Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   после удаления Байду осталось два ключа в реестре которые ни как не могу удалить (http://forum.oszone.net/showthread.php?t=298650)

berligostr 20-04-2015 11:58 2498259
после удаления Байду осталось два ключа в реестре которые ни как не могу удалить
 
ни как не поддаются удалению два ключа в реестре рекомендованные к очистке AdwCleaner, прошу подсказать дальнейшие действия:

# AdwCleaner v4.201 - Отчёт создан 20/04/2015 в 11:26:35
# Обновлено 08/04/2015 by Xplode
# База данных : 2015-04-19.4 [Сервер]
# Операционная система : Windows 7 Professional Service Pack 1 (x86)
# Пользователь : KusyakinKN - KRD28
# Запущено из : C:\Users\KusyakinKN\Downloads\adwcleaner_4.201.exe
# Режим : Сканировать

***** [ Службы ] *****


***** [ Файлы / Папки ] *****


***** [ Назначенные задания ] *****


***** [ Ярлыки ] *****


***** [ Реестр ] *****

Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{91397D20-1446-11D4-8AF4-0040CA1127B6}
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}

***** [ веб браузеры ] *****

-\\ Internet Explorer v0.0.0.0


-\\ Mozilla Firefox v


-\\ Chromium v

regist 20-04-2015 12:20 2498265
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

+ программы от яндекса, а в частности яндекс тулбар используете?

berligostr 20-04-2015 13:30 2498281
да яндекс тулбар использую.
не могу подкрепить файл логов, форум выдал сообщение:
AutoLogger.zip:
Ваш файл объемом 11.14 Mb превышает предел в 8.00 Mb, установленный на форуме для этого типа файлов.
поэтому даю ссылку на файл:
https://yadi.sk/d/8BxzeVQJg7G3T

regist 20-04-2015 13:59 2498291
Цитата:
Цитата berligostr
да яндекс тулбар использую. »
это от него CLSID-ы. Так если вы им пользуетесь и удалять его не собираетесь, то удалять их не надо :).

Цитата:
Цитата berligostr
AutoLogger.zip:
Ваш файл объемом 11.14 Mb превышает предел в 8.00 Mb, установленный на форуме для этого типа файлов.
поэтому даю ссылку на файл: »
потому что вы целиком папку AutoLogger прикрепляете вместо логов, а нужно было только CollectionLog-2015.04.20-13.21.zip

Skype Click to Call - советую деинсталировать.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\KusyakinKN\appdata\roaming\newsi_650\', '*', true, '', 0 , 0);
 QuarantineFile('C:\Users\KusyakinKN\appdata\roaming\newsi_650\s_inst.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\Puntо Switсhеr.lnk', '');
 QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\яндекс.ƒиск\—криншоты в яндекс.ƒиске.lnk', '');
 QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\яндекс.ƒиск\яндекс.ƒиск.lnk', '');
 QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе —hrоmе.lnk', '');
 QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе —hrоmе.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\ƒневник.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\Ќастройка раскладок.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\Ќовые возможности.lnk', '');
 QuarantineFile('C:\PROGRA~1\Yandex\PUNTOS~1\" "C:\PROGRA~1\Yandex\PUNTOS~1\WELCOM~1.URL', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\яндекс\Punto Switcher\—правка.lnk', '');
 QuarantineFile('C:\Program Files\punto.bat', '');
 QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
 QuarantineFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskStarter.bat', '');
 QuarantineFile('C:\Program Files\Google\chrome.bat', '');
 QuarantineFile('C:\Program Files\diary.bat', '');
 QuarantineFile('C:\Program Files\layouts.bat', '');
 QuarantineFile('C:\Program Files\WelcomeToPunto.bat', '');
 QuarantineFile('C:\Program Files\ps.bat', '');
 DeleteFile('C:\Program Files\Google\chrome.bat', '32');
 DeleteFile('C:\Users\KusyakinKN\appdata\roaming\newsi_650\s_inst.exe', '32');
 DeleteFile('C:\Program Files\punto.bat', '');
 DeleteFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
 DeleteFile('C:\Users\KusyakinKN\AppData\Roaming\YandexDiskStarter.bat', '');
 DeleteFile('C:\Program Files\Google\chrome.bat', '');
 DeleteFile('C:\Program Files\diary.bat', '');
 DeleteFile('C:\Program Files\layouts.bat', '');
 DeleteFile('C:\Program Files\WelcomeToPunto.bat', '');
 DeleteFile('C:\Program Files\ps.bat', '');
 DeleteFileMask('C:\Users\KusyakinKN\appdata\roaming\newsi_650\', '*', true);
 DeleteDirectory('C:\Users\KusyakinKN\appdata\roaming\newsi_650\');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

