Проблема возникла после того, как на ПК с Инета было установлено некое Baidu (с иероглифами). Данное ПО было кое-как удалено и после этого после загрузки учетной записи пропадали все ярлыки (из трея, из быстрого запуска, из Пуска и т.д.); не запускалась cmd, mspaint и т.п. Правда, происходило это не при каждом запуске системы, но всё равно напрягало, поэтому было принято решение провести лечение.
В обычном режиме прошелся Kaspersky Removal Tool - тот ничего не обнаружил.
В безопасном режиме прошелся CureIt'ом - тот нашел следующее:
После лечения CureIt'ом работа вроде как нормализовалась, но всё же хотелось бы ради профилактики попросить вас глянуть логи - мало ли чего ещё обнаружится.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) The_Immortal, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('c:\docume~1\alluse~1\applic~1\wincert\win32c~1.dll','');
QuarantineFile('d:\3proxy.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
DeleteFile('c:\docume~1\alluse~1\applic~1\wincert\win32c~1.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','32');
DeleteFile('C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','32');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Ага. Но он вроде как уже удален - методом тыка удаляли.
Кстати, а Вы не могли бы ещё сказать в связи с чем при загрузке учетки только через раз происходит полная автозагрузка программ? Т.е. иногда после загрузки винды трей вообще чист - такого быть не может, т.к. в автозагрузке много чего сидит.
Кстати, а Вы не могли бы ещё сказать в связи с чем при загрузке учетки только через раз происходит полная автозагрузка программ?
Возможно из-за наличия рекламных программ, которые мы сейчас удалим.
Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
По окончанию сканирования снимите галочки со следующих строк:
Скачайте утилиту MiniToolBox и сохраните на рабочем столе.
Запустите при подключённом интернете, отметьте следующие пункты:
Список настроек прокси Internet Explorer
Список настроек прокси Firefox
Список из файла Hosts
Список настроек IP
Список настроек Winsock
Список последних 10 записей журнала событий
Список установленных программ
Только проблемных
Список юзеров, разделов и размера памяти
Список дампа памяти
список точек восстановления
и нажмите Старт.
После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
Percentage of memory in use: 77%
Total physical RAM: 1534.42 MB
Available physical RAM: 347.27 MB
Памяти маловато, а программ в автозагрузке избыток. Отревизируйте список установленных програм и деинсталлируйте всё явно лишнее, и то, что как бы нужно, пусть, на всякий случай, будет 3 базы данных точно нужны?
Отревизируйте список установленных програм и деинсталлируйте всё явно лишнее, и то, что как бы нужно, пусть, на всякий случай, будет ;) 3 базы данных точно нужны?
Сделал. СУБД за исключением одной действительно нужны.
Сообщение от Vvvyg
а программ в автозагрузке избыток
Скорректировал (в том числе и службы) и оставил самое необходимое: autorun.png
Таким образом, сейчас в автозагрузке:
-чат-клиент;
-uvnc-сервер;
-планировщик резервных копий баз 1С;
-сценарий автоподключения VPN (для Локального компьютера);
-др. системные вещи (службы).
По идее, не очень сильная нагрузка. Однако, в трей значки (иконка чата, стандартная иконка Громкости) подгружаются опять-таки через раз.
Плюс VPN-соединение себя странно ведет: при загрузке учетки появляется соответствующее уведомление в трее ("мониторчики"), а потом исчезает - и вместе с тем происходит разрыв связи. Но в настройках этого соединения активирована опция "Перезвонить при разрыве связи" - но перезвон не происходит. Само по себе соединение стабильное (если запускать его вручную). Получается, что возникает какой-то глюк...
На всякий случай сделал повторный образ uVS. Посмотрите, пожалуйста... Вдруг что-нибудь обнаружится на этот раз? Уж хочется разобраться с проблемой до конца... Бог с иконками в трее, а вот с соединением бы хотелось решить. Или хотя бы каким инструментарием воспользоваться, дабы обнаружить где зарыта собака?
Последний раз редактировалось The_Immortal; 02.09.2014 в 13:37.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
3Proxy тоже нужен? Пытаться превратить персональный компьютер в сервер чревато...
И отключать системные службы тоже не всегда правильно и безопасно.
3Proxy, увы, нужен, а системные службы я не отключал. Проблему с соединением и автозагрузкой решил восстановлением всех системных служб в дефолтное состояние. Теперь всё хорошо :-)
Vvvyg, кстати, забыл сообщить, что после лечения у меня перестал работать RDP, который очень нужен. "Службы терминалов" не включается из-за ошибки "126: Не найден указанный модуль". Проверил ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TermService\Parameters - там сидит значение %SystemRoot%\System32\termsrv.dll. Но по этому пути файла termsrv.dll. Вопрос: откуда можно взять этот dll безопасно? Или проблема в чем-то другом?
Последний раз редактировалось The_Immortal; 03.09.2014 в 16:03.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
Введите sfc /scannow и нажмите Энтер.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
После того как закончится проверка в командной строке введите команду:
После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.
- - - - -Добавлено - - - - -
+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: