-
Junior Member
- Вес репутации
- 40
Вирус на компьютере блокирует работу антивирусов и установку программ
обрый день!
Я уже открывал подобную тему на Virusinfo, но помогавший мне хелпер не решил моей проблемы, а лишь попытался убедить меня, что вируса нет (прежняя тема тут: http://virusinfo.info/showthread.php?t=188350)
Я уверен в наличии на моём ноутбуке вируса из-за наличия следующих "симптомов":
- на ноутбуке не запускаются никакие антивирусные программы (не сканирует постоянно установленный Eset Nod32, никак даже в безопасном режиме не запускается DrWeb Cureit, Anti-MalWare не устанавливается и т. д.);
- единственная запустившаяся антивирусная утилита - Kaspersky Virus Removal Tool. Он не нашёл вирусов при запуске в обычном режиме. При попытки её запуска в безопасном режиме выводится сообщение "Ошибка создания каталога для хранения отчетов и карантина". При попытке запуска в безопасном режиме DrWeb Cureit выводится сообщение "DrWeb Cureit can't be start, can't find temporary folder to extract".
- не удаётся сделать скрипты для Вашего сайта - в avz4 все заголовки заменены нечитаемой буквицей, обновления скриптов не происходит, вместо него также выдаётся нечитаемое сообщение об ошибке, HiJackThis не запускается;
- когда прежний хелпер прислал мне файл avz, уже содержащий скрипты, то сканирование прошло успешно, но ни автоматически, ни вручную не удалось сохранить лог сканирования - выдавалась ошибка (см. ссылку на прежнюю тему); протокол санирования содержал множество красных сток, но шёл также нечитаемой буквицей;
- на нечитаемую буквицу заменились контекстные меню ряда программ, например, Unlocker, а также сведения о большинстве файлов (например, об исполнителе/названии/альбоме файлов mp3);
- на ноутбуке не устанавливается большинство нового ПО, включая драйверы видеокарты, при поиске проблем в установке которых и нашлись остальные симптомы.
Из дополнительной информации - недавно лечил самостоятельно компьютер от вируса Baidu, прописавшего в "Программы и компоненты", стартовую страницу браузера Internet Explorer (им я не пользуюсь, но заметил), а также в ряд процессов автозапуска некие программы с китайскими иероглифами. Вроде бы побороть удалось, благо, тогда DrWeb Cureit ещё работал, а остатки "затёр" программой CCleaner, ею же автоматически исправил ошибки реестра.
Очень рассчитываю на Вашу помощь - больше не на кого!
Просьба откликнуться тем хелперам, кто не бросит меня с моей проблемой посреди попыток решения.
С уважением,
Артур.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Wolter, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение "can't find temporary folder to extract" означает, что отсутствует папка для временных файлов, что и вызывает невозможность установки и работы программ.
Win-R, в окно вставьте:
Код:
md %USERPROFILE%\AppData\Local\Temp
и нажмите Ok.
Затем пробуйте сделать логи AVZ и HijackThis.
-
-
Junior Member
- Вес репутации
- 40
Сообщение от
Vvvyg
Сообщение "can't find temporary folder to extract" означает, что отсутствует папка для временных файлов, что и вызывает невозможность установки и работы программ.
Win-R, в окно вставьте:
Код:
md %USERPROFILE%\AppData\Local\Temp
и нажмите Ok.
Затем пробуйте сделать логи AVZ и HijackThis.
Простите, у меня каким-то образом не пришло оповещение о Вашем ответе в теме - я думал, что никто так и не откликнулся...
Объясните, пожалуйста, что за окно Win-R.
И почему отовсюду это нечитаемая буквица могла атаковать?...
-
Сообщение от
Wolter
Объясните, пожалуйста, что за окно Win-R.
Нажмите клавишу Win (она же Start на некоторых клавиатурах) и При нажатой - R.
Сообщение от
Wolter
И почему отовсюду это нечитаемая буквица могла атаковать?...
Что-то не то скачали и запустили, само не залезает.
-
-
Junior Member
- Вес репутации
- 40
Ввёл указанною Вами строку, нажал ОК, выскочила ошибка "Не удаётся найти "md". Проверьте, правильно ли указано имя и повторите попытку"
Жду Ваших указаний
-
Пробуйте так:
Код:
cmd /C md %USERPROFILE%\AppData\Local\Temp
-
-
Junior Member
- Вес репутации
- 40
Всё получилось со вставкой строки, но результат неизменен:
1) стандартный AVZ не реагирует на обновление баз, соответственно, нет скриптов;
2) AVZ, содержащий уже базы и скрипты, который прислал предыдущий хелпер, выполняет сканирование, но не сохраняет ZIP карантина (скриншот ошибки доступен по этой ссылке: http://rghost.ru/65Y8tdcXN/image.png);
3) При попытке сохранить протокол сканирования вручную (т.к. автоматически ничего не появилось) также выдаёт ошибку (скриншот ошибки доступен по этой ссылке: http://rghost.ru/8b9HvDp2w/image.png).
Что делать - ума не приложу - уже больше месяца тянется эта история... А ещё из-за неприсланного уведомления Ваш отклик не сразу увидел - Вы уж простите, пожалуйста, ещё раз.
Жду Ваших дальнейших рекомендаций.
-
-
-
Junior Member
- Вес репутации
- 40
Сделал всё по инструкции. После нажатия клавиши "Запустить под текущим пользователем" выдал сообщение с текстом "File corrupted! Please, run a virus-check, then reinstall the application" (скриншот снова прилагаю: http://rghost.ru/7dkPDbN6T/image.png)
-
Из безопасного режима попробуйте.
Есть возможность на другом компьютере записать LiveCD и, загрузившись с него, сделать проверку?
-
-
Junior Member
- Вес репутации
- 40
В безопасном режиме выскочило такое же точно сообщение.
Возможность записи на другом компьютере у меня есть, но я сейчас в командировке с ноутбуком и вернусь в воскресение. К слову, на том компьютере стоит WP, а на ноутбуке Windows7 - пишу для справки, т. к. не знаю, важно ли это.
Но на ноутбуке тоже пишущий дисковод, если LiveCD не возбраняется писать на "больном" компьютере.
В любом случае, мне нужна будет пошаговая инструкция от Вас, как и что записывать и потом запускать.
-
Сообщение от
Wolter
К слову, на том компьютере стоит WP, а на ноутбуке Windows7 - пишу для справки, т. к. не знаю, важно ли это.
М-м, а WP - что такое?
Сообщение от
Wolter
Но на ноутбуке тоже пишущий дисковод, если LiveCD не возбраняется писать на "больном" компьютере.
Лучше не надо, для верности, на беспроблемном запишите.
Сообщение от
Wolter
В любом случае, мне нужна будет пошаговая инструкция от Вас, как и что записывать и потом запускать.
Сделайте образ автозапуска uVS с Live CD, только образ диска скачайте отсюда: WINPE60_UVS3.86.ISO.
Пока лог FRST сделайте, в прошлый раз вышло.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
-
-
Junior Member
- Вес репутации
- 40
Отвечаю по порядку)
1) "WP" - это "XP" с опечаткой. Бывает, пардон.
2) Спасибо за алгоритм - тогда Live CD буду писать в воскресение, как уже и говорил.
3) FRST сделал, причём на сей раз выделил галочками все пункты Optional Scan, поэтому прилагаю не только FRST.txt и Addition.txt, но и Shortcut.txt. Форум пишет о превышении лимитов объёма, так что снова через файлообменник: http://rghost.ru/7v5ChxWGM
Ещё раз спасибо за поддержку и оперативность ответов!
