Устранение последствий после вируса [Версия для КПК]

Показать полную графическую версию : Устранение последствий после вируса

Страниц : [1] 2

NevO

30-01-2011, 12:28

Подхватил вирус который мне не плохо подпортил систему. Переустановить систему то не сложно но нету возможности. и так вот что замечено после вируса:
1. отключился контроль администратора (Раньше программы запрашивали разрешение на запук у администратора, меня)
2. Полностью испортились стандартные гаджеты (Часы, погода и т.д.)
3. Перестал работать Windows Media Player

пока что все что заметил. Подскажите пожалуста как можно это все исправить без переустановки системы?

okshef

30-01-2011, 12:34

Для начала в командной строке с правами администратора (http://oszone.net/4331/#5) выполните:
sfc /scannow

Заполните сведения о конфигурации компьютера (http://forum.oszone.net/profile.php?do=specs)

И еще, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи (http://forum.oszone.net/post-717373-2.html).

Morpheus

30-01-2011, 12:51

NevO, слишком много вопросов для одной темы, каша получится.
1. Пуск ---> Панель управления ---> Учетные записи пользователей ---> Изменение параметров контроля учетных записей.
2. Проблемы с гаджетами Windows 7 (http://forum.oszone.net/thread-178293.html) (4.1)
3. Ошибки или что?

Разумеется, всё это после лечения в соответствующем форуме, иначе смысла нет.

NevO

30-01-2011, 13:24

Для начала в командной строке с правами администратора выполните:
Код:
sfc /scannow
Заполните сведения о конфигурации компьютера
И еще, пожалуйста, выполните рекомендации и представьте логи, согласно правил запроса о помощи. »
Сканирование поставил, конфигурацию заполнил. Логи будут когда все проверится.

3. Ошибки или что? »
если просто запустить(со значка на панельке быстрого доступа) - то просто не открывается, без всяких ошибок. Если открыть любой звуковой файл то вылаит "ошибка при выполнении приложения-сервера"

NevO

30-01-2011, 14:09

http://i022.radikal.ru/1101/f7/49bfa618a7ef.png

okshef

30-01-2011, 14:22

Скрин можно заменить логами :)

NevO

30-01-2011, 15:19

Логи по гайду еще не делал.

NevO

31-01-2011, 07:41

AVZ не работает как надо. Драйвер не устанавливает, после начала выполнения скрипта закрывается. Что делать?

NevO

31-01-2011, 23:05

up!

goredey

31-01-2011, 23:12

NevO, cскачайте эту версию AVZ (http://zalil.ru/30206563) . Запускать ярлык 11.ехе

NevO

02-02-2011, 13:51

http://narod.ru/disk/4828337001/%D0%BB%D0%BE%D0%B3%D0%B8.rar.html
вот долгожданные логи

goredey

02-02-2011, 15:46

NevO, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пофиксить в HijackThis следующие строчки
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

Повторите логи, обновив базы

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

+

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://www.malwarebytes.org/mbam/database/mbam-rules.exe)

NevO

02-02-2011, 15:50

Пофиксить в HijackThis следующие строчки
Код:
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) »

как профиксить?)

Повторите логи, обновив базы
Код:
Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) »
обновить что именно?

goredey

02-02-2011, 15:57

NevO, обновить базы в АВЗ Можете ознакомиться здесь (http://forum.oszone.net/thread-177677.html)

NevO

03-02-2011, 14:44

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) »

вот это то как профиксить?

goredey

03-02-2011, 14:48

NevO, обновить базы в АВЗ Можете ознакомиться здесь »
Нажмите на слово ЗДЕСЬ в посте № 14

NevO

03-02-2011, 14:51

все нашол)

Выдает такую ошибку:
http://s49.radikal.ru/i123/1102/61/f924ef067c1c.png

При том что Internet Explorer закрыт(им даже не пользуюсь) и все окна Windows Explorer закрыты (пробовал даже снимать процесс explorer.exe - не помогло)

