-
Junior Member
- Вес репутации
- 57
Вылезают подозрительные окна. Сайты не запоминают логин и пороль
Здравствуйте. Есть такая проблема: с недавних пор постоянно вылезают окна типа:
Portable NX прекратило работу и было закрыто
wmpscfgs.exe прекратило работу и было закрыто
а также:
16 bit MS-DOS Subsystem
The NTVDM CPU has encountered an illegal instruction.
CS:11d6 IP:021e OP:63 75 6d 6e Choose 'Close' to terminate application.
и кнопки Закрыть, Пропустить.
Также почта mail.ru и ещё несколько форумов не запоминают мои логин и пороль. Вроде бы соответствующие галочки стоят, но логин с поролем не запоминаются.
Это я описал недавние напасти. Однако у ноутбука есть ещё один глюк с рождения. Постоянно вылезает боковая панель windows при том, что галочку "Запускать боковую панель при запуске windows" я убираю. Галочка появляется вновь, и боковая панель тоже. Как сделать так, чтобы боковая панель каждый раз не вылезала?
Логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\Сергей\appdata\roaming\microsoft\woogedoukez.exe');
TerminateProcessByName('c:\users\Сергей\appdata\roaming\microsoft\fouwuty.exe');
QuarantineFile('C:\Users\Сергей\csrss.exe','');
QuarantineFile('c:\program files\internet explorer\wmpscfgs.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\gkewzr.exe,explorer.exe,C:\Users\Сергей\csrss.exe','');
QuarantineFile('C:\Users\Сергей\AppData\Roaming\gkewzr.exe','');
DeleteService('eepjyixii');
QuarantineFile('c:\users\Сергей\appdata\roaming\microsoft\woogedoukez.exe','');
QuarantineFile('c:\users\Сергей\appdata\roaming\microsoft\fouwuty.exe','');
DeleteFile('c:\users\Сергей\appdata\roaming\microsoft\fouwuty.exe');
DeleteFile('c:\users\Сергей\appdata\roaming\microsoft\woogedoukez.exe');
DeleteFile('C:\Users\Сергей\AppData\Roaming\gkewzr.exe');
DeleteFile('C:\Users\Сергей\AppData\Roaming\gkewzr.exe,explorer.exe,C:\Users\Сергей\csrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','refyv');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFile('C:\Users\Сергей\csrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Карантин выслал. Логи - в процессе.
-
Junior Member
- Вес репутации
- 57
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\daemon tools lite\daemon .exe');
QuarantineFile('c:\program files\elantech\etdctrl.exe','');
QuarantineFile('c:\program files\daemon tools lite\daemon .exe','');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DAEMON Tools Lite');
DeleteFile('C:\program files\daemon tools lite\daemon .exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Второй карантин отправил.
Третьи логи:
-
Junior Member
- Вес репутации
- 57
Кстати, логин и пароль стали запоминаться. Да и окна со всякой хренью перестали вылезать.
-
Не знаю, что это за программа c:\program files\elantech\etdctrl.exe, но файл заменен вирусом.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\program files\elantech\etdctrl.exe');
DeleteFile('C:\Program Files\DAEMON Tools Lite\daemon .exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Сделайте новые логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Блин! Я не отключил антивирус! Точнее отключил только что. Антивирус ClamWin, майкрософтовский, бесплатный. Прошу прощения за оплошность. Так что, все предыдущие логи - лажа?
-
Вот это все тоже заменено
Код:
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Windows\AsScrProlog.exe
Проверьте, размер этих файлов 28672 ?
Последний раз редактировалось thyrex; 15.04.2010 в 22:34.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
thyrex
Не знаю, что это за программа c:\program files\elantech\etdctrl.exe, но файл заменен вирусом.
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\program files\elantech\etdctrl.exe');
DeleteFile('C:\Program Files\DAEMON Tools Lite\daemon .exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Сделайте новые логи AVZ
Я её удалил. Хотел только узнать, что это за программа и случайно удалил. Наверно, не стоило. Извините за самодеятельность, больше такое не повторится. Что сейчас делать, какой скрипт выполнять?
-
Прочтите сообщение №10 и ответьте на вопрос, пожалуйста.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Отвечаю.
Все эти файлы весят 28 кБ. Точный размер 28672 байта. Все созданы сегодня и имеют одинаковый значок
Есть ещё их "двойники" с пробелом перед точкой - они весят больше.
Кстати, все эти файлы (и с пробелом, и без) имеют имя, написанное только маленькими буквами.
Последний раз редактировалось Сергей Боршков; 15.04.2010 в 23:13.
-
Двойники - это и есть похоже легитимные переименованные файлы. У них размер и иконки отличаются?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Аккуратно удаляйте замененные файлы, а на их место переименовывайте легитимные
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Все подозрительные файлы удалил, кроме одного: C:\Program Files\ASUS\Splendid\ACMON.exe
Мне, видите ли, нужно разрешение на его удаление! Я его переименовал в acm.exe для того, чтобы вернуть легитимному файлу его настоящее название. Все легитимные файлы переименовал как полагается.
-
Сообщение от
Сергей Боршков
Все подозрительные файлы удалил, кроме одного: C:\Program Files\ASUS\Splendid\ACMON.exe
Мне, видите ли, нужно разрешение на его удаление!
Возможно он висел в процессах и его нужно было сначала выгрузить.
Контрольные логи AVZ сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Сообщение от
Сергей Боршков
Все легитимные файлы переименовал как полагается.
Не совсем
Остались пробелы
Код:
c:\program files\asus\splendid\acmon .exe
c:\program files\amicosinglun\amicosinglun .exe
c:\program files\asus\atkosd2\atkosd2 .exe
c:\program files\asus\atk media\dmedia .exe
c:\program files\asus\atk hotkey\hcontroluser .exe
c:\program files\realtek\audio\hda\rthdvcpl .exe
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\drivers\pciide.sys','');
QuarantineFile('C:\Windows\SystemRoot\system32\drivers\pciide.sys','');
DeleteFile('C:\Program Files\DAEMON Tools Lite\daemon .exe');
DeleteFile('c:\program files\internet explorer\wmpscfgs.exe');
DeleteFileMask('C:\Windows\Tasks', 'At*.job', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-