-
Деинсталлируйте следующие программы:
Html5 geolocation provider
Update for Html5 geolocation provider
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll [No File]
FF Plugin HKU\S-1-5-21-281220265-1915258660-4268930721-1001: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [2014-04-10] (Altergeo)
CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\altergeo.crx [2012-06-06]
CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\pepflashplayer32_17_0_0_169.dll => No File
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [202704 2015-04-28] (Baidu)
R1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202704 2015-04-28] (Baidu)
S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [198600 2015-04-28] (Baidu)
R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [56136 2014-11-06] (Baidu)
U3 tmlwf; no ImagePath
U3 tmwfp; no ImagePath
2013-07-10 08:40 - 2013-07-10 08:40 - 0005033 _____ () C:\ProgramData\mtbjfghn.xbe
2010-10-13 21:52 - 2010-10-13 21:53 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2010-10-13 21:51 - 2010-10-13 21:52 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
C:\Windows\System32\DRIVERS\bd0001.sys
C:\Windows\SysWOW64\DRIVERS\bd0001.sys
C:\Windows\SysWOW64\DRIVERS\bd0002.sys
C:\Windows\System32\DRIVERS\BDMWrench_x64.sys
FirewallRules: [{D51D0CB2-FA67-4A6C-87F0-CEDA4D2B2A48}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\109\bddownloader.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Удалить Mail.Ru Агент.lnk
C:\ProgramData\Baidu
C:\Program Files (x86)\Baidu
C:\Users\Public\DesktopABD8C25E\百度卫士-软件管理.lnk
C:\Users\Public\DesktopABD8C25E\百度卫士.lnk
C:\Users\Public\DesktopABD8C25E\百度杀毒.lnk
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемами.
-
-
Junior Member
- Вес репутации
- 40
Добрался до написанного Вами алгоритма только сегодня, пишу пошаговый отчёт о проделанном.
1) Html5 geolocation provider и Update for Html5 geolocation provider успешно деинсталлировал, но они угрозы явно не представляли - это были программы из числа предустановленных на ноутбуке при покупке, разработчик Altergeo/
2) В безопасном режиме всё сделал, как Вы описали. При вращении бегущей строки после нажатия Fix успел засечь лишь удаление временных файлов. После этого появилось экранное сообщение об успешном завершении процесса и сохранении лога (ссылка на скриншот: http://rghost.ru/7whZSGQwy/image.png). Однако сразу же после нажатия ОК вывелось сообщение о невозможности найти лог и предложение просто создать новый файл с таким именем (ссылка на скриншот: http://rghost.ru/66mWLwjTv/image.png). Перезагрузка сама не произошла - делал вручную.
3) По проблемам - при поверхностном рассмотрении они остались: и нечитаемые буквицы, и отказ работать AVZ (это было наиболее быстро проверяемое в командировочной суете).
Вот так.
Жду дальнейших рекомендаций.
-
Удалите ESET Smart Security, иногда при заглючившем антивирусе и не такие чудеса бывают. Сообщите, полегчало ли.
-
-
Junior Member
- Вес репутации
- 40
Я вечером попробую, вот только подскажите - в чём должно полегчать? Повторить fix в безопасном режиме?
-
Что с установкой программ, с AVZ и UVS как дела будут. Да, фикс попробуйте ещё раз в безопасном.
-
-
Junior Member
- Вес репутации
- 40
Ну что ж... Как это ни прискорбно, но ничего от удаления Нода не изменилось - ошибка с сохранением лога в безопасном режиме та же, буквицы повсюду те же, "бунт" AVZ тот же.
Заметьте, и в присланном с уже интегрированными скриптами AVZ, и в FRST ситуация тождественная - сканирование проходит, а ошибка выдаётся именно в сохранении лога. Обе программы "лежат" на рабочем столе и логи, соответственно, должны сохранять на рабочий стол как в корневую директорию. Но нет же...
Будем ждать воскресения с появлением у меня возможности записи LiveCD, или подмеченная мной закономерность дала Вам какие-нибудь ещё идеи?