berligostr 20-04-2015 14:08 2498297
Вложений: 1
Цитата:
Цитата regist
Цитата berligostr:
да яндекс тулбар использую. »
это от него CLSID-ы. Так если вы им пользуетесь и удалять его не собираетесь, то удалять их не надо .
Цитата berligostr:
AutoLogger.zip:
Ваш файл объемом 11.14 Mb превышает предел в 8.00 Mb, установленный на форуме для этого типа файлов.
поэтому даю ссылку на файл: »
потому что вы целиком папку AutoLogger прикрепляете вместо логов, а нужно было только CollectionLog-2015.04.20-13.21.zip »
исправляюсь)))
в процессе исполнения скрипта логирования увидел кучу дополнительного УЖОСА.. что дальше?

regist 20-04-2015 15:23 2498322
berligostr, вы скрипт и остальное написанное в предудущем посте выполняли? Выполните и потом сделайте свежие логи.

berligostr 20-04-2015 17:19 2498364
Вложений: 2
Ваши рекомендации выполнены:

Цитата:
Цитата regist
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.
Подробнее читайте в этом руководстве. »
файл virusinfo_auto_KRD28.zip отправлен
MD5: E759A2DE7294C36AB24A4B43A8556932

Файл quarantine.zip отправлен (система просто написала "Ваше сообщение отправлено")

Логи ClearLnk и CollectionLog во вложении

Удалить в adwcleaner.exe выполнено

regist 20-04-2015 19:36 2498414
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

после этого сделайте свежий лог http://safezone.cc/resources/check-b...as-regist.122/

berligostr 21-04-2015 10:04 2498591
Вложений: 2
Цитата:
Цитата regist
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
после этого сделайте свежий лог http://safezone.cc/resources/check-b...as-regist.122/ »

regist 21-04-2015 14:59 2498715
Для порядка ещё

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\KusyakinKN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Konstantin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

проблем больше нет?

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

berligostr 21-04-2015 16:55 2498772
Вложений: 1
Сделано.
Проблем на текущий момент не вижу.
Систему обновил по рекомендациям AVZ.
Спасибо за оперативность.

berligostr 22-04-2015 09:37 2499061
Появились сообщения от symantec:

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh2c99.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:04

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh57bf.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:09

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh67a7.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:13

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh79a2.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:17

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwh929f.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:24

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwha48b.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:28

Scan type: Auto-Protect Scan
Event: Risk Found!
Security risk detected: Trojan.Gen.2
File: C:\ProgramData\Symantec\DefWatch.DWH\dwhd434.exe
Location: C:\ProgramData\Symantec\DefWatch.DWH
Computer: KRD28
User: система
Action taken: Pending Side Effects Analysis : Access denied
Date found: 22 апреля 2015 г. 4:56:40

и так далее...

regist 22-04-2015 18:38 2499350
насколько я понимаю его лог, symantec ругается на собственный файл :biggrin: , причём гугол говорит, что такая бага в нём есть с 2013 года :o .

в общем если есть желание с этим разобраться, то писать в тех. поддержку симантека.

berligostr 23-04-2015 09:13 2499532
если бы эта "ругань" появилась до начала борьбы с хламом, я бы может и не запаниковал, но такое сообщение у меня впервые, симантек используется с 12 года

regist 23-04-2015 13:47 2499702
berligostr, это связано с обновлением баз антивируса. Вы же сами по логу видите, что угрозу он видит в собственном файле. Так это в тех. поддержку антивируса.
Исправят, также наверно с обновлением баз антивируса.

Навсякий случай проверьте любой из файлов на который симантек ругается на вирустотал и дайте здесь ссылку.


Время: 11:39.

Время: 11:39.
© OSzone.net 2001-