Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Папка Мои документы открывается при загрузке системы (http://forum.oszone.net/showthread.php?t=125920)

Rexfist 13-12-2008 20:44 980331

Папка Мои документы открывается при загрузке системы
 
Вложений: 1
Подскажите,пожалуйста,решение данной проблемы. ОС XP SP3, установлена на диск С, на компе 2 юзера, Мои документы открываются у обоих при старте

1. reg файл из топика http://forum.oszone.net/showthread.p...181#post980181 не помог
2.
Цитата:

нет никакого ключа в реестре в разделах *\RUN, который мог бы запускать C:\WINDOWS\Explorer.exe
или Explorer.exe
3. Пуск - Выполнить - msconfig - Автозагрузка нет никакого параметра наподобие BluetoothAuthenticationAgent

4. ПО для Audigy не установлено, скрипт не подошел

Также userinit.exe в ключе HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon прописан правильно, запятая стоит одна

В системе установлен KIS 7 с последними базами,при проверке диска С было найдено и вылечено несколько файлов с вирусами. После этого просканил его при помощи cureit, вирусов не нашло. Логи полной проверки системы Kaspersky Virus Removal Tool и cureit выложу как только закончится сканирование системы.

Pili 14-12-2008 17:17 980816

Rexfist, Здравствуйте. У вас какая-то сборка ОС, возможно проблема ещё и из-за этого, многие системные файлы не прошли проверку по базе безопасных AVZ, рекомендую удалить всякие "украшательства" и установить официальный WindowsXP SP3
C:\WINDOWS\system32\DRIVERS\FStarForce.sys - проверьте на virustotal.com, результат сообщите.
Запустите HijackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\iiffGyAP.dll
O20 - Winlogon Notify: iiffGyAP - C:\WINDOWS\

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iiffGyAP.dll','');
DeleteFile('C:\WINDOWS\system32\iiffGyAP.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:

begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.

Запустите в AVZ, Файл - Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

Rexfist 14-12-2008 21:20 980946

Вложений: 1
2 Pili
Спасибо что откликнулись. Стоит сборка ZverCD, уже около полутора месяцев. Данный глюк начал наблюдаться примерно пару дней назад,после того,как KIS 7 нашел и вылечи полдесятка вирусов на диске С при очередной проверке. ПО новое не ставилось,соответственно,проблема с вирусом,который был,скорее всего,занесен на флешке. Результат проверки на virustotal.com:
http://www.virustotal.com/ru/analisi...103d86ef831292
Скрипты выполнил, проблемы исправил, пока результата нет. Единственное - при полной проверке системы в безопасном режиме утилитой CureIt было найдено и удалено 2 вируса,один из них в system 32

igorgn 14-12-2008 22:27 980999

Цитата:

Цитата Rexfist
Стоит сборка ZverCD »

а почему бы вопросы у них на форуме не позадавать. Их глюки - их ответы.

Pili 14-12-2008 22:28 981001

Rexfist, странно, что карантин получился таким большим, к сожалению с fileshare.in.ua я скачать не могу, файл C:\WINDOWS\system32\iiffGyAP.dll отдельно можете запаковать с паролем virus и прислать на user15802[at]mail.ru
По логам AVZ и hijackthis больше ничего зловредного. Украшательства вы так и не удалили, официальный SP3 не установили...
С помощью CureIt систему проверяли?

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Скачайте Malwarebytes' Anti-Malware здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrlv+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте (Ctrl+A, Ctrlv+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь

Rexfist 15-12-2008 02:13 981137

Вложений: 3
2 Pili
Спасибо за то, что стараетесь мне помочь.
По пунктам:
1. К сожалению, файла C:\WINDOWS\system32\iiffGyAP.dll в данном каталоге нет. Да и на диске С его не наблюдается.
2. Насчет украшательств - честно говоря,я не совсем понял,о чем идет речь. Удалить встроенные темы? Официальный SP3 стоит ли ставить поверх существующего? Если да,то скиньте,пожалуйста,ссылочку на сайт microsoft, где его можно скачать.
3.
Цитата:

Единственное - при полной проверке системы в безопасном режиме утилитой CureIt было найдено и удалено 2 вируса,один из них в system 32
4. Java Runtime Environment (JRE) скачал и установил
5. Лог Malwarebytes' Anti-Malware прикладываю сюда
6. SDFix выдал при окончании проверки в безопасном режиме сообщение о перезагрузке и просьбе запустить RunThis.bat и нажать F при следующей загрузке системы. После перезагрузки(в обычном режиме) выполнил все,как он написал,и получил отчет Report.txt, который также прикладываю сюда.
7. Скачал и установил ComboFix и Microsoft Recovery Console. Лог также присутствует

