Зловред в Опера\Кэш

Сбой установки/удаления ОПеры.
Не удаляется Опера\Кэш
Куреит и КасВирРемува по нулям.
КИС2011 полная проверка: нашел кое что, а пишет мол "чисто" (базы с трудом но обновил)

ПС: +Забавный файл ЛИНКДЭЛ в Систем32 (в оригинале толи БАТ толи КОМ, уж не припомню).

Боюсь что опоздал ([URL="http://virusinfo.info/showthread.php?t=95812"][SIZE=1][COLOR=#0532aa]HEUR:Trojan.Win32.Generic[/COLOR][/SIZE][/URL]):
[URL]http://virusinfo.info/showthread.php?t=95812[/URL]

Похоже "Утро вечера мудренее"

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
2.Отключите[B][COLOR="Red"]Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы

Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- отпишитесь о проблемах
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])

Карантин не уходит.
Результат загрузки: Ошибка загрузки. Данный файл уже был загружен

Скрипты выполнил.
Проблема остальсь.
Нет доступа к РЕСАЙКЛЕР на всех дисках и к ОПЕРА/КЭШ

По поводу обновления сомневаюсь, но попробую (похоже Активацию мне не пройти)

Вот новые логи (до обновления)

Средство проверки Windows Genuine Advantage (KB892130) - Сбой установки.
Что и требовалось доказать (Ах Билл как мы тебя любим)

П.С.: А карантин-то пустой...

ИЭксплорер обновился до 8-го.
СПТри тоже установлен.
Дальнейшие обновления без ативации не встают.
Проблема осталась.

Вот новые логи

Сделайте лог полного сканирования [url=http://virusinfo.info/showthread.php?t=53070]MBAM[/url]

Лог МБАМ:

удалите в мбам
Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Да... Тяжелый случай.
Папки РЕСАЙКЛЕР удалить с трудом но получатся (Тотал Командер при загрузке стороннего Виндовс с ЛайвДиска), а вот путь C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\- заблокирован напрочь.
Есть идеи как его подчистить? (Отложенное удаление АВЗед - безрезультатно)
В принципе видимых проявлений вируса НЕТ, но папку же кто-то контролирует, и переустановить Оперу не дает.

Начинаю задумываться о сносе системы, хотя бросать начатое ой как не люблю

:O

Свежие логи:

Выполните скрипт в AVZ:

[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
[/CODE]

Пробуйте обновить оперу.

Проблема актуальна...

Под каким пользователем Вы работаете?
Попробуйте сделать bat-файл вида

[CODE]
Cacls "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera" /g Admin:f
[/CODE]
и запустить его, он сбросит разрешение на папку. Батник написан для пользователя Admin.
Затем деинсталлируйте Opera и снова установите.
зы. Спасибо за совет Iron Monk.

Это интересный ход.
С пользователем всё верно.
НО. Файлы не удаляются даже если загрузить другую систему с носителя.
Да что там. Дос+Нортон Командер: Полный отказ в доступе к диску С:\

Как было вышесказано - Утро вечера мудренее.
Комп на работе... Завтра или БАТ-Пилюля сработает или Формат-Ц

Спасибо всем ХелпераМ за потраченное на меня время

Команда "Cacls" действительно работает!
Правда результат, немного другой: после выполнения команды на определенную папку, лишь появляется возможность открытьеё в командной строке. Удалить её нет возможности, так как все вложения тоже заблокированы.

Подскажите синтаксис команды для её применения ко всем вложениям? Уж больно ручками каждую папку не охота бить.

Опера естественно не удаляется, правда ошибка изменилась.

...Победа близко!

К вопросу о массовом сбросе разрешений:
"Звёздочка" помогает, но только для всех объектов папки... (без вложений)

[size="1"][color="#666686"][B][I]Добавлено через 38 минут[/I][/B][/color][/size]

Весь Опера\кэш уделён, осталась одна папка...

Далог в КМД:
[LIST][*]Cacls "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\g_0067" /g Admin:f[*]Продолжить? (Y/N)y[*][B]Ошибка в данных (CRC).[/B][/LIST]

Зловред или сбой на диске?

Проверяю состояние диска, жду идей по уделению папки.

[size="1"][color="#666686"][B][I]Добавлено через 43 минуты[/I][/B][/color][/size]

Опера 11 - установлена.

Бастрый скан жесткого диска показал наличие БэдКластеров...:(
Пытаюся выяснить их природу (Проверяю поверхность диска), спасибо: QMar за подсказку

Дело было не в бабине.

Еще раз спасибо:Iron Monk, миднайт, polword, V_Bond

Тему думаю можно закрыть.

Да, последние логи на всяк случай:

В логах зла не видно. chkdsk /f делали? Проблема разрешилась в положительную сторону?

Проблема решена.

Часть кластеров програмно востановлена, остальные битые заблокированы.
Но, боюсь что жесткий диск всё равно под замену...

Компьютер уехал в провинцию.

Всем Хелперам еще раз спасибо.