Показано с 1 по 19 из 19.

Зловред в Опера\Кэш (заявка № 95815)

  1. #1
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49

    Thumbs up Зловред в Опера\Кэш

    Сбой установки/удаления ОПеры.
    Не удаляется Опера\Кэш
    Куреит и КасВирРемува по нулям.
    КИС2011 полная проверка: нашел кое что, а пишет мол "чисто" (базы с трудом но обновил)

    ПС: +Забавный файл ЛИНКДЭЛ в Систем32 (в оригинале толи БАТ толи КОМ, уж не припомню).

    Боюсь что опоздал (HEUR:Trojan.Win32.Generic):
    http://virusinfo.info/showthread.php?t=95812
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Похоже "Утро вечера мудренее"
    Последний раз редактировалось light59; 21.01.2011 в 18:49. Причина: Убрал ссылку.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1.Профиксите в HijackThis
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
    R3 - URLSearchHook: (no name) -  - (no file)
    2.ОтключитеСистемное восстановление!!! как- посмотреть можно тут
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     RebootWindows(true);
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    Обновите систему
    - SP2 обновите до Service Pack 3(может потребоваться активация)
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    * Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
    - Установите Internet-Explorer 8.(даже если Вы его не используете)
    - Поставте все последние обновления системы Windows - тут

    После обновления:
    - отпишитесь о проблемах
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  5. #4
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Карантин не уходит.
    Результат загрузки: Ошибка загрузки. Данный файл уже был загружен

    Скрипты выполнил.
    Проблема остальсь.
    Нет доступа к РЕСАЙКЛЕР на всех дисках и к ОПЕРА/КЭШ

    По поводу обновления сомневаюсь, но попробую (похоже Активацию мне не пройти)

    Вот новые логи (до обновления)

  6. #5
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Средство проверки Windows Genuine Advantage (KB892130) - Сбой установки.
    Что и требовалось доказать (Ах Билл как мы тебя любим)

    П.С.: А карантин-то пустой...

  7. #6
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    ИЭксплорер обновился до 8-го.
    СПТри тоже установлен.
    Дальнейшие обновления без ативации не встают.
    Проблема осталась.

    Вот новые логи

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  9. #8
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Лог МБАМ:

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    удалите в мбам
    Заражённые параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

    Объекты реестра заражены:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

  11. #10
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Да... Тяжелый случай.
    Папки РЕСАЙКЛЕР удалить с трудом но получатся (Тотал Командер при загрузке стороннего Виндовс с ЛайвДиска), а вот путь C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\- заблокирован напрочь.
    Есть идеи как его подчистить? (Отложенное удаление АВЗед - безрезультатно)
    В принципе видимых проявлений вируса НЕТ, но папку же кто-то контролирует, и переустановить Оперу не дает.

    Начинаю задумываться о сносе системы, хотя бросать начатое ой как не люблю



    Свежие логи:
    Вложения Вложения
    Последний раз редактировалось Azzz; 24.01.2011 в 16:07. Причина: Добавил путь...

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Выполните скрипт в AVZ:

    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum','{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Пробуйте обновить оперу.
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Проблема актуальна...

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Под каким пользователем Вы работаете?
    Попробуйте сделать bat-файл вида

    Код:
    Cacls "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera" /g Admin:f
    и запустить его, он сбросит разрешение на папку. Батник написан для пользователя Admin.
    Затем деинсталлируйте Opera и снова установите.
    зы. Спасибо за совет Iron Monk.
    Paula rhei.
    Поддержать проект можно тут

  15. #14
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Это интересный ход.
    С пользователем всё верно.
    НО. Файлы не удаляются даже если загрузить другую систему с носителя.
    Да что там. Дос+Нортон Командер: Полный отказ в доступе к диску С:\

    Как было вышесказано - Утро вечера мудренее.
    Комп на работе... Завтра или БАТ-Пилюля сработает или Формат-Ц

    Спасибо всем ХелпераМ за потраченное на меня время

  16. #15
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49

    КМД - Сила

    Команда "Cacls" действительно работает!
    Правда результат, немного другой: после выполнения команды на определенную папку, лишь появляется возможность открытьеё в командной строке. Удалить её нет возможности, так как все вложения тоже заблокированы.

    Подскажите синтаксис команды для её применения ко всем вложениям? Уж больно ручками каждую папку не охота бить.

    Опера естественно не удаляется, правда ошибка изменилась.

    ...Победа близко!

  17. #16
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    К вопросу о массовом сбросе разрешений:
    "Звёздочка" помогает, но только для всех объектов папки... (без вложений)

    Добавлено через 38 минут

    Весь Опера\кэш уделён, осталась одна папка...

    Далог в КМД:
    • Cacls "C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\g_0067" /g Admin:f
    • Продолжить? (Y/N)y
    • Ошибка в данных (CRC).


    Зловред или сбой на диске?

    Проверяю состояние диска, жду идей по уделению папки.

    Добавлено через 43 минуты

    Опера 11 - установлена.

    Бастрый скан жесткого диска показал наличие БэдКластеров...
    Пытаюся выяснить их природу (Проверяю поверхность диска), спасибо: QMar за подсказку

    Дело было не в бабине.

    Еще раз спасибо:Iron Monk, миднайт, polword, V_Bond

    Тему думаю можно закрыть.
    Последний раз редактировалось Azzz; 25.01.2011 в 13:36. Причина: Добавлено

  18. #17
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Да, последние логи на всяк случай:
    Вложения Вложения

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В логах зла не видно. chkdsk /f делали? Проблема разрешилась в положительную сторону?
    Paula rhei.
    Поддержать проект можно тут

  20. #19
    Junior Member Репутация
    Регистрация
    20.01.2011
    Сообщений
    13
    Вес репутации
    49
    Проблема решена.

    Часть кластеров програмно востановлена, остальные битые заблокированы.
    Но, боюсь что жесткий диск всё равно под замену...

    Компьютер уехал в провинцию.

    Всем Хелперам еще раз спасибо.

  • Уважаемый(ая) Azzz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. зловред
      От serobai в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.07.2011, 12:59
    2. Зловред AVE.EXE
      От visahouse в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.03.2010, 14:58
    3. Зловред
      От Ficher999 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 09:22
    4. Зловред!
      От Vilur в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 29.01.2008, 18:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00272 seconds with 20 queries