Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 56.

Вирус на компьютере блокирует работу антивирусов и установку программ (заявка № 189427)

  1. #1
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16

    Вирус на компьютере блокирует работу антивирусов и установку программ

    обрый день!
    Я уже открывал подобную тему на Virusinfo, но помогавший мне хелпер не решил моей проблемы, а лишь попытался убедить меня, что вируса нет (прежняя тема тут: http://virusinfo.info/showthread.php?t=188350)

    Я уверен в наличии на моём ноутбуке вируса из-за наличия следующих "симптомов":

    • на ноутбуке не запускаются никакие антивирусные программы (не сканирует постоянно установленный Eset Nod32, никак даже в безопасном режиме не запускается DrWeb Cureit, Anti-MalWare не устанавливается и т. д.);
    • единственная запустившаяся антивирусная утилита - Kaspersky Virus Removal Tool. Он не нашёл вирусов при запуске в обычном режиме. При попытки её запуска в безопасном режиме выводится сообщение "Ошибка создания каталога для хранения отчетов и карантина". При попытке запуска в безопасном режиме DrWeb Cureit выводится сообщение "DrWeb Cureit can't be start, can't find temporary folder to extract".
    • не удаётся сделать скрипты для Вашего сайта - в avz4 все заголовки заменены нечитаемой буквицей, обновления скриптов не происходит, вместо него также выдаётся нечитаемое сообщение об ошибке, HiJackThis не запускается;
    • когда прежний хелпер прислал мне файл avz, уже содержащий скрипты, то сканирование прошло успешно, но ни автоматически, ни вручную не удалось сохранить лог сканирования - выдавалась ошибка (см. ссылку на прежнюю тему); протокол санирования содержал множество красных сток, но шёл также нечитаемой буквицей;
    • на нечитаемую буквицу заменились контекстные меню ряда программ, например, Unlocker, а также сведения о большинстве файлов (например, об исполнителе/названии/альбоме файлов mp3);
    • на ноутбуке не устанавливается большинство нового ПО, включая драйверы видеокарты, при поиске проблем в установке которых и нашлись остальные симптомы.

    Из дополнительной информации - недавно лечил самостоятельно компьютер от вируса Baidu, прописавшего в "Программы и компоненты", стартовую страницу браузера Internet Explorer (им я не пользуюсь, но заметил), а также в ряд процессов автозапуска некие программы с китайскими иероглифами. Вроде бы побороть удалось, благо, тогда DrWeb Cureit ещё работал, а остатки "затёр" программой CCleaner, ею же автоматически исправил ошибки реестра.
    Очень рассчитываю на Вашу помощь - больше не на кого!
    Просьба откликнуться тем хелперам, кто не бросит меня с моей проблемой посреди попыток решения.
    С уважением,
    Артур.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,459
    Вес репутации
    342
    Уважаемый(ая) Wolter, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Сообщение "can't find temporary folder to extract" означает, что отсутствует папка для временных файлов, что и вызывает невозможность установки и работы программ.

    Win-R, в окно вставьте:
    Код:
    md %USERPROFILE%\AppData\Local\Temp
    и нажмите Ok.
    Затем пробуйте сделать логи AVZ и HijackThis.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Сообщение "can't find temporary folder to extract" означает, что отсутствует папка для временных файлов, что и вызывает невозможность установки и работы программ.

    Win-R, в окно вставьте:
    Код:
    md %USERPROFILE%\AppData\Local\Temp
    и нажмите Ok.
    Затем пробуйте сделать логи AVZ и HijackThis.
    Простите, у меня каким-то образом не пришло оповещение о Вашем ответе в теме - я думал, что никто так и не откликнулся...
    Объясните, пожалуйста, что за окно Win-R.
    И почему отовсюду это нечитаемая буквица могла атаковать?...

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Цитата Сообщение от Wolter Посмотреть сообщение
    Объясните, пожалуйста, что за окно Win-R.
    Нажмите клавишу Win (она же Start на некоторых клавиатурах) и При нажатой - R.