goredey

03-02-2011, 16:49

Цитата:Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

NevO

03-02-2011, 18:47

"mixer1"=wdmaud.drv

R1 uzi3mjg4;AVZ-RK Kernel Driver;c:\windows\system32\Drivers\uzi3mjg4.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt64.dll [2010-11-26 51360]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;g:\everest xp\EVEREST Ultimate\kerneld.amd64 [2009-09-05 26240]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [2009-11-02 22544]
R3 nmwcdcx64;Nokia USB Generic;c:\windows\system32\drivers\ccdcmbox64.sys [2010-02-26 25088]
R3 nmwcdnsucx64;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsucx64.sys [2010-02-26 12288]
R3 nmwcdnsux64;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsux64.sys [2010-02-26 173056]
R3 nmwcdx64;Nokia USB Phone Parent;c:\windows\system32\drivers\ccdcmbx64.sys [2010-02-26 19456]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 40464]
R3 PortTalk;PortTalk;c:\windows\system32\Drivers\PortTalk.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
R3 WatAdminSvc;Служба технологий активации Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-29 1255736]
R4 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files (x86)\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [2010-07-22 814344]
R4 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 27136]
S0 KLBG;Kaspersky Lab Boot Guard Driver;c:\windows\system32\DRIVERS\klbg.sys [2009-10-14 40464]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-09 834544]
S1 afw;Agnitum Firewall Driver;c:\windows\system32\DRIVERS\afw.sys [2010-04-20 39528]
S1 AsUpIO;AsUpIO;SysWow64\drivers\AsUpIO.sys [x]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [2010-06-09 11864]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2010-04-22 27736]
S1 SandBox;SandBox;c:\windows\system32\drivers\SandBox64.sys [2010-11-26 1099352]
S2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2010-12-09 3452792]
S2 AsSysCtrlService;ASUS System Control Service;c:\program files (x86)\ASUS\AsSysCtrlService\1.00.02\AsSysCtrlService.exe [2009-08-19 90112]
S2 DvmMDES;DeviceVM Meta Data Export Service;c:\asus.sys\config\DVMExportService.exe [2009-02-18 294912]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-07-09 248936]
S2 vmci;VMware vmci;c:\windows\system32\drivers\vmci.sys [2010-09-20 80944]
S2 VMUSBArbService;VMware USB Arbitration Service;c:\program files (x86)\Common Files\VMware\USB\vmware-usbarbitrator.exe [2010-09-20 539184]
S3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2010-09-27 424040]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2010-06-23 344680]
S3 ScreamBAudioSvc;ScreamBee Audio;c:\windows\system32\drivers\ScreamingBAudio64.sys [2009-03-27 27160]

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder

2011-02-02 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3771569385-636237519-2417232349-1000Core.job
- c:\users\NevO\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-06 11:00]

2011-02-03 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3771569385-636237519-2417232349-1000UA.job
- c:\users\NevO\AppData\Local\Google\Update\GoogleUpdate.exe [2010-11-06 11:00]
.

--------- x86-64 -----------

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Ou tpost]
@="{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}"
[HKEY_CLASSES_ROOT\CLSID\{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}]
2010-12-09 10:08 348144 ----a-w- c:\program files\Agnitum\Outpost Firewall Pro\op_shell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-05-22 7833120]
"Skytel"="c:\program files\Realtek\Audio\HDA\Skytel.exe" [2009-05-22 1833504]
"OutpostMonitor"="c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe" [2010-12-09 4262336]
"OutpostFeedBack"="c:\program files\Agnitum\Outpost Firewall Pro\feedback.exe" [2010-12-09 769896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x1
"AppInit_DLLs"=c:\progra~1\Agnitum\OUTPOS~1\wl_hook64.dll
.
------- Supplementary Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.yandex.ru/?clid=165533
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: &Экспорт в Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files (x86)\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files (x86)\Download Master\dmie.htm
IE: Передать на удаленную закачку DM - c:\program files (x86)\Download Master\remdown.htm
IE: {{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - c:\program files (x86)\WebMoney Advisor\tbcore3.dll
LSP: e:\vmware\vsocklib.dll
TCP: {BC1B0B89-E1ED-4D73-9C46-4896A96A78EC} = 192.168.1.1
FF - ProfilePath - c:\users\NevO\AppData\Roaming\Mozilla\Firefox\Profiles\t26neymd.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://mail.ru/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\program files (x86)\Mozilla Firefox\extensions\linkfilter@kaspersky.ru
FF - Ext: РЇРЅРґРµРєСЃ.Р‘Р°СЂ: yasearch@yandex.ru - %profile%\extensions\yasearch@yandex.ru
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Firefox Synchronisation Extension: {A27F3FEF-1113-4cfb-A032-8E12D7D8EE70} - c:\program files (x86)\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension
.
- - - - ORPHANS REMOVED - - - -

SafeBoot-zipdrivers
WebBrowser-{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - (no file)
AddRemove-TeamSpeak 3 Client - e:\teamspeak 3 client\uninstall.exe

.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3771569385-636237519-2417232349-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB4F4B01-28B3-F840-23C3-0B8021399F87}*]
"hampoibkacpllaep"=hex:6a,61,67,64,6a,6c,61,63,67,64,62,64,64,63,67,63,66,6b,
70,6d,00,00
"iakbmijjpnakfkmfag"=hex:63,61,66,64,66,6a,00,00
"iagomkkhdfpicbfddo"=hex:6a,61,6c,61,6f,65,64,6e,6b,61,70,65,63,6f,65,64,66,6c,
67,64,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Completion time: 2011-02-03 18:42:13
ComboFix-quarantined-files.txt 2011-02-03 15:42

Pre-Run: 28*808*736*768 байт свободно
Post-Run: 28*727*287*808 байт свободно

- - End Of File - - BA461601E864B1F43B146264B05F4C74

goredey

04-02-2011, 09:01

NevO, лог не полный! Антвирусное ПО, браузеры, firewall на момент работы Комбофикс были отключены? Если так то повторите логи.
А может вы не полностью скопировали лог? Не надо его копировать.Воспользуйтесь режимом вложения ну или залете на файлообменник. Как вы делали с логами АВЗ