Показано с 1 по 20 из 20.

Отсутствующие ярлыки (заявка № 165851)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30

    Отсутствующие ярлыки

    Всех приветствую!

    Проблема возникла после того, как на ПК с Инета было установлено некое Baidu (с иероглифами). Данное ПО было кое-как удалено и после этого после загрузки учетной записи пропадали все ярлыки (из трея, из быстрого запуска, из Пуска и т.д.); не запускалась cmd, mspaint и т.п. Правда, происходило это не при каждом запуске системы, но всё равно напрягало, поэтому было принято решение провести лечение.
    В обычном режиме прошелся Kaspersky Removal Tool - тот ничего не обнаружил.
    В безопасном режиме прошелся CureIt'ом - тот нашел следующее:

    09.01.2014-10.50.png

    После лечения CureIt'ом работа вроде как нормализовалась, но всё же хотелось бы ради профилактики попросить вас глянуть логи - мало ли чего ещё обнаружится.

    Спасибо!

    P.S.
    hijackthis.log
    virusinfo_syscheck.zip
    virusinfo_syscure.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,454
    Вес репутации
    341
    Уважаемый(ая) The_Immortal, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,171
    Вес репутации
    1040
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('c:\docume~1\alluse~1\applic~1\wincert\win32c~1.dll','');
     QuarantineFile('d:\3proxy.exe','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
     DeleteFile('c:\docume~1\alluse~1\applic~1\wincert\win32c~1.dll','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
     DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
     DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');        
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);    
    BC_Activate;   
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O20 - AppInit_DLLs: c:\docume~1\alluse~1\applic~1\wincert\win32c~1.dll
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,171
    Вес репутации
    1040
    Какой сейчас антивирус используется в качестве основного?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    mike 1,
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Какой сейчас антивирус используется в качестве основного?
    Эм... Да честно говоря, никакого...

  10. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,171
    Вес репутации
    1040
    Китайский антивирус Baidu удаляем?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #8
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    mike 1,
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Китайский антивирус Baidu удаляем?
    Ага. Но он вроде как уже удален - методом тыка удаляли.

    Кстати, а Вы не могли бы ещё сказать в связи с чем при загрузке учетки только через раз происходит полная автозагрузка программ? Т.е. иногда после загрузки винды трей вообще чист - такого быть не может, т.к. в автозагрузке много чего сидит.

  12. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,171
    Вес репутации
    1040
    Кстати, а Вы не могли бы ещё сказать в связи с чем при загрузке учетки только через раз происходит полная автозагрузка программ?
    Возможно из-за наличия рекламных программ, которые мы сейчас удалим.

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
    • По окончанию сканирования снимите галочки со следующих строк:
      Код:
      Папка Найдено : C:\Documents and Settings\emm\Local Settings\Application Data\Mail.Ru
      Папка Найдено : C:\Program Files\Mail.Ru
    • Нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    mike 1,
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Возможно из-за наличия рекламных программ, которые мы сейчас удалим.
    Удалил, но не помогло: всё равно полная автозагрузка не происходит (точнее через раз-через два).
    Вложения Вложения

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Скачайте утилиту MiniToolBox и сохраните на рабочем столе.

    Запустите при подключённом интернете, отметьте следующие пункты:

    • Список настроек прокси Internet Explorer
    • Список настроек прокси Firefox
    • Список из файла Hosts
    • Список настроек IP
    • Список настроек Winsock
    • Список последних 10 записей журнала событий
    • Список установленных программ
    • Только проблемных
    • Список юзеров, разделов и размера памяти
    • Список дампа памяти
    • список точек восстановления


    и нажмите Старт.

    После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  16. Это понравилось:


  17. #12
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    Vvvyg, сделал:

  18. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    Ничего подозрительного.

    Percentage of memory in use: 77%
    Total physical RAM: 1534.42 MB
    Available physical RAM: 347.27 MB
    Памяти маловато, а программ в автозагрузке избыток. Отревизируйте список установленных програм и деинсталлируйте всё явно лишнее, и то, что как бы нужно, пусть, на всякий случай, будет 3 базы данных точно нужны?
    WBR,
    Vadim

  19. Это понравилось:


  20. #14
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    Vvvyg,
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Отревизируйте список установленных програм и деинсталлируйте всё явно лишнее, и то, что как бы нужно, пусть, на всякий случай, будет ;) 3 базы данных точно нужны?
    Сделал. СУБД за исключением одной действительно нужны.