    Цитата Сообщение от Wolter Посмотреть сообщение
    И почему отовсюду это нечитаемая буквица могла атаковать?...
    Что-то не то скачали и запустили, само не залезает.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Ввёл указанною Вами строку, нажал ОК, выскочила ошибка "Не удаётся найти "md". Проверьте, правильно ли указано имя и повторите попытку"
    Жду Ваших указаний

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Пробуйте так:
    Код:
    cmd /C md %USERPROFILE%\AppData\Local\Temp
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Всё получилось со вставкой строки, но результат неизменен:
    1) стандартный AVZ не реагирует на обновление баз, соответственно, нет скриптов;
    2) AVZ, содержащий уже базы и скрипты, который прислал предыдущий хелпер, выполняет сканирование, но не сохраняет ZIP карантина (скриншот ошибки доступен по этой ссылке: http://rghost.ru/65Y8tdcXN/image.png);
    3) При попытке сохранить протокол сканирования вручную (т.к. автоматически ничего не появилось) также выдаёт ошибку (скриншот ошибки доступен по этой ссылке: http://rghost.ru/8b9HvDp2w/image.png).

    Что делать - ума не приложу - уже больше месяца тянется эта история... А ещё из-за неприсланного уведомления Ваш отклик не сразу увидел - Вы уж простите, пожалуйста, ещё раз.
    Жду Ваших дальнейших рекомендаций.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Сделал всё по инструкции. После нажатия клавиши "Запустить под текущим пользователем" выдал сообщение с текстом "File corrupted! Please, run a virus-check, then reinstall the application" (скриншот снова прилагаю: http://rghost.ru/7dkPDbN6T/image.png)

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Из безопасного режима попробуйте.
    Есть возможность на другом компьютере записать LiveCD и, загрузившись с него, сделать проверку?
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    В безопасном режиме выскочило такое же точно сообщение.
    Возможность записи на другом компьютере у меня есть, но я сейчас в командировке с ноутбуком и вернусь в воскресение. К слову, на том компьютере стоит WP, а на ноутбуке Windows7 - пишу для справки, т. к. не знаю, важно ли это.
    Но на ноутбуке тоже пишущий дисковод, если LiveCD не возбраняется писать на "больном" компьютере.
    В любом случае, мне нужна будет пошаговая инструкция от Вас, как и что записывать и потом запускать.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Цитата Сообщение от Wolter Посмотреть сообщение
    К слову, на том компьютере стоит WP, а на ноутбуке Windows7 - пишу для справки, т. к. не знаю, важно ли это.
    М-м, а WP - что такое?

    Цитата Сообщение от Wolter Посмотреть сообщение
    Но на ноутбуке тоже пишущий дисковод, если LiveCD не возбраняется писать на "больном" компьютере.
    Лучше не надо, для верности, на беспроблемном запишите.

    Цитата Сообщение от Wolter Посмотреть сообщение
    В любом случае, мне нужна будет пошаговая инструкция от Вас, как и что записывать и потом запускать.
    Сделайте образ автозапуска uVS с Live CD, только образ диска скачайте отсюда: WINPE60_UVS3.86.ISO.

    Пока лог FRST сделайте, в прошлый раз вышло.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Отвечаю по порядку)
    1) "WP" - это "XP" с опечаткой. Бывает, пардон.
    2) Спасибо за алгоритм - тогда Live CD буду писать в воскресение, как уже и говорил.
    3) FRST сделал, причём на сей раз выделил галочками все пункты Optional Scan, поэтому прилагаю не только FRST.txt и Addition.txt, но и Shortcut.txt. Форум пишет о превышении лимитов объёма, так что снова через файлообменник: http://rghost.ru/7v5ChxWGM
    Ещё раз спасибо за поддержку и оперативность ответов!

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Деинсталлируйте следующие программы:
    Html5 geolocation provider
    Update for Html5 geolocation provider

