-
Junior Member
- Вес репутации
- 49
Нарастающие неполадки в системе, проблемы с Интернетом, меню Пуск, с файлами
Возможно, что у меня системные неполадки, а не зловреды. По возможности, хотелось бы привести все в нормальный вид. Буду рад помощи. Что же стало не так? Многое.
Все началось с того, что подключение к провайдеру ЕСТЬ, а ни один сайт не открывается, кроме сайта провайдера. До этого несколько лет железно – нет денег – ошибка 691 – и, соответственно, НЕТ ПОДКЛЮЧЕНИЯ К ПРОВАЙДЕРУ. Только на третий день догадался денег положить, все заработало.). А до этого установил TweakMaster для проверки сети. Один раз запускал, применил одно из 5 разных улучшений для DSL канала (понятно, что бесполезно). Когда все заработало, часто некоторые страницы подолгу открывались или не открывались. Иногда это наступало чрез некоторое время после работы в Интернете. Когда это перестало нравиться, для разнообразия скачал антивирусную утилиту Emsisoft Emergency Kit (Portable), запустил он попросил обновлений, обновил. Ушел на полчаса. Пришел, захотел в Интернет, а значка-то провайдера на столе и нет…Вместе с ним исчезла еще половина ярлыков со стола…Захожу в Пуск-программы – там везде пусто. В Стандартных – пустота. Захожу в Мой компьютер – панель управления – администрирование – полная пустота…Стал смотреть в Program Files – все программы на месте, и запускаются оттуда. Для тех, которые нужны, снова сделал ярлыки, вытащил на рабочий стол. Больше не исчезали. Но все ли программы запускались? Нет… Никак не смог запуститься Avast – удалил в итоге. Также не пошла и Malwarebytes. Удалил ее – поставил заново – встала. Запустил проверку – нашла Trojan.Clicker (другое название – червь Worm/VBNA.B.370 worm) в файле и реестре (HKEY_Local_Machine/Software/Microsoft/Windows NT/Current Version/Image file execution Options/Setup.exe), удалил. Еще это программа нашла Spyware.Passwords в Program Files/winmpg videoconvert/ffpq.ocx. (это, может, ложная тревога? Пока не удалял). Тrojan Remоver остался жив, при старте сказал – такая то запись реестра вызывает такой-то файл, такого-то файла не существует. Подробностей не помню, но он относился к видео карте – в папке ATI. Удалил. Интернет продолжал работать. Решил опять поэкспериментировать. Для проверки хотел новый антивирус запустить – Rising (китайский, некоторые хвалят), но он даже не смог установиться. Не могу, говорит, временную папку создать…
И вдруг случайно щелкнул на диск С – осталось 4 Гб свободного места. Накануне было 1 Гб. Ничего не удалял. Значит, нечто мне и удаляет еще что-то???!!! Оказалось, да. Например в папке Download Master/Программы было много программ. Не стало ни одной. Хотя папка Download Master/Архивы полностью цела. Тогда прошелся спец. Прогой для восстановления файлов – действительно, в тот день, когда начались проблемы, поудалялась куча файлов, и из windows тоже, по моему из CatRoot2, подробно не смотрел и пока не восстанавливал их.
Хотел Dr.Web поставить. Не устанавливается с диска (купленного в магазине). Там как бы интефейс выполнен в виде html. При установке передает закачку в Download Master.). И все, дальше ничего. Ничего не смог с этим сделать, хотя Outpost-ом заблокировал для Download абсолютно всякую деятельность…Download Master удалять что ли?!
Захотел тогда скачать Dr.Web – не скачивается, ни с оф. Сайта, ни из других мест. Полностью сбрасывается соединение. Такая же история, когда хотел скачать Spybot-Search and Destroy. При остальных закачках скорость за несколько секунд в Download Master падает с максимальной до 10-20 Кб/с или вообще останавливается. Раньше никогда такого не было. Обычный веб-серфинг сейчас осуществляется нормально. Что интересно, хотел скачать Panda antivirus, обычным путем также не пошло, но там был другой вариант – через торрент-ссылку – все прекрасно скачалось на максимальной скорости…. Немного раньше проверил CureIt – нашел Fake.AdStop1 в System Volume Information.
