самое забавное происходит когда запускаешь люой из трех интернет эксплореров.
собственно ИЕ, Мозилу и оперу.
окна повисают в хаотичном порядке, закрываешь вкладку - закрывается вобще все что запущено, но все бы ничего если бы вчера в довершение всего не столкнулась с проблемой невозможности перемещения файлов на компьютере. куда бы не перемещала - пишет поток прерван.
сканирование с помощью avz система прошла, однако выполнить лечащие скрипты не удалось, папка отсутствует....
avz логи пока что...
и подскажите что делать чтобы пролечить?
Пока что сделайте следущее:
Очистите папку карантин в папке АВЗ!
Отключите восстановление системы!!!
Отключите НОД , интернет и закройте все приложения!
Выполните в АВЗ такой скрипт(файл\выполнить скрипт\скопировать скрипт в окошко\запустить):
| QUOTE |
| begin SetAVZGuardStatus(True); SearchRootkit(true, true); DelBHO('{FB5F1910-F110-11d2-BB9E-00C04F795683}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}'); DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}'); DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); QuarantineFile('C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe',''); QuarantineFile('C:\WINDOWS\system32\Unlocker.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp',''); QuarantineFile('C:\Program Files\Wyyo\wyyo.dll',''); QuarantineFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe',''); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); ExecuteRepair(8); ExecuteRepair(16); CreateQurantineArchive(GetAVZDirectory+'virus.zip'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Система перезагрузится.
Пофиксить, если найдутся, в Hijack строчки:
| QUOTE |
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=40488 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) |
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное(автозапуск и обновление системы- по желанию) следует пометить галочками и нажать исправить отмеченные. Операцию повторить для категории "Настройки и твики браузера".
Карантин из папки АВЗ залейте на рапиду, и дайте ссылку.
Возможно некоторые файлы не попадут в карантин, проверте их на http://www.virustotal.com/ru/
C:\WINDOWS\system32\Unlocker.exe
C:\Documents and Settings\All Users\Application Data\Wyyo\wyyo129.exe
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
C:\Program Files\Wyyo\wyyo.exe
Это сообщение отредактировал Semenka - 15-04-2009 - 17:56
После проверки DrWeb CureIt, в АВЗ(главное окно программы AVZPM) активируйте "драйвер расширенного мониторинга AVZPM" и перезагрузите систему. Затем сделайте повторные логи.
повторный лог авз сделать сегодня постараюсь.
| QUOTE (ptary @ 15.04.2009 - время: 22:36) |
| http://www.rapidshare.ru/1006932 |
Не могу сейчас скачать ваш лог(лимит на бесплатные закачки). Что сказал VirusTotal по поводу тех файлов, которые просил проверить?
Задания я впланировщике задач ваши? Если нет, удалите через панель управления\управление заданиями.
Закройте все приложения, антивирус, отключите интернет;
Выполните в АВЗ скрипт:
| QUOTE |
begin SetAVZGuardStatus(True); SearchRootkit(true, true); SetServiceStart('Wyyo Service', 4); TerminateProcessByName('c:\documents and settings\all users\application data\wyyo\wyyo129.exe'); TerminateProcessByName('c:\program files\wyyo\wyyo.exe'); DeleteFile('c:\program files\wyyo\wyyo.exe'); DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe'); DeleteFile('C:\Program Files\Wyyo\wyyo.dll'); DeleteFile('C:\WINDOWS\system32\Unlocker.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); BC_ImportDeletedList; BC_DeleteFile('C:\WINDOWS\system32\Unlocker.exe'); BC_DeleteFile('c:\program files\wyyo\wyyo.exe'); BC_DeleteFile('c:\documents and settings\all users\application data\wyyo\wyyo129.exe'); BC_DeleteFile('C:\Program Files\Wyyo\wyyo.dll'); BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Система перезагрузится(возможно потребуется некоторое время подожать минут 5-10) если это не произойдет(случай непростой), придется "ресетить".
Пофиксить в Hijack:
| QUOTE |
O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_frame O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_image O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_i...id=menu_ie_link O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_i...menu_ie_exclude O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_i...=menu_ie_report O8 - Extra context menu item: яКНБЮПХ@Mail.Ru - res://C:\PROGRA~1\Mail.Ru\Sputnik\MAILRU~1.DLL/TRANSLATE.HTM |
Повторите логи!
РS. Все эти файлы:
| QUOTE |
('C:\WINDOWS\system32\Unlocker.exe'); ('c:\program files\wyyo\wyyo.exe'); ('c:\documents and settings\all users\application data\wyyo\wyyo129.exe'); ('C:\Program Files\Wyyo\wyyo.dll'); |
так же можно удалить из безопасного режима, предварительно удалив ключи реестра "wyyo"(тоже в безопасном) при помощи поиска по реестру.
Это сообщение отредактировал Semenka - 15-04-2009 - 23:45
после фиксов.
щас логи авз сделаю.
на компе ожили иконки программ - порадовало сразу же.
файлы записанные в самом низу не удаляются... а первых двух строчек вобще не нашла.
зато открыв папку виндоус обнаружила множество скрытых папок, выделенных синим шрифтом.. повергло в ужас..
| QUOTE |
| Восстановление системы: включено |
Будте внимательнее или до бесконечности лечится будем. Я выше написал, что обязательно нужно отключить восстановление! После полного излечения можно будет включить.
Еще раз, задания в планирощике задач ваши? Если нет, удалите, как выше написал.
После того, как отключите восстановление, выполните в АВЗ:
| QUOTE |
begin SetAVZGuardStatus(True); SearchRootkit(true, true); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{925DAB62-F9AC-4221-806A-057BFB1014AA}'); DelBHO('{53F6FCCD-9E22-4d71-86EA-6E43136192AB}'); DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}'); DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); ExecuteRepair(8); BC_ImportDeletedList; BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Система перезагрузится.
В логе Hijack все на месте. Пофиксите, как написано в правилах, строчки и после перезагрузите систему:
| QUOTE |
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=40488 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file) O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) |
После повторите лог №2 (syscheck.zip) и Hidjack
PS.
| QUOTE |
| после выполнения авз скрипта система перезагрузилась, но не с требованием авз, а для завершения установки автоматических обнослений. на компе ожили иконки программ - порадовало сразу же. файлы записанные в самом низу не удаляются... а первых двух строчек вобще не нашла. зато открыв папку виндоус обнаружила множество скрытых папок, выделенных синим шрифтом.. повергло в ужас.. |
Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. Cкрытые системные(синие) папки, тоже нормально.
Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте http://www.slil.ru/
Найдите файл C:\WINDOWS\system32\SamFaxPort.dll и проверте его http://www.virustotal.com/ru/ или запакуйте в архив и залейте http://www.slil.ru/ (логи кстати тоже туда же заливайте). Я не могу его трогать, пока не узнаю насколько он вредоносен.
Это сообщение отредактировал Semenka - 16-04-2009 - 16:17
| QUOTE (Semenka @ 16.04.2009 - время: 16:45) |
| Какие конкретно файлы не удаляются и из каких папок? Добавте их в архив и залейте http://www.slil.ru/ |
восстановление отключила.
| QUOTE |
('C:\WINDOWS\system32\Unlocker.exe'); ('c:\program files\wyyo\wyyo.exe'); ('c:\documents and settings\all users\application data\wyyo\wyyo129.exe'); ('C:\Program Files\Wyyo\wyyo.dll'); |
последних двух строчек нет вобще в этих папках.
анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме.
| QUOTE |
| Это норамально- устанавливается SP3. Если система лицензионная, проблем с активацией не возникнет. . |
систему как раз нелицензионная
щас сделаю проверку сказанного файла
выскочило окно - скрипт выполнен без ошибок и система перезагрузилась.
лог с Hijack последний
лог с авз делается сейчас.
http://slil.ru/27456156
| QUOTE (ptary @ 16.04.2009 - время: 16:45) |
| ('C:\WINDOWS\system32\Unlocker.exe'); ('c:\program files\wyyo\wyyo.exe'); анлоккер не хочет удаляться ни в какую. ни в безопасном, ни в таком режиме. систему как раз нелицензионная |
Все равно не припятствуйте обновлению. Эта проблема решаемая. Вы последний скрипт выполняли? В Хайджек фиксили строчки?
C:\WINDOWS\system32\Unlocker.exe
c:\program files\wyyo\wyyo.exe
В последних логах не было. Можно их удалить при помощи этой программы:
-Распакуйте и запустите программу.
-Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы.
-Нажмите по нему правой кнопкой мыши и выберите force delete.
-На запрос потверждения ответьте "да".
-Перезагрузите компьютер.
PS. Как сейчас общее состояние системы. Какие проблемы остались?
| QUOTE (Semenka @ 16.04.2009 - время: 18:03) |
| PS. Как сейчас общее состояние системы. Какие проблемы остались? |
сложно сказать какие проблемы остались...
файлы во всяком случае уже переносятся, что не может не радовать.
p.s. программу скачала, но авз долго сканирует... одновременно запускать все боюсь
последний - только что выполненный
http://slil.ru/27456257
Этот файл тоже пришлите или сами проверте на вирустотал:
C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe
Это сообщение отредактировал Semenka - 16-04-2009 - 17:30
Unlocker Hook.dll
что из этого снести?
Извените что влез.
| QUOTE (Semenka @ 16.04.2009 - время: 18:30) |
| Лог Hijack в норме. Этот файл тоже пришлите или сами проверте на вирустотал: C:\Program Files\Common Files\Yandex\Yupdate\yupdate.exe |
Активация может потребоваться после полной установки SP3. В ПМ напишите если возникнут проблемы с ней.
@ptary
UnlockerDriver 5.sys
Unlocker Hook.dll
Где эти файлы находятся, в каих папках?
Закройте все приложения, интернет!!!
Выполните в АВЗ
| QUOTE |
begin DeleteFileMask('%Tmp%', '*.*', true); DeleteFileMask('C:\Documents and Settings\User\Local Settings\Temporary Internet Files\', '*.*', true); SetAVZGuardStatus(True); SearchRootkit(true, true); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); BC_ImportDeletedList; BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. |
Система перезагрузится.
Повторите лог АВЗ.
| QUOTE (Semenka @ 16.04.2009 - время: 18:46) |
| @ptary UnlockerDriver 5.sys Unlocker Hook.dll Где эти файлы находятся, в каих папках? |
system 32. в ней оба
| QUOTE (ptary @ 16.04.2009 - время: 17:56) |
| system 32. в ней оба |
Удаляйте, чего уж мелочиться))
Какие проблемы остались\появились?
Лог АВЗ повторите после выполнения скрипта(выше).
| QUOTE (Semenka @ 16.04.2009 - время: 19:02) |
| Лог АВЗ повторите после выполнения скрипта(выше). |
Зайдите: меню Пуск -- Все программы -- Стандартные -- Службные -- Назначеннные задания. Удалите все задания.
Выполните скрипт:
begin
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
RebootWindows(true);
end.
Не получается удалить C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp
АВЗ\сервис\поиск файлов на диске\ установите маску *tmp, и введите имя файла и запустите поиск. Потом если найдется, залейте его.
Если проблемы есть, опишите их подробнее и сделайте лог Gmer:
http://www.gmer.net/gmer.zip
Запустите программу. После автоматической экспресс-проверки, отметьте галочкой жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Проверка может занять некоторое время(в зависимости от размеров разделов диска).
| QUOTE (Semenka @ 16.04.2009 - время: 20:12) |
| Не получается удалить C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp АВЗ\сервис\поиск файлов на диске\ установите маску *tmp, и введите имя файла и запустите поиск. Потом если найдется, залейте его. |
не найден...
Это сообщение отредактировал ru263 - 19-04-2009 - 18:12