Maksim123 Опубликовано 2 августа, 2014 Жалоба Поделиться Опубликовано 2 августа, 2014 День добрый! 5 дней назад выскочило окошко брандмауэра др.вэб(ставил весной бесплатную версию на 1 месяц, так он и висел без обновлений баз и лицензии) о изменении размещения userinit.exe и о попытке его выхода в инет (состояние графы " подпись" - отсутствует!). насторожился. Уже и не помню заблокировал или разрешил однократно, но в течении следующего получаса подобных окон вылезло еще с десяток и все без подписи. В эксплорере пропал инет в яндексе еще был)) в нем сразу скачал cureit, но запустится он не захотел. перезапустился в сэйфмод - оттуда cureit также не пошел. решил откатить систему с помощью восстановления. Удивился обнаружив за последнюю неделю кучу точек восстановления следующего содержания - installed windows XP Wdf01009. Что за хрень?) грешу на новый телефон (sony xperia С) недавно купил, частенько подзаряжаю от компа, при этом действии задалбывают всплывающие окошки в трэе, что-то там про драйвера и т.д. - игнорил их постоянно. в общем откатил на самую старую системную точку - не помогло (при перезагрузке - все таже ругань брадмауэра). На ноуте скачал лайф юсб др.вэб - загрузился, запустил сканер - почти 6000 (шесть тысяч) екзешников и архивов было инфицировано win32.gael.3666 "рукалицо" Лечение показало, что все типа вылечено и пару файлов было перемещено. перегрузился - все вроде чисто - включаю инет и сразу ТАДАМ!! опять лезут экзешники без подписи в инет((( далее еще пару попыток лечения - результат один и тот же. затем перестал грузится с флэшки(2 разные - одна совсем новая) подумал, что они могли тоже как-то цепануть заразу - записал lifeCD dr.web - при сканировании - зависание(((( Закачал lifeCD касперского - загрузился - обнаружился старый винт на 40Гб который система сто лет не видела и я уже забыл про него)))) запустил сканер - нашло порядка 20 экзешников с win32.gael.3666 на С диске. - вылечился. и запустил редактор реестра - нашел conime32.exe и netprotocol.exe - убил. параллельно замочил еще несколько неизвестных мне приложений типа kaba.exe, raptrstub.exe и т.д. в windows\system32 убил dl.exe После перезагрузки в интернет эксплорере - инет на работает, в яндексе - работает. при запуске яндекса брандмауэр(поставил новую месячную "бесплатку") еще ругается, но при запуске тотал командера, например, уже нет и не кричит что userinit.exe изменил расположение... Короче: ощущение, что конечности я отрубил, но тело, цепляясь подбородком за неровности пытается ползать... Сдаюсь! Помогите, если еще осталась такая возможность))) С уважением, Максим. CollectionLog-2014.08.02-16.29.zip CollectionLog-2014.08.02-16.29.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 2 августа, 2014 Жалоба Поделиться Опубликовано 2 августа, 2014 Здравствуйте! 1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\dllhosl.exe',''); DeleteFile('C:\WINDOWS\TEMP\dllhosl.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','System Rescue');BC_ImportALL;ExecuteSysClean;BC_Activate; ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 2. Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM. Подробнее читайте в руководстве 3. В меню AVZ - Сервис - Поиск данных в реестре. В поле 'Образец' впишите webalta, нажмите 'Пуск'. После окончания сохраните протокол и выложите сюда. Поиск не закрывайте. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maksim123 Опубликовано 3 августа, 2014 Автор Жалоба Поделиться Опубликовано 3 августа, 2014 quarantine.zip отправил. mbam запустил и лег спать. пробудившись обнаружились такие косяки - перестал отображаться текст в браузере, т.е. ваши рекомендации - не прочтешь))) открыл на андроиде(дабы ничего не пропустить в инструкции), но сохранит логи также не могу - не отображается текст, т.е. вижу только рамку диалогового окна сохранения((( понажимал интуитивно понятную кнопочку "save" полез в апликейшен дата за возможно сохраненным логом))) но увы)) отображаются только значки папок - названий нет) ггг. весело. с надцатой попытки сохранить лог mbam таки добился успеха!) далее запустил AVZ и запрос webalta. в процессе выполнения выскочило окошко (типичное для какой-то ошибки) но увидеть текст не срослось (отображалась только верхняя синяя и левая полоска рамки - все)))) попробовал перезапустить браузер яндекс - увидел "Приложение или библиотека С:.......