-
Junior Member
- Вес репутации
- 61
Непонятные проблемы
Здравствуйте, с Новым годом всех!
Появилась куча мелких проблем. Компьютер начал немного подтормаживать. Периодически в "Опере" появляются всплывающие окна такого типа: «Цепочка сертификатов сервера неполная, и подписанты не зарегистрированы. Принять? Имя сервера: favicon.yandex.net». Некоторое время назад фотографии отказались загружаться на хостинг (раньше проблем не было), а вчера после замены аватарки в почте (через настройки почтового ящика) адресаты продолжают говорить, что им по-прежнему приходят письма со старой аватаркой (хотя она полностью удалена).
Вроде бы ничего серьезного, но сильно нервирует. Не пойму, в вирусах ли дело.
CureIt! выявил несколько adware, не более.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Morwane, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
1.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
3. И еще вот http://support.kaspersky.ru/viruses/...on/9208#block2 такой отчет сделайте. (Загрузите утилиту из статьи, просканируйте ей и прикрепите ее отчет)
-
-
Junior Member
- Вес репутации
- 61
Сделали. Пожалуйста, вот логи.
Где найти отчет CapperKiller, я не вижу. Но проверка этой утилитой ничего не нашла.
-
1. - Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
- По окончанию сканирования снимите галочки со следующих строк:
Код:
Folder Found C:\Documents and Settings\Admin\Application Data\Mail.Ru
Folder Found C:\Documents and Settings\Admin\Local Settings\Application Data\Mail.Ru
Folder Found C:\Documents and Settings\Admin\Главное меню\Программы\Mail.Ru
Folder Found C:\Documents and Settings\All Users\Главное меню\Программы\Mail.Ru
Folder Found C:\Program Files\Mail.Ru
Key Found : HKCU\Software\Microsoft\Internet Explorer\LowRegistry\ICQ\ICQToolBar
Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Value Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [AlterGeoUpdater]
Value Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
Value Found : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Documents and Settings\Admin\Application Data\Mail.Ru\Agent\magent.exe]
Value Found : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Program Files\Mail.Ru\Agent\magent.exe]
Value Found : HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List [C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe]
- Нажмите кнопку "Clean" и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
2. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 8
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0Q1O1J1S -> Действие не было предпринято.
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://relanso.com/queue/redict.rok -> Действие не было предпринято.
Обнаруженные папки: 3
C:\Documents and Settings\Admin\Application Data\SwvUpdater (PUP.Software.Updater) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ct3288691 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ct3297861 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\Admin\Application Data\SwvUpdater\Updater.xml (PUP.Software.Updater) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\SwvUpdater\status.cfg (PUP.Software.Updater) -> Действие не было предпринято.
C:\WINDOWS\Tasks\AmiUpdXp.job (PUP.Software.Updater) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ct3288691\chromeid.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ct3288691\setup.ini.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ct3297861\chromeid.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ct3297861\setup.ini.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
-
-
Junior Member
- Вес репутации
- 61
-
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
Junior Member
- Вес репутации
- 61
-
Закройте все программы
Отключите
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
RegKeyParamDel('HKCU', 'S-1-5-21-2052111302-1336601894-1801674531-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
end.
Внимание! Будет выполнена перезагрузка компьютера.
Сделайте новые логи AVZ
-
-
Junior Member
- Вес репутации
- 61
А компьютер должен был сам уйти в перезагрузку после выполнения скрипта? Он этого не сделал, пришлось перегружать принудительно.
И еще: вчера наконец удалось чудом загрузить фотографию на хостинг через "Оперу" (этого давно почему-то не получалось сделать: либо браузер пишет, что загрузка производится, но фотографии в итоге так и не загружаются, либо вообще притворяется, что не видит запроса). А сегодня опять никак. У друзей с других компьютеров все нормально закачивается, так что с сервером все в порядке.
Новые логи прилагаю.
-
-
-
Junior Member
- Вес репутации
- 61
-
Откройте Internet Explorer выберите свойства браузера => Инструменты => Подключения (Соединения) => Настройки LAN (Настройки соединения) => Использовать сценарий автоматической настройки удалите:
Код:
hттps://relanso. cоm/ queue/ redict.rok
207764187.png
-
-
Junior Member
- Вес репутации
- 61
Сообщение от
mike 1
Откройте Internet Explorer выберите свойства браузера => Инструменты => Подключения (Соединения) => Настройки LAN (Настройки соединения) => Использовать сценарий автоматической настройки удалите:
Код:
hттps://relanso. cоm/ queue/ redict.rok
207764187.png
Эта штука была не в "Эксплорере", а в "Опере". Удалили, но легче не стало.
1. На хостинг фотографии по-прежнему не загружаются. "Хром" их как бы не видит, "Опера" через раз спрашивает: "Загрузить ваши файлы на "imageshack.com"?" После положительного ответа - либо тишина, либо появляется изображение с адресом вида: "file://localhost/D:/Works/My%20Works/Baba%20Yaga/1180408-1.jpg", то есть ссылка идет на локальный ресурс (это со вчерашнего дня).
2. Когда захожу в почтовый ящик через "Оперу" (не обязательно в ящик на "Яндексе"), по-прежнему последовательно всплывает куча окон вида: «Цепочка сертификатов сервера неполная, и подписанты не зарегистрированы. Принять? Имя сервера: favicon.yandex.net». Имя сервера варьируется, например:
upics.yandex.net
avatars.yandex.net
yabs.yandex.net
mc.yandex.ru
recise.yandex.net
awaps.yandex.ru
streaming.video.yandex.ru
clip71g.yandex.net
3. И еще: на днях в ящик на Яндексе пришли извещения: "This message was created automatically by mail delivery software." Якобы мои сообщения не доставлены. Надо ли говорить, что по указанным адресам ничего не отправлялось, и я их вижу в первый раз?!
Что все это значит?
-
Еще раз сделайте новые логи AVZ.
+ - Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
-
-
Junior Member
- Вес репутации
- 61
-
Обновите:
Java 7 Update 21 v.7.0.210 Внимание! Скачать обновления
^Скачайте jre-7u45-windows-i586.exe^
Adobe Flash Player 11 ActiveX v.11.7.700.202 Внимание! Скачать обновления
Adobe Shockwave Player v.10.2.0.22 Внимание! Скачать обновления
Eset тоже обновите антивирус сильно устарел.
Откройте Internet Explorer выберите свойства браузера => Инструменты => Подключения (Соединения) => Настройки LAN (Настройки соединения) => Использовать сценарий автоматической настройки
Покажите что у вас здесь прописано. Скриншот сделайте.
-
-
Junior Member
- Вес репутации
- 61
Сделали. Adope Flash Player обновляем регулярно.
Антивирусная программа тоже свежая - у меня стоит лицензионный ESET Smart Security, который обновляется несколько раз в день.
Вот этот скрин вы просили?
Вложение 455449
В "Хроме" помогла попытка заново залогиниться на хостинге (наконец начали загружаться изображения). В "Опере" - нет (но она и раньше с причудами была), пишет: "Загружено 0% из 100%".
Вот так выглядят всплывающие в "Опере" окна:
в словаре "Мультитран"
Вложение 455452
в почте "Яндекса"
Вложение 455453
Последний раз редактировалось Morwane; 08.01.2014 в 03:43.
-
Антивирусная программа тоже свежая - у меня стоит лицензионный ESET Smart Security, который обновляется несколько раз в день.
Антивирус ваш сильно устарел.
Актуальная версия ESET Smart Security 7.0.
Нажмите на клавиатуре Win+R, введите cmd, нажмите enter, введите regedit и нажмите enter. Откроется окно редактора реестра в нем найдите следующий ключ реестра HKEY_USERS\S-1-5-21-2052111302-1336601894-1801674531-1005\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings, затем найдите параметр AutoConfigURL, щелкните дважды по нему и удалите значение:
Код:
hттps://relanso. cоm/ queue/ redict.rok
Сохраните изменения.
-