    information

    Уведомление

    Следующие действия проделайте в безопасном режиме



    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll [No File]
    FF Plugin HKU\S-1-5-21-281220265-1915258660-4268930721-1001: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [2014-04-10] (Altergeo)
    CHR HKLM-x32\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\altergeo.crx [2012-06-06]
    CHR Plugin: (Shockwave Flash) - C:\Windows\system32\Macromed\Flash\pepflashplayer32_17_0_0_169.dll => No File
    R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [202704 2015-04-28] (Baidu)
    R1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202704 2015-04-28] (Baidu)
    S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [198600 2015-04-28] (Baidu)
    R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [56136 2014-11-06] (Baidu)
    U3 tmlwf; no ImagePath
    U3 tmwfp; no ImagePath
    2013-07-10 08:40 - 2013-07-10 08:40 - 0005033 _____ () C:\ProgramData\mtbjfghn.xbe
    2010-10-13 21:52 - 2010-10-13 21:53 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
    2010-10-13 21:51 - 2010-10-13 21:52 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
    C:\Windows\System32\DRIVERS\bd0001.sys
    C:\Windows\SysWOW64\DRIVERS\bd0001.sys
    C:\Windows\SysWOW64\DRIVERS\bd0002.sys
    C:\Windows\System32\DRIVERS\BDMWrench_x64.sys
    FirewallRules: [{D51D0CB2-FA67-4A6C-87F0-CEDA4D2B2A48}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\109\bddownloader.exe
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru\Удалить Mail.Ru Агент.lnk
    C:\ProgramData\Baidu
    C:\Program Files (x86)\Baidu
    C:\Users\Public\DesktopABD8C25E\百度卫士-软件管理.lnk
    C:\Users\Public\DesktopABD8C25E\百度卫士.lnk
    C:\Users\Public\DesktopABD8C25E\百度杀毒.lnk
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемами.
    WBR,
    Vadim

  18. Это понравилось:


  19. #16
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Добрался до написанного Вами алгоритма только сегодня, пишу пошаговый отчёт о проделанном.
    1) Html5 geolocation provider и Update for Html5 geolocation provider успешно деинсталлировал, но они угрозы явно не представляли - это были программы из числа предустановленных на ноутбуке при покупке, разработчик Altergeo/
    2) В безопасном режиме всё сделал, как Вы описали. При вращении бегущей строки после нажатия Fix успел засечь лишь удаление временных файлов. После этого появилось экранное сообщение об успешном завершении процесса и сохранении лога (ссылка на скриншот: http://rghost.ru/7whZSGQwy/image.png). Однако сразу же после нажатия ОК вывелось сообщение о невозможности найти лог и предложение просто создать новый файл с таким именем (ссылка на скриншот: http://rghost.ru/66mWLwjTv/image.png). Перезагрузка сама не произошла - делал вручную.
    3) По проблемам - при поверхностном рассмотрении они остались: и нечитаемые буквицы, и отказ работать AVZ (это было наиболее быстро проверяемое в командировочной суете).
    Вот так.
    Жду дальнейших рекомендаций.

  20. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Удалите ESET Smart Security, иногда при заглючившем антивирусе и не такие чудеса бывают. Сообщите, полегчало ли.
    WBR,
    Vadim

  21. #18
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Я вечером попробую, вот только подскажите - в чём должно полегчать? Повторить fix в безопасном режиме?

  22. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,584
    Вес репутации
    836
    Что с установкой программ, с AVZ и UVS как дела будут. Да, фикс попробуйте ещё раз в безопасном.
    WBR,
    Vadim

  23. #20
    Junior Member Репутация
    Регистрация
    09.08.2013
    Адрес
    Москва
    Сообщений
    54
    Вес репутации
    16
    Ну что ж... Как это ни прискорбно, но ничего от удаления Нода не изменилось - ошибка с сохранением лога в безопасном режиме та же, буквицы повсюду те же, "бунт" AVZ тот же.
    Заметьте, и в присланном с уже интегрированными скриптами AVZ, и в FRST ситуация тождественная - сканирование проходит, а ошибка выдаётся именно в сохранении лога. Обе программы "лежат" на рабочем столе и логи, соответственно, должны сохранять на рабочий стол как в корневую директорию. Но нет же...
    Будем ждать воскресения с появлением у меня возможности записи LiveCD, или подмеченная мной закономерность дала Вам какие-нибудь ещё идеи?

  • Уважаемый(ая) Wolter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 21
      Последнее сообщение: 23.08.2015, 17:36
    2. Ответов: 3
      Последнее сообщение: 26.02.2015, 10:14
    3. Ответов: 23
      Последнее сообщение: 17.01.2015, 20:21
    4. Ответов: 2
      Последнее сообщение: 12.02.2014, 13:36
    5. Ответов: 3
      Последнее сообщение: 12.05.2009, 21:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00761 seconds with 16 queries