\brouser.dll не является образом программы для Windows NT. проверте назначение установочного диска." Попытка открыть диспетчер задач - "ошибка при инициализации"... ушел на перезагрузку... открытие яндекса - "Не удается получить настройки. Некоторые функции могут быть не доступны, а изменения настроек не будут сохраняться" при этом в диспетчере задач появляется процесс brouser.exe но самого окна нет! попытки повторного запуска только добавляют процессы))) эксплорер и гуглхром запускаются, но инет отсутствует(( Да, в диспетчере один из 8 процессов svchost.exe зарезервировал 50% ЦП и ушел в глухую оборону - не делится ни с кем)) Доктор вэб в трее так и не появился - пришлось запускать AVZ "как есть". З.Ы. Сейчас пишу с ноута, скопировал логи на флешку жены и прикрепляю))) надеюсь у ноута хороший иммунитет и его минует участь основной машины)) 03.08.2014 log mbam.txt протокол по запросу webalta.txt 03.08.2014 log mbam.txt протокол по запросу webalta.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 3 августа, 2014 Жалоба Поделиться Опубликовано 3 августа, 2014 1. На результатах поиска AVZ щелкните правой кнопкой - Выделить все - Удалить отмеченные. 2. Повторите логи по правилам. 3. Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия. Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft. Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб. Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит. Аналогичным образом можно поступить на вкладке Автозагрузка. Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь. Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление. Подробнее об этой диагностике читайте здесь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maksim123 Опубликовано 3 августа, 2014 Автор Жалоба Поделиться Опубликовано 3 августа, 2014 2. Повторите логи по правилам. немного не понял этот пункт((( что именно повторить? и для чего? :blushing: Ссылка на комментарий Поделиться на другие сайты Поделиться
Maksim123 Опубликовано 3 августа, 2014 Автор Жалоба Поделиться Опубликовано 3 августа, 2014 и я забыл написать - msconfig не запускается((( хотя процесс появляется в диспетчере задач к службам я и по другому доберусь))) это я для справки написал))) Ссылка на комментарий Поделиться на другие сайты Поделиться
Maksim123 Опубликовано 3 августа, 2014 Автор Жалоба Поделиться Опубликовано 3 августа, 2014 охохо... пункт 2: так и не понял.... по пункту 3: в безопасном режиме msconfig также не пошел(( открытие служб через "администрирование" не позволяет "Установите флажок Не отображать службы Microsoft." в ручную это действие не осилю) дистрибутива установленной винды у меня нет((( могу ли я попробовать заменить msconfig.exe не из дистрибутива? и еще "3. Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе." что подразумевается под проблемой? (написал этот вопрос и почувствовал себя полным идиотом))))))) Ссылка на комментарий Поделиться на другие сайты Поделиться
Maksim123 Опубликовано 3 августа, 2014 Автор Жалоба Поделиться Опубликовано 3 августа, 2014 версия установленного msconfig.exe - 5.1.2600.5512 (хрsp. 080413-2108) размер: 194 кб (199 168 байт) Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 3 августа, 2014 Жалоба Поделиться Опубликовано 3 августа, 2014 2. Повторите логи по правилам. немного не понял этот пункт((( что именно повторить? и для чего? :blushing: охохо... пункт 2: так и не понял.... по пункту 3: в безопасном режиме msconfig также не пошел(( открытие служб через "администрирование" не позволяет "Установите флажок Не отображать службы Microsoft." в ручную это действие не осилю) дистрибутива установленной винды у меня нет((( могу ли я попробовать заменить msconfig.exe не из дистрибутива? и еще "3. Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе." что подразумевается под проблемой? (написал этот вопрос и почувствовал себя полным идиотом))))))) п.2 - это создание логов по правилам, как в первом вашем сообщении для того, чтоб увидеть какие произошли изменения. В вашем случае надо бы проделать следующее: Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора". Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run) [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду: findstr /c:"[sR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt [*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти