контрольная проверка - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - контрольная проверка (http://forum.oszone.net/showthread.php?t=199964)

контрольная проверка

Здравствуйте!
в системе было заражение.основу локализовал.
вижу , что остатки присутствуют. помогите "добить".
логи выкладываю в порядке исполнения.

Здравствуйте,

Сейчас проверю логи.

Какое заражение было обнаружено?

Стартовую страницу/поиск QIP сами устанавливали?

Поиск через QIP нужен?

Запустите HiJackThis, проведите процедуру сканирования заново, после чего установите галочки на этих строках и нажмите кнопку Fix checked:

Цитата:

R1- HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: (no name) - - (no file)

Восстановление системы: включено – отключите.
Отключите фаервол и антивирус.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::



Driver::



Folder::



Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List]

"6240:TCP"= -



RegLock::

[HKEY_USERS\S-1-5-21-796845957-861567501-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_UZEZMZA0\0000]



FileLook::



DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

долго не писал.видюха забарахлила.пока прожарил на время лечения.

Цитата:

Цитата Farger

Стартовую страницу/поиск QIP сами устанавливали?
Поиск через QIP нужен? »

нет.

Цитата:

Цитата Farger

Какое заражение было обнаружено? »

всего понемногу. салити был.аутораны.довнлоадеров куча.
основная проблема- ни один браузер не открывался- выдавал системную ошибку.
и при выключении компьютера синий экран с 0x......8e.

Извините за поздний ответ.

Dr.Web CureIt’ом систему проверяли?

1. Очистите временные файлы.
Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:
скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Запустите HiJackThis, проведите процедуру сканирования заново, после чего установите галочки на этих строках и нажмите кнопку Fix checked:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::



Driver::



Folder::



Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List]

"17473:TCP"=-



RegLock::

[HKEY_USERS\S-1-5-21-796845957-861567501-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]



FileLook::



DirLook::

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

5. скачайте Random's System Information Tool (RSIT) или с
зеркала. Запустите RSIT. Выберите проверку файлов за последние три месяца и нажмите продолжить. После чего программа автоматически создаст два лога log.txt и info.txt. По умолчанию они сохраняются в одноименной папке (RSIT) в корне системного диска. Прикрепите логи к вашему следующему сообщению.