Требуется долечивание после китайских вирусов

[SQ]

Скорее всего. Но об удалении личных данных пользователя было бы хорошо предупреждать ДО выдачи инструкции. Если планировалась чистка кукисов, значит было заранее известно, что они будут удалены без возможности восстановления. И если бы было предупреждение касательно них, то можно было бы предварительно сохранить нужные...

Личные и персональные данные не должны были затронуться, только временные файлы и возможно требовать повторной авторизации на сайтах.

P.S. Ваши замечания приняты к сведенью.

[Алексей Дёменко]

Инструкции выполнены. Но программа "фиксила" несколько часов, в результате компьютер пришлось перезагружать не закончив...
Лог прикрепляю.

От себя отмечу, что компьютер до сих пор включается в черный экран, переходя на временный профиль. Лечится перезагрузкой - до следующего включения.
Сообщение о вирусе в dnsapi.dll тоже выскакивает...

[SQ]

Видимо какой-то баг в антивирусной утилите FRST.

- Подготовьте лог AdwCleaner и приложите его в теме.

[Алексей Дёменко]

Выполнено.

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Алексей Дёменко]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Эммм... В логе я вижу только программу от Mail.Ru (судя по всему речь идет об аське) и зараженный системный файл dnsapi.dll. Пользователь пользуется аськой, а системный файл удалять... Вы уверены?

[SQ]

pараженный системный файл dnsapi.dll. Пользователь пользуется аськой, а системный файл удалять... Вы уверены?

Если пользуетесь Mail.Ru, то не удаляете его, в этом случае отметьте только:

Код:

Файл Заражён : C:\Windows\SysWOW64\dnsapi.dll

Указанный в логе файл зараженный файл dnsapi.dll, после чистки должен замениться на чистый.

[Алексей Дёменко]

Сделано.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Алексей Дёменко]

Сделано.

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
  CHR HomePage: todipycoudusanifertion -> mail.ru/cnt/11956636?rciguc__PARAM__
  CHR StartupUrls: todipycoudusanifertion -> "hxxp://mail.ru/cnt/10445?gp=789182","hxxp://www.trotux.com/?z=9b39c82e63d9b926e4aaf9bg7z3q0m9c1b3ofg7w7c&from=qca&uid=WDCXWD10EZEX-21M2NA0_WCC3F3JEDCV3F3JEDCV3&type=hp"
  CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\svchost0" /f
  Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\BaiduClient" /f
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Алексей Дёменко]

Готово.

[SQ]

Сообщите, что с проблемой?

[Алексей Дёменко]

Пользователь сообщает, что сообщения об ошибках и вирусах больше не выскакивают. Но каждый раз при первой загрузке переходит на временный профиль, приходится перезагружать. До лечения так не было. Это можно как-то исправить?

[SQ]

Пользователь сообщает, что сообщения об ошибках и вирусах больше не выскакивают. Но каждый раз при первой загрузке переходит на временный профиль, приходится перезагружать. До лечения так не было. Это можно как-то исправить?

В большинстве случаев исправить можно, опишите подробнее о проблеме, для того чтобы подготовить более верное решение.

Покажите результат следующей команды в командной строке (cmd.exe):

Код:

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s

либо экспортируйте следующую ветку из реестра:

Код:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList]

P.S. Прошу принять во внимание, что с 5 по 20 августа буду не доступен, по возможности опишите проблему сегодня.

[Алексей Дёменко]

Выполнено:

Скрытый текст

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Windows\system32>reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\ProfileList" /s

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Default REG_EXPAND_SZ %SystemDrive%\Users\Default
ProfilesDirectory REG_EXPAND_SZ %SystemDrive%\Users
ProgramData REG_EXPAND_SZ %SystemDrive%\ProgramData
Public REG_EXPAND_SZ %SystemDrive%\Users\Public

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-18
Flags REG_DWORD 0xc
ProfileImagePath REG_EXPAND_SZ %systemroot%\system32\config\systemprof
ile
Sid REG_BINARY 010100000000000512000000
RefCount REG_DWORD 0x1
State REG_DWORD 0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-19
ProfileImagePath REG_EXPAND_SZ C:\Windows\ServiceProfiles\LocalService

Flags REG_DWORD 0x0
State REG_DWORD 0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-20
ProfileImagePath REG_EXPAND_SZ C:\Windows\ServiceProfiles\NetworkServi
ce
Flags REG_DWORD 0x0
State REG_DWORD 0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-21-688054549-1006262046-319902169-1001
ProfileImagePath REG_EXPAND_SZ C:\Users\Ксения Косарева
Flags REG_DWORD 0x0
State REG_DWORD 0x0
Sid REG_BINARY 01050000000000051500000015E102291E57FA3BD9511113E903000
0
ProfileAttemptedProfileDownloadTimeLow REG_DWORD 0x0
ProfileAttemptedProfileDownloadTimeHigh REG_DWORD 0x0
ProfileLoadTimeLow REG_DWORD 0x0
ProfileLoadTimeHigh REG_DWORD 0x0
RefCount REG_DWORD 0x2
RunLogonScriptSync REG_DWORD 0x0

Скрыть

[SQ]

Со значениями профайла в реестре все ок, согласно Вашему выводу.

Приложите новый лог FRTS (FRST.txt и Addition.txt)

[Алексей Дёменко]

Тем не менее пользователь говорит, что каждый раз при "холодном пуске" с утра система грузится переходя на временный профиль. Приходится перезагружать.
Логи сделаю...

[SQ]

Тем не менее пользователь говорит, что каждый раз при "холодном пуске" с утра система грузится переходя на временный профиль. Приходится перезагружать.

Получается только первый запуск, далее проблема не воспроизводиться, я Вас правильно понимаю?

[Алексей Дёменко]

SQ, да. При перезапуске все норм...