Китайский вирус

[lolocik]

Отчеты:

[mike 1]

Что с проблемой?

[lolocik]

Ярлыки Амиго, Вконтакте, Одноклассники и кракозябры, не отображающиеся корректно в моей ОС. Вот они: (百度, 百度卫士, 百度杀毒). Присутствуют все еще, но они поврежденные почти все, судя по изображению иконки, Вконтакте и Одноклассники не повреждены. Также в меню пуск, выше перечисленные проги тоже есть.
Ноут при включении стал грузиться дольше на порядок, какбы с запозданием, исчезла языковая панелька из трея.
Наблюдаются тормоза в работе системы.
Еще расширение Info Enhancer for Chrome 1.1, я его не устанавливал, включено.

[mike 1]

Вот они: (百度, 百度卫士, 百度杀毒)

Эти можно удалить они от Baidu Antivirus.

Еще расширение Info Enhancer for Chrome 1.1, я его не устанавливал,

Удаляйте его.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[lolocik]

Baidu Antivirus те 3 софтины удалить лучше через меню установка/удаление программ в панели управления?
Расширение в хроме удалил.
Логи вот:

- - - - -Добавлено - - - - -

(百度) при удалении из меню установка и удаление программ высвечивается сине-белое окно там на синем фоне 6 чекбоксов около них иероглифы, на белом фоне 2 кнопки с иероглифами и чекбокс, необходимо что отметить, чтоб полностью удалить?

[mike 1]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в C:\Documents and Settings\Igor\Рабочий стол:
  
  Код:

  CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-1708537768-1935655697-1801674531-1003 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
  Toolbar: HKU\S-1-5-21-1708537768-1935655697-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  Handler: grooveLocalGWS - No CLSID Value - 
  FF Plugin: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files\Baidu\BaiduSd\2.1.0.3086\explugin\npBaiduSDDetectPlug.dll No File
  2014-11-26 05:20 - 2014-11-27 03:32 - 00001796 ____C () C:\Documents and Settings\All Users\Рабочий стол\百度卫士-软件管理.lnk
  2014-11-26 05:20 - 2014-11-26 05:20 - 00000897 ____C () C:\Documents and Settings\All Users\Рабочий стол\百度卫士.lnk
  2014-11-26 05:20 - 2014-11-26 05:20 - 00000000 ___DC () C:\Documents and Settings\All Users\Главное меню\Программы\百度卫士
  2014-11-26 05:18 - 2014-11-26 05:18 - 00000897 ____C () C:\Documents and Settings\All Users\Рабочий стол\百度杀毒.lnk
  2014-11-26 05:18 - 2014-11-26 05:18 - 00000000 ___DC () C:\Documents and Settings\All Users\Главное меню\Программы\百度杀毒
  百度 (HKLM\...\百度) (Version: 1.3.1.157 - 百度在线网络技术（北京）有限公司)
  百度卫士3.0 (HKLM\...\百度卫士) (Version: 3.0.0.3971 - 百度在线网络技术（北京）有限公司)
  百度杀毒2.1 (HKLM\...\百度杀毒) (Version: 2.1.0.3086 - 百度在线网络技术（北京）有限公司)
  AV: 百度杀毒 (Disabled - Up to date) {0E1F41F2-EA45-46c0-8860-B93C2A890530}
  Folder::
  C:\cmdcons
  C:\temp501t
  C:\cmldr
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[lolocik]

На рабочем столе ярлык также Вконтакте

Код:

"C:\Documents and Settings\Igor\Local Settings\Application Data\Amigo\Application\vk.exe" http://r.mail.ru/n137257923

И ярлык Одноклассники

Код:

"C:\Documents and Settings\Igor\Local Settings\Application Data\Amigo\Application\ok.exe" http://r.mail.ru/n137257727

Амиго ярлык поврежден вот путь

Код:

"C:\Documents and Settings\Igor\Local Settings\Application Data\Amigo\Application\amigo.exe"

Лог:

[mike 1]

Амиго ярлык поврежден вот путь

Попробуйте пересоздать этот ярлык или если не пользуйтесь Amigo, то деинсталлируйте его.

[lolocik]

Амиго создал вирус, сейчас деинсталлирую.

- - - - -Добавлено - - - - -

Готово.

- - - - -Добавлено - - - - -

Сделать ли полный образ с помощью uVS ?

[mike 1]

Что с проблемой?

[lolocik]

Ноут при включении стал грузиться дольше на порядок, какбы с запозданием. Наблюдаются тормоза в работе системы. На глаз трудно так сказать, но проявления видимые исчезли, вроде.

- - - - -Добавлено - - - - -

Возможно ли это с некорректным завершением ComboFix, когда он работал более 3 часов выключили свет. Или все-таки может что-то не до конца дочищено?

[mike 1]

Сделайте новый лог Combofix только из обычного режима.

[lolocik]

Пробую, надеюсь в этот раз будет также быстро, как и безопасном режиме.

- - - - -Добавлено - - - - -

c 1:28 до 5:14 примерно проверял, но компьютер не перезагрузился после создания отчета, вот лог:

[lolocik]

актуально, проблема в силе.

[mike 1]

По логам больше плохого не видно.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up

[lolocik]

готово, стартап очень долгий, долго запускается вай-фай в трее.

[mike 1]

1. Скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
6. Прикрепите этот отчет в вашей теме.

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

[lolocik]

Dellfix:

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[lolocik]

Вроде галочки msconfig'e поубирал все ок стало, показалось, что тормозила компьютер служба NetMeeting Remote Desktop Sharing.
SecurityCheck by glax24: