Доброго времени суток.
При загрузке Windows XP автоматически стала открываться папка "Мои документы" (открывается 2 раза).
Помогите, пожалуйста, решить эту проблему.
Логи, сделанные по правилам, прилагаю.
Доброго времени суток.
При загрузке Windows XP автоматически стала открываться папка "Мои документы" (открывается 2 раза).
Помогите, пожалуйста, решить эту проблему.
Логи, сделанные по правилам, прилагаю.
Уважаемый(ая) [B]Ar-Ju[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][URL=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/URL][/B]
[CODE]
begin
ClearQuarantine;
if not IsWOW64 then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\Documents and Settings\UserXP\Application Data\600BDA.exe','');
DeleteFile('C:\Documents and Settings\UserXP\Application Data\600BDA.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Yandex');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Файл [B]quarantine.zip[/B] пришлите нам, используя ссылку [B]"прислать запрошенный карантин"[/B] над первым сообщением в этой теме.
Повторите действия, указанные в правилах. Прикрепите новые отчеты AVZ/hijackthis.
Спасибо за оперативность!
Я все сделала. После перезагрузки "Мои документы" продолжают выскакивать.
Прилагаю новые логи.
Карантин не получается добавить, видимо в нем нет ничего, хотя сам файл карантина в папке есть. Но весит 1 кб и AVZ не показывает никаких файлов в разделе "Просмотр карантина".
Подготовьте такой отчет: [url]http://virusinfo.info/showthread.php?t=53070[/url]
хорошо, cейчас сделаю
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
вот этот отчет
Уважаемые хелперы, так можно еще что-то сделать, чтобы решить мою проблему? И можно ли уже удалить Malwarebytes Anti-Malware, как рекомендовано в инструкции по использованию этой проги, или нужен будет еще один отчет?
Удалите обнаруженные программой TCPRoute.Hijack. Если подключение к интернету пропало, измените настройки сети в соответствие с инструкцией провайдера.
[QUOTE=Никита Соловьев;962710]Удалите обнаруженные программой TCPRoute.Hijack. [/QUOTE]
Никита, прошу уточнить: мне нужно удалить все 186 файлов из реестра, в соответствии с указанным в отчете программы Malwarebytes Anti-Malware? И как правильно удалять эти файлы, заходить в системный реестр и каждый файл удалять вручную?
[QUOTE]И как правильно удалять эти файлы, заходить в системный реестр и каждый файл удалять вручную?[/QUOTE]НЕТ! Используйте для этого МВАМ
спасибо, буду пробовать
+ Пофиксите в HijackThis:
[code]
O20 - AppInit_DLLs: e:\9e1e~1\tueagles\eagleai.dll
[/code]
Удалила все обнаруженные ранее TCPRoute.Hijack с помощью МВАМ и пофиксила в HijackThis строку, указанную Bratez. После перезагрузки вновь высветилось окно "Мои документы" :(
Прилагаю новые отчет МВАМ и лог HijackThis.
[I]C:\Program Files\Common Files\wm\keys[/I] - вам знакома эта папка ? Если нет
Заархивируйте её в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
после этого удалите в MBAM всё кроме
[CODE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
E:\Проги\Guitar Pro 6\Guitar Pro 6.0.7 r9063\Новая папка\Guitar.Pro.v6.0.7.9063.Windows.Keymaker-EMBRACE\keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.[/CODE]
- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=125-page-uploadclean][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
[QUOTE=regist;962924][I]C:\Program Files\Common Files\wm\keys[/I] - вам знакома эта папка ? [/QUOTE]
нет, папка мне эта не знакома, впрочем я не программист и мне многие папки не знакомы. Я ее заархивировала и загрузила по ссылке. Сейчас проделаю другие манипуляции. Спасибо.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
все сделала, файл отчета загрузила по указанной ссылке, вот данные по этому файлу:
Файл сохранён как 130123_182429_virusinfo_files_PC2009_51002add1a39c.zip
Размер файла 7114070
MD5 72b6c5a0cf6a48b85ff6596e42f0dbdf
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
перезагрузила комп .... но папка "Мои документы" все равно продолжает открываться при загрузке :( правда, сейчас только один раз, а не два раза подряд как раньше.
При запуске машины калькулятор стартует?
нет, только папка "Мои документы", калькулятор не активен
в безопасном режиме проблема повторяется ?
Профиксите:
[CODE]O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe[/CODE]
Перезагрузитесь и отпишитесь о самочувствии.
В безопасном режиме окно "Мои документы" не появляется при загрузке.
Пофиксила. Перезагрузила. Все тоже самое ((( И опять папка эта появляется два раза ...
Я сделала лог HijackThis в безопасном режиме. Прилагаю.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Еще в безопасном режиме запустила AVZ по скрипту "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Отчет почему-то не сохранился, но есть архив карантина. Загрузила его сюда:
Файл сохранён как 130124_104541_virusinfo_autoquarantine_510110d567afe.zip
Размер файла 7114070
MD5 d5a3c4f2b19082ad40fceb4bda0c8393
отключайте программы из автозагрузки наблюдайте проблема из-за них, надо по частям отключать и смотреть из-за какой именно.
[QUOTE=regist;963105]отключайте программы из автозагрузки наблюдайте проблема из-за них, надо по частям отключать и смотреть из-за какой именно.[/QUOTE]
Спасибо, я попробую. Только посоветуйте, пожалуйста, как правильно отключать, ведь наверняка есть программы, которые нельзя трогать, т.к. без них не произойдет корректная загрузка.
dj вкладке автозагрузка можно отключать всё (разве только что антивирус и подобное не стоит отключать). Лично я предпочитаю отключать программы через интерфейс программы Ccleaner возможно у вас она стоит или что-нибудь подобное, если то пуск - выполнить - msconfig
Лог RSIT сделайте.
[URL="http://virusinfo.info/showthread.php?t=115256&p=859292#post859292"][B]RSIT[/B][/URL]
После поочередного отключения элементов в автозагрузке был найден виновник открытия папки "Мои документы", а именно praetorian.exe расположенный в папке C:\Documents and Settings\UserXP\Local Settings\Application Data\Yandex\Updater.
Я пока просто его отключила в автозагрузке, удалять без вашего разрешения не стала.
Прилагаю логи RSIT.
Еще раз огромное спасибо за ваше внимание и помощь!
[quote="Ar-Ju;963169"]C:\Documents and Settings\UserXP\Local Settings\Application Data\Yandex\Updater.
Я пока просто его отключила в автозагрузке, удалять без вашего разрешения не стала.[/quote]
если он вам не нужен можете его деинсталировать.
Если проблема решена:
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Профиксите:
[code]O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto[/code]
"Защитника Яндекса" можно деинсталлировать.
Всем кто мне помогал огромное спасибо!!!
Проблема решена полностью.
Единственный вопрос уже по рекомендациям после лечения. Мне не очень понятно как "полностью удалить ВСЕ ключи MountPoints2 которые вы находите в реестре". Дело в том, что по поиску в реестре высвечивается достаточно много папок с именем MountPoints2 и плюс ко всему эти папки имеют множественные подпапки с иными названиями. Мне надо удалить из реестра все папки с именем MountPoints2, включая подпапки?
[quote="Ar-Ju;963313"]Мне надо удалить из реестра все папки с именем MountPoints2, включая подпапки?[/quote]
Если вы сделаете это самостоятельно через редактор реестра, велик риск сломать что-нибудь. Эти ключи хранят информацию о подсоединенных когда-либо устройствах usb, зачем вы хотите их очистить?
[QUOTE=Никита Соловьев;963319] зачем вы хотите их очистить?[/QUOTE]
может я просто неправильно что-то поняла, но так рекомендовано в теме "Советы и рекомендации после лечения компьютера", размещенной на этом форуме, а именно в подразделе "[COLOR=#333333]Борьба с автозапуском новыми методами" п.5
[/COLOR]
тогда не буду трогать эти ключи в реестре, а то точно что-нибудь испорчу.
Спасибо!
Все рекомендуемые изменения лучше проводить при помощи AVZ и только если существует прямая необходимость.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]0[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]