Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не отражаются значки в трее (http://forum.oszone.net/showthread.php?t=164027)

majoras 19-01-2010 20:53 1324603
Не отражаются значки в трее
 
Привет!
После перезагрузки компа(WindowsXP SP3) в трее значки некоторых автозапущенных программ не отражаются. В основном одни и те же - Nod32, BitComet, Foobar и некоторые другие
Такой же беспорядок и в настройках уведомлений
Помогите, пожалуйста! :clapping:
Один файл залил на рапиду, так как сервер не принимает из-за превышения лимита
http://rapidshare.com/files/33783780...yscure.7z.html

okshef 19-01-2010 21:10 1324622
Цитата:
Цитата majoras
virusinfo_syscheck.7z »
это не тот лог. Нужны архивы из папки Log в папке программы: virusinfo_syscure.zip, virusinfo_syscheck.zip. Другие не нужны.

majoras 19-01-2010 21:38 1324642
Исправил. Прошу прощения

okshef 20-01-2010 00:23 1324731
1. Отключите антивирус/фаервол, интернет;

2. Запустие AVZ, меню "Файл" - "Выполнить скрипт" - Скопируйте ниже написанный скрипт - Нажмите кнопку "Запустить". Как выполнить скрипт AVZ.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

3. После перезагрузки выполните еще один скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пошлите файл quarantine.zip на адрес E-mail newvirus@kaspersky.com, ответ сообщите.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных далее строк и нажмите кнопку "Fix Checked"

Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Policies\Explorer\Run: [winrundull32] C:\WINDOWS\system32\svchost.exe.exe
O4 - HKCU\..\Policies\Explorer\Run: [winrundull32] C:\WINDOWS\system32\svchost.exe.exe
Повторите логи.

majoras 20-01-2010 01:38 1324765
okshef,
Вот этой строки у меня нет
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

okshef 20-01-2010 07:34 1324851
majoras, нет - и хорошо, удалилась в ходе выполнения скрипта. Доделывайте и - новый комплект логов - в студию.

majoras 20-01-2010 14:11 1325089
Цитата:
Цитата okshef
Доделывайте »
Так вроде всё сделано. Ответа от newvirus@kaspersky.com пока нет. Незнаю, когда дождусь

Цитата:
Цитата okshef
новый комплект логов - в студию »
Это имеется ввиду 1-ый пост? Или я неправильно понимаю?

okshef 20-01-2010 14:38 1325114
Цитата:
Цитата majoras
Или я неправильно понимаю? »
нужно повторить получение логов снова, предварительно можете удалить все файлы из папки Log.

majoras 21-01-2010 00:32 1325596
okshef,
Всё сделал.
Также полностью очистил папки System volume information на дисках и оставил отключенным Восстановление системы
Ответа от newvirus@kaspersky.com всё ещё нет

okshef 21-01-2010 01:03 1325607
Активно действующих заражений нет.
• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

Переименуйте файл карантина, полученный после выполнения первого скрипта.
Выполните скрипт AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\Installer\28bfbc.msi','');
 QuarantineFile('C:\Program Files\Retrospect\Retrospect 7.5\drsupp\mersthlp.exe','');
 QuarantineFile('C:\Program Files\Portable Grafika papki\Portable Grafika papki.rar','');
 QuarantineFile('C:\Program Files\Common Files\Windows Live\.cache\33ccfd9c1c9f275\fssclient_x86.msi','');
 DeleteFile('C:\Program Files\Common Files\Windows Live\.cache\33ccfd9c1c9f275\fssclient_x86.msi');
 DeleteFile('C:\Program Files\Portable Grafika papki\Portable Grafika papki.rar');
 DeleteFile('C:\WINDOWS\Installer\28bfbc.msi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

После перезагрузки выполните еще один скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пошлите файл quarantine.zip на адрес E-mail newvirus@kaspersky.com, ответ сообщите.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Будьте внимательны при удалении - MBAM очень не любит кряки и ки-гены. Откройте лог и скопируйте в сообщение.

majoras 21-01-2010 01:24 1325615
okshef,
Ошибка `BEGIN`expected в позиции 1:1
При выполнении 1-го скрипта
Временные файлы очистил

okshef 21-01-2010 07:33 1325713
Sorry, поправил.

majoras 21-01-2010 10:55 1325839
okshef,
Всё выполнил. Лог прикрепляю
Ответа от newvirus@kaspersky.com по первому запросу всё ещё нет. Второй запрос отправил

Насчёт удаления ниже представленных прошу Вашего совета, если сильно не затруднит, по каждому. Боюсь навредить системе
читать дальше »
Цитата:
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{t5tbb77l-4678-0mkc-421q-14416031dyu6} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{t5tbb77l-4678-0mkc-421q-14416031dyu6} (Password.Stealer) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.

okshef 21-01-2010 11:15 1325865
Можете смело "удалить все" (в MBAM). После удаления и перезагрузки повторите логи AVZ.

majoras 21-01-2010 12:26 1325920
Исполнил
Комп стал перегружаться как минимум в два раза быстрее
После последней перезагрузки в трее увидел почти все иконки запущенных программ. А вот Nod32 небыло
Рано похвастался. После очередной перезагрузки вижу только половину иконок

okshef 21-01-2010 12:35 1325924
А если через Пуск запустить NOD? Или переустановить...
Проверьте на http://www.virustotal.com/ файл C:\Program Files\Retrospect\Retrospect 7.5\drsupp\mersthlp.exe

majoras 21-01-2010 12:47 1325934
Проверил
http://www.virustotal.com/analisis/01ebbec3e564693e9cf258c21289e0cd0e2949bf797993cca59f8c05cc21b4cf-1260027131
Рано похвастался. После очередной перезагрузки вижу только половину иконок - Не соответствует действительности!
Сейчас экспериментирова и 5 раз подряд перезагрузил комп
Все иконки отображаются в трее!
Вашу помощь трудно переоценить.
Примите мою искреннюю благодарность
Тему я отмечу как решённую, но, перед этим ещё кое что уточню

okshef 21-01-2010 13:13 1325951
Цитата:
Цитата majoras
После очередной перезагрузки вижу только половину иконок »
Удалите TuneUp или уберите все назначенные задания для этой программы: есть у нее такой "грешок" - чистить трей. В остальном я проблем не нахожу, возможно, более опытные товарищи-хелперы вам подскажут.

majoras 21-01-2010 13:39 1325974
С TuneUp сейчас же разберусь
У меня ещё такой вопросик, скорее всего, не по теме. А вдруг - знаете ответ
При перезагрузке компа, в самом начале, когда показывается текст на чёрном фоне, на секунду появляется и исчезает надпись
BMD ERROR 3 Неуверен, что первые 3 буквы именно BMD, уж очень быстро всё происходит. А вот ERROR 3 - это точно
Вопрос такой
Может ли быть это связано с отключением Восстановление системы,так как надписи до отключения не замечал
Ещё раз огромное Вам СПАСИБО! :yahoo: :Beer:

okshef 21-01-2010 14:40 1326035
По такому описанию тяжело решить проблему, поэтому ограничимся выполненными действиями. Восстановление системы включите.


Время: 19:55.

Время: 19:55.
© OSzone.net 2001-