Проблемы после безопасного режима

**Руслан Бакаев** · 12.12.2014, 19:07

Здравствуйте. У меня такая проблема. После безопасного режима не запускаются некоторые сис. процессы (панель меню пуск остались белыми как в безопасном режиме, не видит колонки (как в безопасном режиме), не видит usb подключения (флешки, модемы). В чем проблема не знаю, может вирус, может я где то сделал не то. Прошу помогите.
P.S. Безопасный режим запускал через msconfig там же и выключал (галочки везде стоят). Пробовал через F8 не помог не один запуск. Востановить систему не могу нет контрольных точек.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 12.12.2014, 19:09

Уважаемый(ая) Руслан Бакаев, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 13.12.2014, 14:19

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! Обновите базы AVZ!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin   
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');
 QuarantineFile('C:\Program Files\advPlugin\Basement\ExtensionUpdaterService.exe','');
 DeleteFile('C:\Program Files\advPlugin\Basement\ExtensionUpdaterService.exe','32');
 DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\SpeedUpMyPC Maintenance.job','32');
 DeleteService('Update Service for advPlugin');
 DeleteFileMask('C:\Program Files\advPlugin', '*', true, ' ');
 DeleteDirectory('C:\Program Files\advPlugin');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O2 - BHO: advPlugin - {1FE48F08-A2AC-44AC-A21C-0556D91C50DA} - C:\Program Files\advPlugin\Toolbar32.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O20 - AppInit_DLLs:

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Руслан Бакаев** · 13.12.2014, 16:28

Вот логи

**mike 1** · 13.12.2014, 17:51

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:

Код:

Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-789336058-1979792683-1417001333-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-789336058-1979792683-1417001333-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: mmdtp - {E62C17EA-223C-4022-881D-2796CCD31CA6} -  No File
CHR Extension: (CinemaLoad) - C:\Documents and Settings\Руслан Бакаев\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-05-27]
CHR HKLM\...\Chrome\Extension: [gccheabmbijgjodajgnnojaembhcikfg] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8333\ch\MediaBuzzV1mode8333.crx [2014-04-24]
CHR HKLM\...\Chrome\Extension: [hklnafjbjnmpdpifpmomonhicnkhlkfc] - C:\Program Files\MediaViewV1\MediaViewV1alpha1847\ch\MediaViewV1alpha1847.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hoafjijdelnfbpoielcapbfeddlkohgg] - C:\Program Files\MediaWatchV1\MediaWatchV1home351\ch\MediaWatchV1home351.crx [2014-03-20]
CHR HKLM\...\Chrome\Extension: [mciiicgjflnihdjibjnjmofhelmkboml] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release2012\ch\RichMediaViewV1release2012.crx [2014-05-13]
CHR Extension: (Media Buzz) - C:\Documents and Settings\Руслан Бакаев\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gccheabmbijgjodajgnnojaembhcikfg [2014-04-25]
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

**Руслан Бакаев** · 13.12.2014, 21:25

Файл успешно загружен

MD5 карантина: EDD6CCC9CB8A61771DF7ED40014AE192
Размер файла: 21372733 байт.

Да вот лог

**mike 1** · 14.12.2014, 11:04

virusinfo_auto_имя_вашего_ПК.zip

Продублируйте загрузку карантина еще по красной ссылке вверху темы. Что с проблемой?

**Руслан Бакаев** · 14.12.2014, 17:23

проблема осталась. вчера, правда, на пару минут модем увидел, а потом потерял

карантин загрузился ?

**mike 1** · 15.12.2014, 00:39

Скачайте утилиту MiniToolBox и сохраните на рабочем столе.

Запустите при подключённом интернете, отметьте следующие пункты:

Список настроек прокси Internet Explorer
Список настроек прокси Firefox
Список из файла Hosts
Список настроек IP
Список настроек Winsock
Список последних 10 записей журнала событий
Список установленных программ
Только проблемных
Список юзеров, разделов и размера памяти
Список дампа памяти
список точек восстановления

и нажмите Старт.

После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

**Руслан Бакаев** · 15.12.2014, 07:32

интернет соединения на той системе у меня нет.

**mike 1** · 15.12.2014, 13:23

Создайте новую точку восстановления
- Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Скачайте Windows Repair (all in one) с этой страницы
Установите программу и запустите ее.
Перейдите на вкладку Step 2 и запустите проверку диска нажатием кнопки Do It - Компьютер будет перезагружен!!!
После окончания перейдите на вкладку Step 3 и таким же образом запустите SFC
После окончания перейдите на вкладку Start Repairs => Нажмите кнопку Start
На предложение создать точку восстановления ответьте Нет
В левой части окна отметьте галочками следующие пункты и затем кнопку Start
Код:
```
Repair WMI 
Set Windows Services To Default Startup
```
НЕ ИСПОЛЬЗУЙТЕ компьютер пока идет сканирование.
После процедуры восстановления может потребоваться перезагрузка.

**Руслан Бакаев** · 15.12.2014, 21:48

здравствуйте. возможно я что то не так делаю но на степ 2 нет кнопки Do It. Там только скачать&сканировать систему

**mike 1** · 15.12.2014, 22:29

У вас возможно русская версия стоит. Выберите тогда "Сканировать".

**Руслан Бакаев** · 15.12.2014, 22:47

Вложение 517236 да нет вот скрин заодно и проблема в картинке

(я про меню пуск) там как я понял интернет нужен.....

**mike 1** · 16.12.2014, 01:27

Локализацию тогда похоже поменяли. Попробуйте нажать на кнопку "Next".

**Руслан Бакаев** · 16.12.2014, 16:51

нажав на далее просто перейдет на 3-ю страницу. о какой версии вы мне говорили раньше.

**mike 1** · 16.12.2014, 19:38

В командной строке введите:

Код:

chkdsk C: /f /r

Нажмите Enter, перезагрузитесь, дождитесь окончания проверки. Далее в командной строке введите:

Код:

sfc /scannow

Нажмите Enter, дождитесь окончания проверки.

Затем в Windows Repair (all in one) на вкладке Start Repairs отметьте:

Repair WMI
Set Windows Services To Default Startup

И нажмите "Start".

**Руслан Бакаев** · 16.12.2014, 23:06

Спасибо вам огромное

проблема устранена

**mike 1** · 17.12.2014, 12:39

Скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run
После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
Прикрепите этот отчет в вашей теме.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера