прилагаю все логи которые получились.
стали возникать различные ошибки, в т.ч. ошибка dllname, антивирус стал часто ругаться на подозрения на троянов, так же стал пропадать трафик.
прилагаю все логи которые получились.
стали возникать различные ошибки, в т.ч. ошибка dllname, антивирус стал часто ругаться на подозрения на троянов, так же стал пропадать трафик.
Уважаемый(ая) [B]vozd[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
добавлю.
комп win 7 64
стоит NOD 5021263
стоят так же средстав для etoken и vipnet monitor
пользуюсь хром браузером
перед сканированием для логов все выгружал и отключал.
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
QuarantineFile('C:\Program Files\mutualpublic\Monitor.exe','');
QuarantineFile('C:\Users\73B5~1\AppData\Local\Temp\wiupdat.exe','');
DeleteService('wincompute');
QuarantineFile('c:\temp\zcompute.exe','');
DeleteFile('c:\temp\zcompute.exe','32');
DeleteFile('C:\Users\73B5~1\AppData\Local\Temp\wiupdat.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
во время выполнения первого пункта вышла ошибка dllname
прилагаю скриншот.
прилагаю карантин.
[ATTACH=CONFIG]550680[/ATTACH]
вот лог с малваре.
готов к дальнейшим действиям.
Повторите сканирование в MBAM (можно сделать быстрое сканирование) если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные ключи в реестре: 1
HKLM\SYSTEM\CurrentControlSet\Services\Mutual Monitor (Trojan.Bitminer.MPM) -> Действие не было предпринято.
Обнаруженные файлы: 2
C:\Program Files\mutualpublic\monitor.exe (Trojan.Bitminer.MPM) -> Действие не было предпринято.
[/CODE]
Удалите папку C:\Program Files\mutualpublic.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
[U]ошибка в AVZ[/U] осталась. никуда не делась. скрин прилагаю. [ATTACH=CONFIG]550868[/ATTACH]
папка удалилась. результат сканирования малваре прилагаю.
сканирование AVZ логи прилагаю.
так же сделал проверку по этому скрипту "ScanVuln", лог прилагаю.
вот. как бы избавиться от этой ошибки и удостовериться в отсутствии опасностей?
например строки вызывают сомнение:
[B]C:\Users\73B5~1\AppData\Local\Temp\wiupdat.exe[/B]
[B]C:\Users\73B5~1\AppData\Local\Temp\NOSEventMessages.dll[/B]
а удалить их AVZ не может из за ошибки DLLNAME
и вот эти строки мне так же не понятны:
[B]c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\479mb177.exe[/B]
[B]c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\a3w42wau.exe[/B]
напротив них отсылка к Doctor Web
так же просьба: сделать скриптик что бы удалить все следы huawei из системы. (использовался 4G модем, теперь не используется).
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
прикрепляю.
убрать бы вот эти тоже:
Install MegaFon Internet.exe
[LIST=1][*]Скачайте архив с утилитой [URL="http://download.bleepingcomputer.com/steelwerx/regsearch.zip"][B]Registry Search[/B][/URL] и распакуйте его в отдельную папку на рабочем столе.[*]Запустите утилиту.[*]В верхнем окне, предназначенном для поиска введите:
[CODE]
wiupdat.exe
[/CODE][*]Нажмите кнопку "[B]OK[/B]".[*]В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.[/LIST]
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 31.03.2015 16:21:18 for strings:
; 'wiupdat.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_USERS\S-1-5-21-71113186-1414245751-3070873425-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UIHost"="C:\\Users\\73B5~1\\AppData\\Local\\Temp\\wiupdat.exe"
; End Of The Log...
Откройте редактор реестра, в нем найдите ключ реестра:
[HKEY_USERS\S-1-5-21-71113186-1414245751-3070873425-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Найдите параметр:
[B]UIHost[/B]
Щелкните дважды по нему и исправьте значение на [B]logonui.exe[/B]. Сохраните изменения, перезагрузите компьютер.
Выполните еще раз рекомендации из 10 сообщения.
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 31.03.2015 16:43:01 for strings:
; 'wiupdat.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
а мы подбираемся к решению проблемы с dllname при работе с avz?
и хочется удалить драйвера на huawei и попытки инсталляции мегафона.
и вот логи из AVZ
меня все же еще смущают вот:
C:\Users\73B5~1\AppData\Local\Temp\NOSEventMessages.dll
c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\479mb177.exe
c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\a3w42wau.exe
[QUOTE]C:\Users\73B5~1\AppData\Local\Temp\NOSEventMessage s.dll[/QUOTE]
Это компонент от Nokia.
[QUOTE]c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\479mb177.exe
c:\users\Пользователь\appdata\local\temp\D714D3C8-38FA3D2C-68522442-673AF106\a3w42wau.exe[/QUOTE]
Это от DrWeb Cureit.
все компоненты nokia и DrWeb Cureit и Мегафон и Huawei надо удалить. какой скрипт надо ввести, подскажите?
А чем они вам мешают?
просто люблю когда все чисто и в системе нету хвостов от ненужных программ.
и мне кажется, что в папках temp не должно быть exe. как то это не так...
можно я их удалю? я бы вообще хотел очистить систему до первоначального уровня, с сохранением установленных программ на сегодняшний день.
все хвосты от установок удалений, все журналы, все временные файлы и пр. пользовался всегда ccleaner но видимо он не все убирает.
да и ошибка при работе AVZ (dllname) так же не дает мне покоя.
Чрезмерная чистка системы может сделать так, что система будет работать некорректно.
но эти exe висят в темпе уже оч. давно. зачем они там?
так же когда выполняю в AVZ чистку системы выводит вот что:
[ATTACH=CONFIG]551288[/ATTACH]
[ATTACH=CONFIG]551289[/ATTACH]
[I]п.с. почти закончилось место для загрузки логов.[/I]
[U]хочется что бы AVZ проводило очистку без ошибок[/U]. и что бы в папках temp не висело мертвых exe (nokia уж точно тут больше использоваться не будет)
так же прикладываю логи из регистри сеч по словам megafon/HUAWEI Modem/Nokia
[QUOTE]так же прикладываю логи из регистри сеч по словам megafon/HUAWEI Modem/Nokia[/QUOTE]
Удаление этих записей на ваше усмотрение, но перед удалением чего-либо сделайте резервную копию реестра.