На всякий случай Outpost-ом заблокировал содержимое важных файлов. Потом смотрел – пытались получить доступ разные программы, explorer.exe (нормально наверно), word (это я сам), но один пытающийся процесс был непонятным – “PROGRAM.COM”.
А сегодня вставил флешку. Не отформатирована говорит компьютер. Нулевой объем. Накануне было все нормально. Пришел на работу, воткнул, все отлично, никаких проблем.
Последние новости: при старте системы – сообщение – поврежден файл, отвечающий за сканер Trojan Remоver.). Хотя при следующей перезагрузки такого сообщения уже не было. Скачал в другом месте свежий СureIt. Там есть режим усиленной защиты. Но он в этом режиме у меня не запускается. В безопасном режиме проверить им не могу, т.к. невозможно войти в безопасный режим.). С поддержкой сетевых драйверов – тоже. Черный экран – и все. При обычном режиме ничего не находит…
Кстати, антируткит Gmer при старте мгновенно уводит весь компьютер в перезагрузку. Раньше прекрасно работал. А если запустить его как защищенный процесс из под AVZ, перезагрузки не происходит, он проводит быстрое сканирование, но там, где справа у него опции сканирования, половина значков активна, а половина – нет…
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} -
O18 - Protocol: hddlife - {BD758015-47D9-477A-8873-4B688A2BC0E2} - "C:\Program Files\Common Files\BinarySense\hlAPP.dll" (file missing)
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\*.drv','');
DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('393F1BF2');
BC_DeleteSvc('CSIScanner');
BC_DeleteSvc('D15164F4');
BC_DeleteSvc('ATE_PROCMON');
BC_DeleteSvc('BlueletAudio');
BC_DeleteSvc('BlueletSCOAudio');
BC_DeleteSvc('BT');
BC_DeleteSvc('Btcsrusb');
BC_DeleteSvc('BTHidEnum');
BC_DeleteSvc('BTHidMgr');
BC_DeleteSvc('esihdrv');
BC_DeleteSvc('MEMSWEEP2');
BC_DeleteSvc('MMPSY');
BC_DeleteSvc('rootrepeal');
BC_DeleteSvc('RSPOBJMONX');
BC_DeleteSvc('SysProtDrv.sys');
BC_DeleteSvc('VComm');
BC_DeleteSvc('VcommMgr');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=96186).
Деинсталлируйте программу NVidia NetworkAccessManager.
Также я бы советовал удалить Spyware Terminator и Trojan Remover: при наличии нормального антивируса использование таких программ не имеет смысла.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Выполнил скрипты. Все прошло нормально. Но - поразительно - наверно в первый раз не смог деинсталлировать программу, а именно - NVidia NetworkAccessManager. Понятно, что она предназначена для удаления - там спрашивается, изменить ли, удалить ли хотите... По датам - ее установка (или обновление - 4.11.2010.). хотя я абсолютно точно ее не устанавливал, никогда не слышал даже. В первый раз удалил - вопрос -сразу перезагрузить или потом - выбрал потом. Перезагруз нормальный, но прогр. как ни в чем ни бывало на месте. Попробовал еще раз, перезагрузил сразу по требованию деинсталлятора - в итоге - ужас - 4 раза подряд черный экран - и ничего. На 5 раз почему то все нормально загрузилось и нормально пока работает... Если эту программу необходимо удалить для дальнейшей помощи, буду рад подсказке, как это сделать.-). Еще - если в Outpost выбираю функцию - БЛОКИРОВАТЬ ВСЕ, то траффик все равно идет. Должно ли так быть, не знаю...
Прилагаю требуемые логи.
-
Junior Member
- Вес репутации
- 49
Моя тема исчезла из списка
Просто хотелось бы узнать, могли ли удалить тему без всякого предупреждения и объяснения? Я описал ситуацию, в ответ прислали скрипты для выполнения, выполнил, приложил логи, сегодня утром темы не форуме нет вообще. Или это я сам как-то случайно удалил?
Добавлено через 1 час 6 минут
Теперь все нормально, тема вернулась на место.
Последний раз редактировалось trs; 26.01.2011 в 08:49.
Причина: Добавлено
-
Ничего зловредного в логах не видно.
Выполните скрипт в AVZ:
Код:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','WaveMapper');
end.
Рекомендуется установить SP3 и последующие обновления.
(Может потребоваться повторная активация Windows).
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-