Решена давайте таки посмотрим логи!...

Статус
В этой теме нельзя размещать новые ответы.

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,053
Решения
2
Реакции
5,746
Приветствую Koza Nozdri, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Koza Nozdri, сделайте такой лог

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Тулбары, которые видны в логе AdwCleaner сами ставили ? если нет

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
-------------------
Скачайте портативную версию Opera@USB и посмотрите будет ли наблюдаться проблема в ней (чтобы исключить влияние вашего браузера и его настроек).
-------------------------
по логам OTM у меня мало опыта, пусть ещё кто-то посмотрит.
 
Последнее редактирование:
Не тот шаблон скопировал))

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

В логе OTL много мусора + 2 файла в ADS, давай после AdwCleaner почищу
 
regist, тулбары видимо проскочили когда ось восстанавливал-совсем недавно я ее просто уничтожил,собирал полночи.
опера не запускается,запустил портабельный мозилла
6.webp
та же петрушка,как видим.
Severnyj,ок давай,тока мне надо знать какой мусор удаляем.
 
Поменял заголовок темы. Теперь все чисто :)
 
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=14335&tt=3012_2&babsrc=SP_ss_cr&mntrId=ac4c6d87000000000000001f16fbdb97
    IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=CLM&o=15427&src=crm&q={searchTerms}&locale=&apn_ptnrs=LE&apn_dtid=YYYYYYYYRU&apn_uid=f395ec2b-0d3c-4bde-85fc-0c4f00a01192&apn_sauid=79AD6A5B-6CC8-4201-9BB9-9A06F2D017EC
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..browser.search.selectedEngine: "Яндекс"
    FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q="
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
    FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
    FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2:  File not found
    FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
    [2012.08.21 23:13:13 | 000,002,323 | ---- | M] () -- C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml
    O2:[b]64bit:[/b] - BHO: (no name) - AutorunsDisabled - No CLSID value found.
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
    O4 - HKLM..\Run: []  File not found
    O4 - HKCU..\Run: []  File not found
    [2009.07.14 12:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
    @Alternate Data Stream - 169 bytes -> C:\ProgramData\TEMP:9D1B94FD
    @Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:9E00596C
    @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:D5AD7675
    
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}\ not found.
Prefs.js: "Search the web (Babylon)" removed from browser.search.defaultenginename
Prefs.js: "Search the web (Babylon)" removed from browser.search.order.1
Prefs.js: "Яндекс" removed from browser.search.selectedEngine
Prefs.js: "http://search.babylon.com/?affID=14335&tt=3012_2&babsrc=KW_ss&mntrId=ac4c6d87000000000000001f16fbdb97&q=" removed from keyword.URL
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf\ deleted successfully.
File C:\Users\Fire\AppData\Roaming\mozilla\firefox\profiles\vzbmv0mb.default\searchplugins\askcom.xml not found.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled\ deleted successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
C:\Windows\assembly\Desktop.ini moved successfully.
ADS C:\ProgramData\TEMP:9D1B94FD deleted successfully.
ADS C:\ProgramData\TEMP:9E00596C deleted successfully.
ADS C:\ProgramData\TEMP:D5AD7675 deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
No captured output from command...
E:\загрузки\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Fire
->Temp folder emptied: 32644267 bytes
->Temporary Internet Files folder emptied: 132031974 bytes
->FireFox cache emptied: 127509940 bytes
->Google Chrome cache emptied: 218113676 bytes
->Flash cache emptied: 3656 bytes
 
User: Public
 
User: SafeZone
->Temp folder emptied: 50051 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
User: Все пользователи
 
User: Гость
->Temp folder emptied: 1546 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 401408 bytes
%systemroot%\System32 .tmp files removed: 1618992 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 293030191 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51099 bytes
RecycleBin emptied: 9238772951 bytes
 
Total Files Cleaned = 9*579,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12012012_013542

Files\Folders moved on Reboot...
C:\Users\Fire\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
E:\загрузки\OTL.exe moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 
Сделай новый лог OTL
 
иихха!!
а назад содержимое папки загрузки не вернуть?...
там малварей коллекция вчерашняя...
И пара резюме лежало...

Добавлено через 30 секунд
лог уже делаю.
 
Последнее редактирование:
C:\_OTL\MovedFiles - если там нет то не вернуть
 
+ Файл - Восстановление системы -> поставь галочку у пункта №19 и нажми выполнить отмеченные операции.
 
Бывает, когда не может получить доступа к какому нибудь файлу.

Чисто, настрой. Уровни безопасности зон в IE:

Код:
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
 
Спасибочки!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу