Это вирус блокирует доступ на сайты?

@Lady · Регистрация: 23.07.2011

Студворк — интернет-сервис помощи студентам

Уже второй день не открываются ни в одном браузуре некоторые новостные сайты (антивирусные сайты открываются). При чем через USB-модем не открываются, а через WiFi - открываются! И ещё одна странность - один единственный раз, вдруг, через USB-модем открылся без задержки один из блокируемых новостной сайт. Вопрос по существу - разве это вирус? Тогда почему через WiFi эти сайты открываются? Есть ли гипотетическая возможность, что это злой умысел мобильного оператора, чей USB-модем я юзаю?

Логи от AVZ прилагаются. Просьба мне по пунктам, что где нажимать, я с AVZ не особо.

@Katharsis · 23.07.2011, 13:58

выложите все необходимые логи
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Lady · 23.07.2011, 14:54 **[ТС]**

Сообщение от Katharsis

выложите все необходимые логи
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Вот, в RSIT сделала логи. В Gmer надо? Очень долго делается, поэтому не готов.

@Katharsis · 23.07.2011, 15:23

Сообщение от Lady

В Gmer надо?

Не надо. Можете остановить проверку и удалить gmer. Сами лог gmer вы всё равно разобрать не сможете.

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

1. Проверьте на virustotal.com:

C:\c1ce05d59b88293591c2\riprep.exe

ссылки на результат запостите здесь

2.В логе сканирования Hijackthis отметьте:

R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

нажмите "Fix checked"

а также строки, если это не ваши настройки:
стартовая страница в internet explorer:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/... d=all&pf=c mnb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jetune.ru/

Поисковый модуль

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/t... p=ZKfox000

сайт в доверенной зоне

O15 - Trusted Zone: http://software.kuaiche.com

3.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\c1ce05d59b88293591c2\riprep.exe','');
 QuarantineFile('C:\WINDOWS\system32\wmpxkt.exe','');
 QuarantineFile('-.exe','');
 QuarantineFile('C:\DOCUME~1\Neo\LOCALS~1\Temp\K97Pa1h6.sys','');
 DeleteFile('C:\DOCUME~1\Neo\LOCALS~1\Temp\K97Pa1h6.sys');
 DeleteFile('-.exe');
 DeleteFile('C:\WINDOWS\system32\wmpxkt.exe');
RegKeyParamDel('HKLM','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\wmpxkt.exe');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','PostBootReminder');
 BC_ImportAll;
ExecuteSysClean;
  BC_DeleteSvc('K97Pa1h6');
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5.сделайте повторные логи avz и rsit.

6. обновите:
adobe reader , Sun Java а так же: Adobe Flash Player, QuickTime, надстройки браузеров.

@Lady · 24.07.2011, 14:54 **[ТС]**

1) ввожу ссылку C:\c1ce05d59b88293591c2\riprep.exe в "Submit URL" http://www.virustotal.com/index.html и начинается бесконечная отправка (и через медленный usb-модем, и через быстрый WiFi), пока результата нет, может надо на ночь оставить.

2) Указанные R3, O3, R1, R0, O8, O15 отмечены и "Fix checked".

3) Указанные скрипты выполнены, файл quarantine.zip отправлен сюда http://www.oszone.net/virusnet.

4) Malwarebytes' Anti-Malware с обновленными базами нашел очень много вредоносных объектов (около 47), все ждет в карантине. Удалять? Ещё Malwarebytes' Anti-Malware во время проверки выводил всплывающий значок с уведомлением "Была предотвращена попытка доступа к вредоносному веб-сайту:.." и далее IP-адрес сайта nic.ru, который у меня не открывался, с такими же симптомами, как и новостные сайты (скриншот http://imageshost.ru/photo/17306/id758340.html). А новостные сайты открываются через раз, т.е. бывают недоступны, но бывает один раз можно открыть (именно через usb-модем, через WiFi со скоростью 1Мб/с открываются постоянно) Лог прилагается (диск F - это съемный накопитель, который я отключила до проверки, иначе время проверки сильно увеличивается).

5) Повторные логи AVZ и RSIT прилагаются.

6) Установкой приоритетных обновлений Windows XP и adobe, sun java, quick time сейчас занимаюсь. У меня несколько месяцев было отключено автоматическое обновление Windows, накопилось там немало.

Замечу, что файл hosts в папке C:\WINDOWS\system32\drivers\etc\hosts выглядит в соответствии с нормой.

@Katharsis · 24.07.2011, 15:46

Сообщение от Lady

Malwarebytes' Anti-Malware с обновленными базами нашел очень много вредоносных объектов (около 47), все ждет в карантине. Удалять?

я не говорил вам удалять всё. Далеко не всё найденное там было вредоносным. Лог повторите.

Сообщение от Lady

Замечу, что файл hosts в папке C:\WINDOWS\system32\drivers\etc\hosts выглядит в соответствии с нормой.

не трогал ваш hosts

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyParamDel('HKLM','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\wmpxkt.exe');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\wmpxkt.exe');
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится.
повторите лог rsit

Сообщение от Lady

именно через usb-модем

подключен через переходник? Уровень сигнала нормальный? Перенести в другое место комнаты пробовали?

@Lady · 24.07.2011, 22:41 **[ТС]**

Уровень сигнала usb-модема очевидно не при чем - интернет на такой же скорости, как и раньше, а раньше все эти блокируемые сайты открывались без проблем, и другие сайты, более тяжелые с графикой, сейчас открываются. Usb-провод не использую, модем подключен напрямую к usb-порту компа.

Malwarebytes' Anti-Malware сегодня показал любопытную активность. Когда я уже полчаса писала в черновик блога, т.е. просто заполняла форму в интернете, не открывая никаких страниц, без какой либо активности в интернете (никаких icq, торрентов), Malwarebytes' Anti-Malware вдруг выводит всплывающий значок "Была предотвращена попытка доступа к вредоносному сайту:...193.107.209.242 (этот неоднократно), 193.169.87.112, 117.205.48.25. Экран антивируса Avast при этом никак не отреагировал. Комп однозначно заражен, помимо этой внезапной активности, сегодня, когда я просто печатала, ни с того ни с сего два раза появился скрипящий звук, как будто нажатие клавиши вызывает звук. Раньше такого никогда не было. Кто-то удаленно взламывает мой комп?

Я пока на этапе скачивания обновлений adobe reader, java, quick time, интернет медленный все качается туго. Логи, так понимаю, нужно делать после установки обновлений.

@Katharsis · 24.07.2011, 23:07

а что у вас блокируется? сайты какой то одной тематики?

Сообщение от Lady

Malwarebytes' Anti-Malware сегодня показал любопытную активность.

Не стоит так доверять параноидальному эвристику Malwarebytes. Всегда можете перепроверить что за сайт у вас блокируется - ресурс http://2ip.ru и подобные - в помощь. Также если подозреваете утечку трафика - установите средства контроля (выбор очень большой)

Сообщение от Lady

Экран антивируса Avast при этом никак не отреагировал.

Вместе с антивирусом лучше использовать фаерволл (входит в платную версию аваст или любой другой на выбор).

Сообщение от Lady

Кто-то удаленно взламывает мой комп?

троянцы присутствуют.
Кроме этого, вам известно происхождение у вас данного ПО?

C:\c1ce05d59b88293591c2\opk\tools\x86\sy sprep.exe
C:\c1ce05d59b88293591c2\riprep.exe

теоретически легальное, но некоторые возможности удаленного управления ПК по сети имеет.

Сообщение от Lady

Логи, так понимаю, нужно делать после установки обновлений.

я вам вроде такой порядок давал:

Сообщение от Katharsis

5.сделайте повторные логи avz и rsit.
6. обновите: ...

@Lady · 25.07.2011, 20:29 **[ТС]**

Хотите верьте, хотите нет, но на ваш форум с сегодняшнего дня я зайти не могла - ни через usb-модем со своего компа, ни вставив usb-модем в другой ноутбук, ни с другим ноутбуком через WiFi. Прийдя с другим ноутбуком в WiFi и безрезультатно попытавшись открыть эту страницу на форуме, я написала об этом беспределе в блоге. Сразу после моего сообщения в блоге - ВАШ ФОРУМ ОТКРЫЛСЯ ЧЕРЕЗ WIFI БЕЗ ПРОБЛЕМ, и я пишу сюда через WiFi. Вернусь к себе - посмотрю, разблокировал ли мне билайн доступ на форум. Как я сразу не догадалась вставить usb-модем билайн в другой ноутбук и проверить. Оказалось, что на другом ноутбуке не открываются те же самые сайты! Ваш форум сегодня работал с проблемами? Думаю, ваш форум работал, как обычно, а проблемы мне создает билайн. Эти уроды и не на такое способны, я уже сталкивалась. У сайтов, которые они мне блокируют - rambler.ru, lenta.ru, nic.ru, cyberforum.ru - нет ничего общего, даже частоты посещаемости.

1) я обновила с windows update, а также adobe reader и java (qwick time новый).

2) я понятия не имею, что это такое с датой создания в 2006 г., если я покупала комп в 2009 г.:

C:\c1ce05d59b88293591c2\opk\tools\x86\sy sprep.exe
C:\c1ce05d59b88293591c2\riprep.exe

Это

C:\c1ce05d59b88293591c2\riprep.exe

удалилось вручную, а это

C:\c1ce05d59b88293591c2\opk\tools\x86\sy sprep.exe

вручную удалить не получается, к тому же пишет, что якобы "папка opk пуста". Как это удалить? Я ничего не понимаю в логах, просьба указать на другие подозрительные объекты, чтобы их тоже грохнуть.

3) в компе исчезла очень необходимая функция поиска по компьютеру (которая с помощником-собачкой). Теперь "поиск" выглядит так: http://imageshost.ru/sphoto/217.118.66.105/763555 Как бы мне вернуть как было?

4) Новые логи здесь. RSIT нет, т.к. не было возможности весь день зайти на форум и скопировать нужный скрипт перед выполнением лога.

@Katharsis · 25.07.2011, 20:45

Сообщение от Lady

Хотите верьте, хотите нет, но на ваш форум с сегодняшнего дня я зайти не могла - ни через usb-модем со своего компа, ни вставив usb-модем в другой ноутбук, ни с другим ноутбуком через WiFi. Прийдя с другим ноутбуком в WiFi и безрезультатно попытавшись открыть эту страницу на форуме, я написала об этом беспределе в блоге. Сразу после моего сообщения в блоге - ВАШ ФОРУМ ОТКРЫЛСЯ ЧЕРЕЗ WIFI БЕЗ ПРОБЛЕМ, и я пишу сюда через WiFi. Вернусь к себе - посмотрю, разблокировал ли мне билайн доступ на форум. Как я сразу не догадалась вставить usb-модем билайн в другой ноутбук и проверить. Оказалось, что на другом ноутбуке не открываются те же самые сайты! Ваш форум сегодня работал с проблемами?

Никакого беспредела нет, и этот форум никогда билайном не блокировался. Сегодня доступа не было не только у вас, а вообще у всех (вероятно из за технических проблем).

Сообщение от Lady

в компе исчезла очень необходимая функция поиска по компьютеру (которая с помощником-собачкой).

Не удивительно, вернее удивительно что только она исчезла. А вот не надо удалять неизвестные вам файлы. То что вы что то удаляете сами - вы делаете на свой страх и риск. После подобных экспериментов система может вообще не загрузиться.

Сообщение от Lady

просьба указать на другие подозрительные объекты, чтобы их тоже грохнуть.

Скрипты для кого пишутся? Грохнуть всё подозрительное для чего? Так и грохните когда неть систему целиком. Ещё один эксперимент - тему закрываю и разбираетесь дальше самостоятельно.

логи щас гляну

@Lady · 25.07.2011, 21:00 **[ТС]**

В каком смысле

не надо удалять неизвестные вам файлы. То что вы что то удаляете сами - вы делаете на свой страх и риск.

? Я только это

C:\c1ce05d59b88293591c2\riprep.exe

удалила, потому что здесь мне подсказали.

@Katharsis · 25.07.2011, 21:09

из найденного malwarebytes

удалите

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Int ernet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Settings\{00A6FA F1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Settings\{07B18E A1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Settings\{07B18E A9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInterac tive (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mu ltimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

Зараженные папки:
c:\program files\funwebproducts (Adware.MyWebSearch) -> No action taken.
c:\program files\funwebproducts\screensaver (Adware.MyWebSearch) -> No action taken.
c:\program files\funwebproducts\screensaver\Images (Adware.MyWebSearch) -> No action taken.
c:\program files\funwebproducts\Shared (Adware.MyWebSearch) -> No action taken.
c:\program files\mywebsearch (Adware.MyWebSearch) -> No action taken.
c:\program files\mywebsearch\bar (Adware.MyWebSearch) -> No action taken.
c:\program files\mywebsearch\bar\History (Adware.MyWebSearch) -> No action taken.
c:\program files\mywebsearch\bar\Settings (Adware.MyWebSearch) -> No action taken.

Зараженные файлы:
c:\documents and settings\all users\документы\bjballroom.exe (PUP.Casino.Gen) -> No action taken.
c:\documents and settings\all users\документы\pacificpoker.exe (PUP.Casino) -> No action taken.
c:\documents and settings\all users\документы\smartdownload.exe (Adware.Casino) -> No action taken.
c:\documents and settings\Neo\local settings\Temp\nos7.tmp (PUP.Adware.Casino) -> No action taken.
c:\documents and settings\Neo\local settings\Temp\~nsu.tmp\mosquito.exe (Trojan.Dropper) -> No action taken.
c:\program files\msn messenger\msimg32.dll (PUP.FunWebProducts) -> No action taken.
c:\program files\msn messenger\riched20.dll (PUP.FunWebProducts) -> No action taken.
c:\program files\mywebsearch\bar\History\search3 (Adware.MyWebSearch) -> No action taken.
c:\program files\mywebsearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> No action taken.

лог повторите. сделайте лог rsit.
Сеть заработала? Кроме неработающего поиска что то ещё беспокоит?

@Lady · 25.07.2011, 21:35 **[ТС]**

Логи RSIT после выполнения скрипта

Code
1
2
3
4
5
6
7
8
9
10
11
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 RegKeyParamDel('HKLM','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\wmpxkt.exe');
 BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\wmpxkt.exe');
BC_Activate;
RebootWindows(true);
end.

и после удаления заразы из карантина. У меня сегодня днем сайты не открывались, сейчас открываются. Вчера примерно так же было, поэтому по наблюдениям завтра-послезавтра смогу сказать, осталась ли проблема.

@Katharsis · 25.07.2011, 22:18

Сообщение от Katharsis

лог malwarebytes повторите.

щипцами из вас вытягивать всё по капле нужно?

Если лога снова не будет, Lady, закрою тему по причине "отказ от выполнения рекомендаций хелпера" и оставайтесь при своих троянцах или обращайтесь в сервисный центр.

@Lady · 26.07.2011, 12:08 **[ТС]**

С утра сайты не открываются. Теперь неоткрывшаяся страница в Chrome выглядит иначе (руссский текст сменился на английский): http://imageshost.ru/photo/53248/id765339.html. Через этот usb-модем на другом компе открываются, значит все-таки вирусы, а не билайн.

Вот сегодняшний лог Malwarebyte. Там ничего не найдено, я из карантина ещё не восстановила 1 keygen и 2 документа, которых не было в списке к удалению.

@Katharsis · 26.07.2011, 13:24

1. скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\McAfee\\Managed VirusScan\\Agent\\myAgtSvc.exe"="C:\\Program Files\\McAfee\\Managed VirusScan\\Agent\\myAgtSvc.exe:*:Enabled:Managed Services Agent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live Sync"
"C:\\Program Files\\ICQ7.2\\ICQ.exe"="C:\\Program Files\\ICQ7.2\\ICQ.exe:*:Enabled:ICQ7.2"
"C:\\Program Files\\ICQ7.2\\aolload.exe"="C:\\Program Files\\ICQ7.2\\aolload.exe:*:Enabled:aolload.exe"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]
"Default Engine"="C:\\WINDOWS\\system32\\jscript.dll"
"ThreadingModel"="Both"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]
"Default Engine"="C:\\WINDOWS\\system32\\jscript.dll"
"ThreadingModel"="Both"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32]
@="C:\\WINDOWS\\system32\\jscript.dll"
"ThreadingModel"="Both"

2. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

@Sfera · 26.07.2011, 13:53

строго следуйте указанием хелпера, оказывающего вам помощь. Самодеятельность не приветствуется и ведет к закрытию темы.

@Lady · 27.07.2011, 00:24 **[ТС]**

Изменения в реестр указанным способом я внесла. После перезагрузки, перед вводом пароля к Windows, теперь показывается какое-то странное серое окошко с несколькими непонятными буквами и кнопкой "Ок", и ещё у меня теперь не работает usb-модем ((( Программа запускается, а подключения не происходит. Пробовала другой usb-модем билайн, который в моем компе раньше подключался - то же самое. Если проблема в файлах моего компа, на что указывает отказ подключаться обоих модемов, то не понятно, почему, когда я вставила модем в другой комп с Windows7 (в другом компе этот модем тоже уже использовался), то другой комп почему-то начал установку какого-то драйвера, и было сообщение о необходимости перезагрузки компа. Только после перезагрузки другого компа с Windows7, модем работает в другом компе как и раньше. Переустановка программы для модема в моем компе не помогла(( Странность с переустановкой - не было автозапуска, т.к. установка должна начинаться автоматически при появлении нового модема в компе, в этот раз пришлось запускать вручную.

Запустила программу ComboFix. Появилось сообщение:

"This machine does not have the "Microsoft Windows recovery console installed. Alternately, an existing installation of the recovery console may be present but requires updating.

Without it, ComboFix shall not attempt the fixing of some serious infections."

Продолжать без recovery console?

Для меня приоритет восстановить работу usb-модема, а вирусы менее приоритетны. Интернет очень необходим, сделайте что-нибудь. Поиск по файлам не восстановлен. Похоже появление этого серого окошка перед загрузкой Windows и внезапные проблемы с подключением модема к интернету как-то связаны.

@Katharsis · 27.07.2011, 00:29

Сообщение от Lady

Для меня приоритет восстановить работу usb-модема, а вирусы менее приоритетны

а вы не думали что одно может иметь прямую связь с другим?

лог combofix где?

@Lady · 27.07.2011, 01:27 **[ТС]**

Сообщение от Katharsis

а вы не думали что одно может иметь прямую связь с другим?

лог combofix где?

Я предлагаю сначала исправить то, что мы сами сломали - поиск, интернет - а потом продолжать с вирусами. Почему рекомендации на этом форуме привели к таким последствиям? Я же принимаю рекомендации не от кого попало, а от модератора с высоким уровнем репутации. Интернет вышел из строя сразу после действий с реестром (точнее перезагрузки), вирусы до этого интернет не трогали.

Лога combofix нету, чтобы по причине "отказа от выполнения рекомендаций хелпера", меня не оставили наедине с поломанным компом, из-за того, что я нажму "продолжить", а надо было спросить, что нажимать, раз уж combofix перед дилеммой.

Новые блоги и статьи Все статьи Все блоги /
Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.
Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .	Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	23.07.2011, 13:58
	выложите все необходимые логи Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Lady 0 / 0 / 0 Регистрация: 23.07.2011 Сообщений: 21
	24.07.2011, 22:41 [ТС]
	Уровень сигнала usb-модема очевидно не при чем - интернет на такой же скорости, как и раньше, а раньше все эти блокируемые сайты открывались без проблем, и другие сайты, более тяжелые с графикой, сейчас открываются. Usb-провод не использую, модем подключен напрямую к usb-порту компа. Malwarebytes' Anti-Malware сегодня показал любопытную активность. Когда я уже полчаса писала в черновик блога, т.е. просто заполняла форму в интернете, не открывая никаких страниц, без какой либо активности в интернете (никаких icq, торрентов), Malwarebytes' Anti-Malware вдруг выводит всплывающий значок "Была предотвращена попытка доступа к вредоносному сайту:...193.107.209.242 (этот неоднократно), 193.169.87.112, 117.205.48.25. Экран антивируса Avast при этом никак не отреагировал. Комп однозначно заражен, помимо этой внезапной активности, сегодня, когда я просто печатала, ни с того ни с сего два раза появился скрипящий звук, как будто нажатие клавиши вызывает звук. Раньше такого никогда не было. Кто-то удаленно взламывает мой комп? Я пока на этапе скачивания обновлений adobe reader, java, quick time, интернет медленный все качается туго. Логи, так понимаю, нужно делать после установки обновлений. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	25.07.2011, 21:09
	из найденного malwarebytes удалите Зараженные ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> No action taken. HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> No action taken. HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Int ernet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Settings\{00A6FA F1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Settings\{07B18E A1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Settings\{07B18E A9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Win dows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\FocusInterac tive (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\In ternet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mu ltimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken. Зараженные папки: c:\program files\funwebproducts (Adware.MyWebSearch) -> No action taken. c:\program files\funwebproducts\screensaver (Adware.MyWebSearch) -> No action taken. c:\program files\funwebproducts\screensaver\Images (Adware.MyWebSearch) -> No action taken. c:\program files\funwebproducts\Shared (Adware.MyWebSearch) -> No action taken. c:\program files\mywebsearch (Adware.MyWebSearch) -> No action taken. c:\program files\mywebsearch\bar (Adware.MyWebSearch) -> No action taken. c:\program files\mywebsearch\bar\History (Adware.MyWebSearch) -> No action taken. c:\program files\mywebsearch\bar\Settings (Adware.MyWebSearch) -> No action taken. Зараженные файлы: c:\documents and settings\all users\документы\bjballroom.exe (PUP.Casino.Gen) -> No action taken. c:\documents and settings\all users\документы\pacificpoker.exe (PUP.Casino) -> No action taken. c:\documents and settings\all users\документы\smartdownload.exe (Adware.Casino) -> No action taken. c:\documents and settings\Neo\local settings\Temp\nos7.tmp (PUP.Adware.Casino) -> No action taken. c:\documents and settings\Neo\local settings\Temp\~nsu.tmp\mosquito.exe (Trojan.Dropper) -> No action taken. c:\program files\msn messenger\msimg32.dll (PUP.FunWebProducts) -> No action taken. c:\program files\msn messenger\riched20.dll (PUP.FunWebProducts) -> No action taken. c:\program files\mywebsearch\bar\History\search3 (Adware.MyWebSearch) -> No action taken. c:\program files\mywebsearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> No action taken. лог повторите. сделайте лог rsit. Сеть заработала? Кроме неработающего поиска что то ещё беспокоит? 0

@Sfera 1130 / 161 / 4 Регистрация: 24.12.2010 Сообщений: 389
	26.07.2011, 13:53
	строго следуйте указанием хелпера, оказывающего вам помощь. Самодеятельность не приветствуется и ведет к закрытию темы. 0

@Lady 0 / 0 / 0 Регистрация: 23.07.2011 Сообщений: 21
	27.07.2011, 00:24 [ТС]
	Изменения в реестр указанным способом я внесла. После перезагрузки, перед вводом пароля к Windows, теперь показывается какое-то странное серое окошко с несколькими непонятными буквами и кнопкой "Ок", и ещё у меня теперь не работает usb-модем ((( Программа запускается, а подключения не происходит. Пробовала другой usb-модем билайн, который в моем компе раньше подключался - то же самое. Если проблема в файлах моего компа, на что указывает отказ подключаться обоих модемов, то не понятно, почему, когда я вставила модем в другой комп с Windows7 (в другом компе этот модем тоже уже использовался), то другой комп почему-то начал установку какого-то драйвера, и было сообщение о необходимости перезагрузки компа. Только после перезагрузки другого компа с Windows7, модем работает в другом компе как и раньше. Переустановка программы для модема в моем компе не помогла(( Странность с переустановкой - не было автозапуска, т.к. установка должна начинаться автоматически при появлении нового модема в компе, в этот раз пришлось запускать вручную. Запустила программу ComboFix. Появилось сообщение: "This machine does not have the "Microsoft Windows recovery console installed. Alternately, an existing installation of the recovery console may be present but requires updating. Without it, ComboFix shall not attempt the fixing of some serious infections." Продолжать без recovery console? Для меня приоритет восстановить работу usb-модема, а вирусы менее приоритетны. Интернет очень необходим, сделайте что-нибудь. Поиск по файлам не восстановлен. Похоже появление этого серого окошка перед загрузкой Windows и внезапные проблемы с подключением модема к интернету как-то связаны. 0