложно сказать какие проблемы остались...
файлы во всяком случае уже переносятся, что не может не радовать.
p.s. программу скачала, но авз долго сканирует... одновременно запускать все боюсь
сложно сказать какие проблемы остались...
файлы во всяком случае уже переносятся, что не может не радовать.
p.s. программу скачала, но авз долго сканирует... одновременно запускать все боюсь
ptary
Грандмастер
4/16/2009, 9:24:52 PM
DELETED
Акула пера
4/16/2009, 9:30:10 PM
Лог Hijack в норме.
Этот файл тоже пришлите или сами проверте на вирустотал:
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
Этот файл тоже пришлите или сами проверте на вирустотал:
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe