23 ответов в этой теме

[oldmike]

Господа, товарищи, люди и прочие. Помогите!
Вчера возникла проблема - мозилла на полэкрана вывесила порнобаннер. Ну я, как истинный ламер, попытался побороться, сутки угробил - баннер исчез, но при загрузке компа (только сегодня обнаружил, я его очень редко перезагружаю), появляется рабочий стол, грузятся приложения, потом он исчезает и заново появляется. При этом в правом нижнем углу экрана (забыл я, как это называется) пропали значки дрвеба гвард и майл, ну и несколько других. По контрол-алт-дел процессы идут, но значков нет, опять же, изредка не появляются владельцы процессов. Полную проверку прошел, все чисто (извините, но дрвеб - единственная программа, за которую я плачу, все остальное левое ). Возможно, я чего-то не понимаю? И, пожалуйста, не надо стандартных комментов - не надо по порносайтам бродить. Это я давно знаю.
Система Windows XP SP3 английская (левая), обновляю онлайн постоянно.
 screen.jpg   180,19К   93 Скачано раз
Проошу прощения, сейчас сделаю логи по Правилам, но это займет часов шесть времени. Пока прилагаю лог хайджека и еще одну забавную штуку, которую только что увидел.
 screen1.jpg   127,48К   88 Скачано раз
Это уже весьма неприятно, особенно если в корзине несколько файлов, и она напишет "вы действительно хотите удалить все файлы из корзины" .
Возможно, вам это поможет, пока полная проверка проводится. Хочется, все-таки, побыстрее от этого избавиться, самому плохо и других не заражать.
 screen2.jpg   146,53К   92 Скачано раз
 hijackthis.log   12,84К   187 Скачано раз  RKU.txt   160,19К   111 Скачано раз  cureit_results.cab   113,96К   64 Скачано раз

Сообщение было изменено oldmike: 17 Июль 2009 - 07:47

[pig]

А что в корзие-то было?

[SergM]

1. У Вас установлена старая версия DrWeb. Если Вы делаете лог DrWeb по правилам старой версией DrWeb, то этого делать не нужно. Скачайте свежий CureIt! и сделайти лог по правилам с ним. Впоследствии скачайте и установите новую версию DrWeb 5.0 - переход бесплатный.
2. Пока навскидку откройте блокнотом файл hosts C:\WINDOWS\system32\drivers\etc и уберите из него вот эти строки:
Hosts: 91.212.198.20 vkontakte.ru
Hosts: 91.212.198.20 mail.yandex.ru
Hosts: 91.212.198.20 odnoklassniki.ru
Hosts: 91.212.198.20 www.vkontakte.ru
Hosts: 91.212.198.20 vkontakte.ru
Hosts: 91.212.198.20 mail.yandex.ru
Hosts: 91.212.198.20 odnoklassniki.ru
Оставьте только строку 127.0.0.1 localhost
3. И ждём лог CureIt! по правилам.

[oldmike]

[quote name='SergM' date='17/07/2009 06:42' post='319230']
1. У Вас установлена старая версия DrWeb.

Простите, но я перед тем как запустить дрвеб, обновил его. Если надо было скачать новую версию, написали бы письмо, я, все-таки, зарегистрированный пользователь
Спасибо за предварительный совет, уже делаю. О результатах напишу.

[oldmike]

А что в корзие-то было?

Так я ж скрин экрана дал! Пустая корзина.

Кстати, обновляю в 8.33 Уже надпись "Вы действительно хотите удалить все файлы?" Похоже, кто-то из сети управляет моим компом.

[oldmike]

[quote name='SergM' date='17/07/2009 06:42' post='319230']

3. И ждём лог CureIt! по правилам.

хост и хост1 очистил. лог быстрой проверки CureIt кладу в первое сообщение, чтобы все в одном месте было. Полную проверку запустил, но это время нужно - 140 Гб.
Кстати, нажимаю кнопку реплай, а ответы в основной ветке появляются.

[oldmike]

[quote name='SergM' date='17/07/2009 06:42' post='319230']

Не могу Пытаюсь добавить drweb.csv в основной пост, но не добавляется. Сюда тоже не добавляется. Мои действия?

[SergM]

Ваши действия: внимательно прочитать правила и аккуратно их выполнить. Тип файлов *.csv не разрешен к прикреплению на форуме. Откуда Вы вобще взяли drweb.csv?

[oldmike]

Ваши действия: внимательно прочитать правила и аккуратно их выполнить. Тип файлов *.csv не разрешен к прикреплению на форуме. Откуда Вы вобще взяли drweb.csv?

Запустил CureIt, он сделал быструю проверку, я нажал на Файл/Сохранить отчет, мне, как полагается, выдали окошко, имя файла drweb, стандартное расширение .csv Ну я ж не знаю. Как вы говорите, так я и делаю.

[SergM]

oldmike
Почему Вы не хотите прочитать и выполнить правила?
Прочтите хотя бы отрывок из них здесь:

Скачайте свежий CureIt - это будет файл размером около 14 Мб со случайным именем и расширением exe, например 996w5s78.exe . Создайте папку C:\TEST, скопируйте в нее файл CureIt, переименуйте его в xyz.pif. Скачайте прилагаемый файл-архив cureit_scan.zip (см. внизу страницы правил), распакуйте в C:\TEST все файлы, запустите cureit-scan.bat - запустится CureIt. Все найденное - лечить, неизлечимое - перемещать. По окончании проверки закройте сканер, закройте окно CureIt, при этом CureIt запустится снова, но с другими параметрами. В файл прописаны три запуска CureIt. Если будут найдены вирусы и запрошена перезагрузка - соглашайтесь. После перезагрузки снова запускайте cureit-scan.bat - пока не перестанет находить вирусы. Если файл cureit-scan.bat отработал нормально, у Вас папка C:\TEST будет открыта в Проводнике. В папке c:\test\ найдите файл cureit-results.cab (CAB-файл, значок шкафа ) и приложите к письму.
Примечание для тех, у кого нет диска С: - вам надо будет открыть файл cureit-scan.bat в любом текстовом редакторе и всюду заменить С: на другую букву диска, например E: , и на том же диске создать папку TEST.

После проверки сканером или CureIt (если проверка не удалась, подробно расскажите что не получилось) скачайте по ссылкам Хайджек (HijackThis) и РкУ (RkU, RootkitUnhooker), сделайте логи (как сделать лог Хайджек и РкУ) и прикрепите к теме.

[oldmike]

[quote name='SergM' date='17/07/2009 07:46' post='319238']
oldmike
Почему Вы не хотите прочитать и выполнить правила?

Так я сказал, что я ламер. Да еще и МФТИ закончил. Первую строчку читаю и думаю, что я уже крутой
Вы правы, выполняю досконально Правила.

[oldmike]

[quote name='SergM' date='17/07/2009 07:46' post='319238']

Сделал папку, скопировал кюра, переименовал, загрузил зип, распаковал, запустил бат, открылось окно дос, там написано системе не удалось найти раздел реестра очень много раз, запустился дрвеб, сейчас сканирует.
Выскочило сообщение "нужна перезагрузка" от 49lvh. Перегружаться?
Пока писал, выскочило во второй раз.

[SergM]

Выскочило сообщение "нужна перезагрузка" от 49lvh. Перегружаться?

Да, конечно. Следуйте правилам.

[oldmike]

Сделал. Каб лежит в основном посте. Жду...

[oldmike]

Параллельно. Если я бесплатную полную версию дрвеб 5.0 на свой лицензионный ключ положу - это правильно?

[SergM]

Если я бесплатную полную версию дрвеб 5.0 на свой лицензионный ключ положу - это правильно?

Не очень понятно про бесплатную и полную версию. При установке DrWeb 5.0 укажите путь к своему лицензионному ключевому файлу.
Если Ваш ключ поддерживает антиспам, то можете скачивать и устанавливать Секьюрити Спейс, если не поддерживает, то качайте и устанавливайте обычный антивирус DrWeb 5.0.

Сделал. Каб лежит в основном посте. Жду...

Скоро подтянутся опытные хелперы. Они и проанализируют детально Ваши логи и дадут советы по лечению.

[SergM]

Чтобы не висеть на форуме, если не сложно, отправьте по почте или

Советую подписаться на тему. Придет уведомление на e-mail. Тут советую удалить свои адреса эл. почты во избежании дальнейшего спама на Ваши почтовые ящики.

[oldmike]

Советую подписаться на тему. Придет уведомление на e-mail. Тут советую удалить свои адреса эл. почты во избежании дальнейшего спама на Ваши почтовые ящики.
[/quote]

Спамом больше, спамом меньше, все равно достает, хотя и терпимо, писем 10 в день. Но все равно удалил.
Подписаться на тему можно, но сейчас меня больше здоровье моего компа волнует. И я рассчитываю на помощь ваших спецов. Буду на форум заходить периодически.

[mrbelyash]

Пофиксить в Хайджеке строки

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo before1main
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\oembios.exe

Подозрительное имя файла
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exeC:\WINDOWS\system32\servises.exe (в вирлаб его).

На вирустотал-O4 - HKLM\..\Run: [systme] C:\WINDOWS\system32\199D.exe
От вот этого я бы избавился-O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exeC:\Program Files\Bonjour\mDNSResponder.exe
http://forum.drweb.com/index.php?showtopic=281586

[Borka]

Пофиксить в Хайджеке строки
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo before1main
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe,C:\WINDOWS\system32\oembios.exe

Затем повторить лог и убедиться, что запись F2 исчезла. Ну, или не.

Подозрительное имя файла
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exeC:\WINDOWS\system32\servises.exe (в вирлаб его).

ИМХО, можно смело фиксить.