Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Подозрение на заражение (http://forum.oszone.net/showthread.php?t=250075)

dio09 27-12-2012 05:26 2054238
Подозрение на заражение
 
Вложений: 1
Последние дни как-то странно стал вести комп, особенно сильно глючит ИЕ (не открываются ссылки через перенаправление, напр. заходим на яндекс и пишем запрос, и при нажатии на ссылку открывается новая вкладка, в ней идет переход сначала на спец страничку самого поисковика формата http://yandex.ru/clck/redir/, а потом уже на требуемый сайт. А меня же просто открывается новая вкладка. Даже без заголовка. В адресной строке остается адрес яндекса, но если нажать стоп и обновить ссылка уже с коротким адресов открывается. Если URL набирать вручную, то тоже работает. В других браузерах (Опера, Лис) все работает нормально.

S.R 27-12-2012 20:50 2054754
Подготовьте ещё логи RSIT.

dio09 28-12-2012 00:29 2054869
Вложений: 4
Запускаю RSIT. В появившимся окошке выбираю: проверку файлов за последние три месяца(3 Month) и на продолжить(Continue) и потом вылетает окошко с ошибкой, приложил скрин.
Кроме проблем с перенаправлением ссылок в ИЕ часть елементов страничек стали отображаться неверными цветами, также приложил скрин как теперь выглядят окна яндекса и гугла.

alex_sev 28-12-2012 09:23 2054953
  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.

dio09 28-12-2012 19:37 2055272
Вложений: 1
Готово!
p.s. Еще заметил такую проблемку помимо ИЕ несколько программ перестали запускать, кликаешь на exe и прога просто висит в процессах и больше ничего не происходит.

alex_sev 28-12-2012 21:34 2055315
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
    MsConfig - StartUpFolder: C:^Documents and Settings^ADMIN^Главное меню^Программы^Автозагрузка^hcgwin32.exe -  - File not found
    MsConfig - StartUpReg: bgsmsnd.exe - hkey= - key= -  File not found
    MsConfig - StartUpReg: EPSON Stylus CX3500 Series - hkey= - key= -  File not found
    @Alternate Data Stream - 244 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:10D14739
    @Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A
    @Alternate Data Stream - 136 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC
    @Alternate Data Stream - 134 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:054B9966
    @Alternate Data Stream - 100 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:66B26419
    :Services

    :Files

    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Возврат параметров Internet Explorer к значениям по умолчанию:
http://safezone.cc/forum/showthread.php?t=17232

dio09 28-12-2012 23:48 2055394
Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^Documents and Settings^ADMIN^Главное меню^Программы^Автозагрузка^hcgwin32.exe\ deleted successfully.
File C:\WINDOWS\pss\hcgwin32.exeStartup not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\bgsmsnd.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\EPSON Stylus CX3500 Series\ deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:10D14739 deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:054B9966 deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:66B26419 deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
< ipconfig /flushdns /c >
No captured output from command...
C:\Documents and Settings\ADMIN\Рабочий стол\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: ADMIN
->Temp folder emptied: 91326160 bytes
->Temporary Internet Files folder emptied: 16004991 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 229604129 bytes
->Flash cache emptied: 3823987 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56502 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 684823 bytes
->Flash cache emptied: 456 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4474362 bytes
%systemroot%\System32 .tmp files removed: 3080285 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 333,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12282012_213354

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

S.R 29-12-2012 09:24 2055520
Повторите логи OTL.

dio09 30-12-2012 03:23 2056064
Вложений: 1
Логи OTL

regist 30-12-2012 14:20 2056192
что сейчас с проблемами ?

dio09 31-12-2012 02:28 2056471
С ИЕ все по старому, без изменений. Редирект так и не заработал.
Программы которые висели в процессах, переустановил еще их раз поверху - теперь запускаются как положено.

S.R 02-01-2013 18:15 2057594
Попробуйте следующее:
Как изменить стартовую страницу в браузере
Возврат параметров Internet Explorer к значениям по умолчанию


Время: 21:27.

Время: 21:27.
© OSzone.net 2001-