Pili 15-12-2008 09:20 981234

Цитата:

Цитата Rexfist
К сожалению, файла C:\WINDOWS\system32\iiffGyAP.dll в данном каталоге нет. Да и на диске С его не наблюдается. »

Он удален скриптом и должен быть в карантине AVZ (AVZ-файл-просмотр карантина)
Цитата:

Цитата Rexfist
Насчет украшательств - честно говоря,я не совсем понял,о чем идет речь. »

VistaDriveIcon, RocketDock, CursorXP
Цитата:

Цитата Rexfist
Удалить встроенные темы? Официальный SP3 стоит ли ставить поверх существующего? Если да,то скиньте,пожалуйста,ссылочку на сайт microsoft, где его можно скачать. »

Поверх, ссылка была во 2-м посте WindowsXP SP3
По логу МВАМ
Цитата:

Not selected for removal.
Повторите ещё раз сканирование и удалите найденное.
Для файлов C:\WINDOWS\system32\user32.DLL, c:\windows\system32\dllcache\user32.dll не сошлись сигнатуры, возможно они патченные, скопируйте файлы с чистой системы (установка SP3 должна также заменить эти файлы)
Включите показ скрытых файлов и файлы
Цитата:

c:\windows\system32\spmsg2.dll
c:\windows\system32\flvDX.dll
c:\windows\system32\nbDX.dll
c:\windows\system32\qttask.exe
проверьте на virscan.org или virustotal.com
C:\WINDOWS\System32\preh - это у вас что?
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:

File::
c:\windows\system32\r33.es
c:\windows\system32\eop.e
c:\windows\system32\zed.pa
c:\windows\system32\kj.je
c:\windows\system32\v1.e2
c:\windows\QTFont.qfn
c:\windows\QTFont.for

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение
Сделайте новый лог Hijackthis.

Rexfist 17-12-2008 01:43 982515

Вложений: 3
Карантин AVZ:

Украшалки удалил, SP3 поставил.
Проверка системных файлов на вирусы:
http://www.virustotal.com/ru/analisi...3939a87b153611
http://www.virustotal.com/ru/analisi...541685ffeee15b
http://www.virustotal.com/ru/analisi...4a19988bc6fa38
http://www.virustotal.com/ru/analisi...c5f241ca0878cf
C:\WINDOWS\System32\preh - не знаю,что это.Но удалилось без проблем.

Rexfist 17-12-2008 08:31 982624

Проблема решена. Правда,не знаю,как именно. В одном уверен точно - дело было не в кривом сервис паке, т.к. даже с официальным при запуске системы вылетала данная папка. Pili еще раз спасибо за Ваши советы.

Pili 17-12-2008 09:16 982656

Файлы
Цитата:

c:\windows\system32\flvDX.dll
c:\windows\system32\msfDX.dll
c:\windows\system32\nbDX
рекомендую запаковать с паролем virus и отправить на анализ по адресу newvirus@kaspersky.com

По логу HJT можете пофиксить строчки
Код:

O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Они остались от сборки (имхо кривой)
По логам больше придраться не к чему.
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection
Malware Removal and Prevention Overview

Rexfist 18-12-2008 16:40 984181

Результаты проверки:
читать дальше »
Цитата:

newvirus@kaspersky.com кому: мне
Hello,
flvDX.dll, msfDX.dll
No malicious code were found in these files.
nbDX.dll - Trojan-Clicker.Win32.BHO.bp
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Pili 18-12-2008 17:09 984202

Rexfist, отлично :) свежий зловред.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:

File::
C:\WINDOWS\system32\nbDX.dll

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение.
Скачайте OTViewIt сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

Rexfist 22-12-2008 08:18 986826

Вложений: 3
Обновил базы Касперского,через пару часов после отправки вируса на эл. почту newvirus@kaspersky.com и просканил system32. Нашло и удалило nbDX.dll :)

Pili 22-12-2008 09:07 986852

Цитата:

Цитата Rexfist
Нашло и удалило nbDX.dl »

В папке C:\WINDOWS\system32 ? В вы CFScript.txt не выполняли?
Можете ещё проверить файлы на virustotal.com или virscan.org
Цитата:

C:\Progr_.dll
C:\WINDOWS\meta4.exe
C:\WINDOWS\x2.64.exe
C:\WINDOWS\MOTA113.exe
C:\WINDOWS\System32\RLSpeexDec.ax
C:\WINDOWS\System32\CoreAAC.ax
C:\WINDOWS\System32\ac3DX.ax
C:\WINDOWS\System32\aac_parser.ax


Время: 12:04.

Время: 12:04.
© OSzone.net 2001-