Посмотрите ,пожалуйста логи

[online]

Есть подозрения на вирусы\трояны.

Комп при входе виндуса долго загружается.То есть висит пустой рабочий стол.

Часто бывает,что при вводе в адресной строке контакта или другого сайта,выкидывает на яндекс. Он стоит ,как стартовая страница.Пользуюсь Мozilla и Explorer и там и там выкидывает :D

Rsit выдал только 1 лог.Вместо 2 предполагаемых :blush2: Авз нашла вроде 1 троян, при выполнении скрипта №3.Не думаю,что только из-за него выкидывает на яндекс...и прочее.

И не обращайте внимание на процесс cnstart.exe-это сетевой провайдер. Инет был вырублен при проверке,а иконку из трея не выключила.

log.txtvirusinfo_syscheck.zipvirusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Активного заражения пока не вижу,

VKLife настоятельно рекомендую удалить, а то точно чего нибудь нахватаете.

D:\telef\telephon.exeD:\Проги\vzlvkont.rarC:\WINDOWS\is-U94KR.exe

проверьте файлы на http://virustotal.com/

Из автозагрузки удалите лишнее, проведите де фрагментацию очистите временные папки кеш браузеров.

[online]

Просканировала файлы,но нашел только в VKlife-Suspicious.Insight(Симантек)

....мне покоя не дает выкидывание на стартовую страницу :)

Набираю радикал.ру-выводит на страницу поиска яндекса.Жму на ссылку на радикал,а он меня на-

h ttp://clck.yandex.ru/redir/AiuY0DBWFJ4ePaEse6rgeAjgs2pI3DW99KUdgowt9XujWdVUNG4aJnASdi5W6iBGYRIlSEkdSGYA73MQ9lSg29YYrNWJV_Zvt2i1JYQAcLyism64t6NTyjqbJFk2Xdb4XdCKYGAaTW8?data=UlNrNmk5WktYejR0eWJFYk1Ldmtxa0dYakNMWXJtNDB0TmNUcERLa2NoNE1VS2dIOUVsOFBORXRtY2Z6M1c4VnZRQ3c4N0tOSkxQRzdFU3ZKQU13dlhQc29pTHhLbXFSTEhvYm9yUGI2XzZYY0Z1cTZ5Zk9HTHVGM1VKZ2ZNVmQ&b64e=2&sign=839ae658e7f45bf0acd95f09b9a525f0&keyno=0

При этом -Запрашиваемая страница не существует.Помогает только выключение роутера из розетки...Надеюсь, не глупость написала :)

В автозагрузке следующее:

:) кажется, не видно на предыдущей ничего

[edde]

iMesh вам сильно в автозагрузке нужен? То же самое относится к Onlint armor, MAgent,

выполните скрипт авз,

beginExecuteRepair(2);ExecuteRepair(3);ExecuteRepair(4);RebootWindows(true);end.

Компьютер перезагрузится

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Изменено 25 апреля, 2010 пользователем edde

[online]

Скрипт сделан.Из автозагрузки поудалила пару штук :)

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

Версия базы данных: 4035

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

25.04.2010 21:43:43

mbam-log-2010-04-25 (21-43-43).txt

Тип сканирования: Быстрое сканирование

Просканированные объекты: 112173

Времени прошло: 5 минут, 58 секунд

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 0

Зараженные параметры в реестре: 0

Объекты реестра заражены: 0

Зараженные папки: 0

Зараженные файлы: 0

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:

(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:

(Вредоносных программ не обнаружено)

Объекты реестра заражены:

(Вредоносных программ не обнаружено)

Зараженные папки:

(Вредоносных программ не обнаружено)

Зараженные файлы:

(Вредоносных программ не обнаружено)

Это сегодняшнее сканирование.Но Я чуть больше месяца назад проводила Первое сканирование данной утилитой,и, тогда было найдено 20 заражений. Я все удалила. Поэтому на всякий пожарный выложу тот лог,вдруг что-то не то удалила или лечить нужно последствия

MyCentria -дополнительно удаляла ручками в браузере

*********************************************************

Malwarebytes' Anti-Malware 1.44

Версия базы данных: 3826

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

05.03.2010 19:14:49

mbam-log-2010-03-05 (19-14-49).txt

Тип проверки: Быстрая

Проверено объектов: 125596

Прошло времени: 4 minute(s), 39 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 4

Заражено значений реестра: 0

Заражено параметров реестра: 3

Заражено папок: 5

Заражено файлов: 8

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

HKEY_CLASSES_ROOT\CLSID\{7023de86-faf5-4e26-94ac-c32c740270b0} (Adware.TMAagent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:

C:\Program Files\MyCentria (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Documents and Settings\User\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> Quarantined and deleted successfully.

C:\Documents and Settings\User\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> Quarantined and deleted successfully.

Заражено файлов:

C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> Quarantined and deleted successfully.

C:\Documents and Settings\User\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> Quarantined and deleted successfully.

C:\Documents and Settings\User\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> Quarantined and deleted successfully.

C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully

C:\System Volume Information\_restore{6541AB3D-11F5-46AF-AD3D-3952E2E5CEF9}\RP245\A0045112.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{6541AB3D-11F5-46AF-AD3D-3952E2E5CEF9}\RP248\A0051406.exe (Trojan.KillAV) -> Quarantined and deleted successfully.

D:\Adobe_Photoshop_CS2_Russian_official\Adobe Photoshop CS2 Russian official\adobecs2rus_kg.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

[edde]

Чисто и это замечательно :) что с проблемой редиректа?

[online]

Вроде наладилось )) Спасибо!

[online]

опять что-то не то(

Вчера решила сменить стартовую станицу с яндекса на вконтакте.ру.Страница не поменялась,а вернулась на яндекс. Это вчера было,а сегодня я вообще на яндекс зайти могу где-то через раз.Пишет-запрашиваемая страница не существует.

А также следующее происходит-периодически мои открытые вкладки ,вдруг начинают открываться в отдельных окнах браузера!То есть на панели не 1 окно ,а несколько.Ничего не делаю в этот момент,просто листаю страницы и опа! сами переключаются... точно вирус где-то!мои антивирусники при сканировании молчат... где заразу искать??...

домашняя страница прописалась вот так-http://www.yandex.ru/?clid=14003

[edde]

Сделайте лог HijackThis

[online]

hijackthis.log

hijackthis.log

[edde]

Я бы вам порекомендовал убрать тулбары и примочки которыми активно не пользуетесь

выполните скрипт авз, он восстановит настройки IE по умолчанию

beginExecuteRepair(2);ExecuteRepair(3);	ExecuteRepair(4);  end.

Если всё-таки настаиваете на подозрении на заразу сделайте пакет стандартных логов

[online]

фигня с яндексом не в IE, а в мозилке!

насчет логов подумаю...

по Вашему совету,решила удалить парочку тулбаров..но меня ждал очередной сюрприз((

это что надо скачать некий MarketihgReg?? или из-за чего это может быть такое??

удалился тулбар с трудом,так как окна по нескольку раз вылезали и не закрыть их было никак...

[edde]

Так, давайте так

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[online]

Просканировала.

результат лога только это и все

ComboFix 10-05-13.01 - User 13.05.2010 20:31:35.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.511.293 [GMT 4:00]

Running from: C:\Documents and Settings\User\Рабочий стол\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

..во время сканирования,вроде что-то удалялось...

Все приложения были отключены.Во время сканирования было сообщение отказано в Pev.exe.Или не может быть завершено(так точнее). Изменились иконки картинок и пропала языковая панель.Остальное позже сообщу,какие изменения.

[online]

Далее изменения-смогла без проблем удалить программы и примочки ненужные :) С мозилой вроде тож лучше стало.

Сегодня винду запускаю-вылезает синее окно комбофикса-"Please wait".Я испугалась и закрыла окно( Не поняла,что собирался делать.В следующий раз не закрывать?...

[edde]

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/img]

Изменено 14 мая, 2010 пользователем akoK

[online]

все сделано! :)

нужно еще что-то делать??)

[akoK]

Что с проблемами?