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    а программ в автозагрузке избыток
    Скорректировал (в том числе и службы) и оставил самое необходимое:
    autorun.png

    Таким образом, сейчас в автозагрузке:
    -чат-клиент;
    -uvnc-сервер;
    -планировщик резервных копий баз 1С;
    -сценарий автоподключения VPN (для Локального компьютера);
    -др. системные вещи (службы).

    По идее, не очень сильная нагрузка. Однако, в трей значки (иконка чата, стандартная иконка Громкости) подгружаются опять-таки через раз.
    Плюс VPN-соединение себя странно ведет: при загрузке учетки появляется соответствующее уведомление в трее ("мониторчики"), а потом исчезает - и вместе с тем происходит разрыв связи. Но в настройках этого соединения активирована опция "Перезвонить при разрыве связи" - но перезвон не происходит. Само по себе соединение стабильное (если запускать его вручную). Получается, что возникает какой-то глюк...

    На всякий случай сделал повторный образ uVS. Посмотрите, пожалуйста... Вдруг что-нибудь обнаружится на этот раз? Уж хочется разобраться с проблемой до конца... Бог с иконками в трее, а вот с соединением бы хотелось решить. Или хотя бы каким инструментарием воспользоваться, дабы обнаружить где зарыта собака?
    Последний раз редактировалось The_Immortal; 02.09.2014 в 13:37.

  21. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    3Proxy тоже нужен? Пытаться превратить персональный компьютер в сервер чревато...
    И отключать системные службы тоже не всегда правильно и безопасно.

    В давно установленной системе, где добавлялось и деинсталлировалось множество программ, глюки, увы, неизбежны. Кое-что подчистим.

    Выполните скрипт в uVS:
    Код:
    ;uVS v3.83 BETA 25 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    deltmp
    delref %SystemRoot%\TEMP\{B0CBA110-FE9A-4FD1-A6CE-A973A8286AE4}\CONT3FLT.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
    delref %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\1.8.0.1255\BDKVDESKBAND.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDDOWNLOADER.EXE
    restart
    Компьютер перезагрузится.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  22. Это понравилось:


  23. #16
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    Vvvyg,
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    3Proxy тоже нужен? Пытаться превратить персональный компьютер в сервер чревато...
    И отключать системные службы тоже не всегда правильно и безопасно.
    3Proxy, увы, нужен, а системные службы я не отключал. Проблему с соединением и автозагрузкой решил восстановлением всех системных служб в дефолтное состояние. Теперь всё хорошо :-)

    И искренне благодарю за чистку!!!

  24. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,382
    Вес репутации
    830
    WBR,
    Vadim

  25. Это понравилось:


  26. #18
    Junior Member Репутация
    Регистрация
    08.10.2009
    Сообщений
    128
    Вес репутации
    30
    Vvvyg, кстати, забыл сообщить, что после лечения у меня перестал работать RDP, который очень нужен. "Службы терминалов" не включается из-за ошибки "126: Не найден указанный модуль". Проверил ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TermService\Parameters - там сидит значение %SystemRoot%\System32\termsrv.dll. Но по этому пути файла termsrv.dll. Вопрос: откуда можно взять этот dll безопасно? Или проблема в чем-то другом?
    Последний раз редактировалось The_Immortal; 03.09.2014 в 16:03.

  27. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,400
    Вес репутации
    729
    Цитата Сообщение от The_Immortal Посмотреть сообщение
    Вопрос: откуда можно взять этот dll безопасно?
    с дистрибутива windows, но лучше

    1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
      • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
      • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)

    2. Введите sfc /scannow и нажмите Энтер.
    3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
    4. После того как закончится проверка в командной строке введите команду:
      Код:
      findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
    5. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.


    - - - - -Добавлено - - - - -

    + - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

  28. Это понравилось:


  29. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) The_Immortal, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Папки-ярлыки
      От Megah(f)*cker в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.08.2011, 21:18
    2. Заменяет .exe на ярлыки
      От Dana в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 16.05.2011, 10:12
    3. Не срабатывают ярлыки
      От dark castle в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.10.2009, 15:18
    4. не запускаются ярлыки
      От tmon в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 15.09.2009, 19:59
    5. Изменились ярлыки
      От evgenii_husainov в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 01.07.2009, 15:58

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00076 seconds with 17 queries