Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Мышка зависает или бешено открывает все что может. (http://forum.oszone.net/showthread.php?t=243559)

micro8 28-09-2012 13:38 1996089
Мышка зависает или бешено открывает все что может.
 
Мышка зависает или бешено открывает все что может.
Пк стал тормозить.
Стоит антивирус Касперский, COMODO Internet Security, Malwarebytes Anti-Malware, Spybot - Search & Destroy, проверил всеми и бесплатным сканером доктор веб - пк чист.

в OTL by OldTimer вставил такой код:


Код:
netsvcs
msconfig
safebootminimal
safebootnetwork
"%WinDir%\$NtUninstallKB*$." /30
C:\Program Files\Common Files\ComObjects\*.* /s
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%ProgramData%\*.*
%CommonProgramFiles%\*.*
%PROGRAMFILES%\*.*
%systemroot%\system32\config\systemprofile\AppData\Local\*.*
%windir%\SysWOW64\config\systemprofile\AppData\Local\*.*
%windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.*
%windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.*
%windir%\temp\*.*
%windir%\system32\*.
%windir%\sysnative\*.
%Temp%\smtmp\1\*.*
%Temp%\smtmp\2\*.*
%Temp%\smtmp\3\*.*
%Temp%\smtmp\4\*.*
%systemroot%\system32\DBBK\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /90
%systemroot%\syswow64\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
%systemroot%\*. /rp /s
%systemroot%\assembly\tmp\*.* /S /MD5
%systemroot%\assembly\temp\*.* /S /MD5
%systemroot%\assembly\GAC_32\*.* /S /MD5
%systemroot%\assembly\GAC_64\*.* /S /MD5
%SystemRoot%\assembly\GAC_MSIL\*.* /S /MD5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s
HKEY_CURRENT_USER\Software\MSOLoad /s
bcdedit /enum all /v >C:\boot.txt /c
>C:\commands.txt echo list vol /raw /hide /c
/wait
>C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c
/wait
type c:\diskreport.txt /c
/wait
erase c:\commands.txt /hide /c
/wait
erase c:\diskreport.txt /hide /c
/md5start
explorer.exe
lsass.exe
svchost.exe
wininit.exe
winlogon.exe
userinit.exe
atapi.sys
iaStor.sys
serial.sys
volsnap.sys
disk.sys
redbook.sys
i8042prt.sys
afd.sys
netbt.sys
csc.sys
tcpip.sys
dfsc.sys
hlp.dat
str.sys
crexv.ocx
/md5stop
Код:
в OTL by OldTimer вставил такой код: netsvcs msconfig safebootminimal safebootnetwork "%WinDir%\$NtUninstallKB*$." /30 C:\Program Files\Common Files\ComObjects\*.* /s %SYSTEMDRIVE%\*.* %USERPROFILE%\*.* %USERPROFILE%\AppData\Local\*.* %USERPROFILE%\AppData\Roaming\*.* %ProgramData%\*.* %CommonProgramFiles%\*.* %PROGRAMFILES%\*.* %systemroot%\system32\config\systemprofile\AppData\Local\*.* %windir%\SysWOW64\config\systemprofile\AppData\Local\*.* %windir%\ServiceProfiles\LocalService\AppData\Local\Temp\*.* %windir%\ServiceProfiles\NetworkService\AppData\Local\Temp\*.* %windir%\temp\*.* %windir%\system32\*. %windir%\sysnative\*. %Temp%\smtmp\1\*.* %Temp%\smtmp\2\*.* %Temp%\smtmp\3\*.* %Temp%\smtmp\4\*.* %systemroot%\system32\DBBK\*.* /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\syswow64\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /90 %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\syswow64\drivers\*.sys /90 %systemroot%\syswow64\drivers\*.sys /lockedfiles %systemroot%\system32\Spool\prtprocs\w32x86\*.dll %systemroot%\*. /rp /s %systemroot%\assembly\tmp\*.* /S /MD5 %systemroot%\assembly\temp\*.* /S /MD5 %systemroot%\assembly\GAC_32\*.* /S /MD5 %systemroot%\assembly\GAC_64\*.* /S /MD5 %SystemRoot%\assembly\GAC_MSIL\*.* /S /MD5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C857801-7381-11CF-884D-00AA004B2E24} /s HKEY_CURRENT_USER\Software\MSOLoad /s bcdedit /enum all /v >C:\boot.txt /c >C:\commands.txt echo list vol /raw /hide /c /wait >C:\DiskReport.txt diskpart /s C:\commands.txt /raw /hide /c /wait type c:\diskreport.txt /c /wait erase c:\commands.txt /hide /c /wait erase c:\diskreport.txt /hide /c /md5start explorer.exe lsass.exe svchost.exe wininit.exe winlogon.exe userinit.exe atapi.sys iaStor.sys serial.sys volsnap.sys disk.sys redbook.sys i8042prt.sys afd.sys netbt.sys csc.sys tcpip.sys dfsc.sys hlp.dat str.sys crexv.ocx /md5stop

regist 28-09-2012 15:01 1996145
Цитата:
Цитата micro8
Стоит антивирус Касперский, COMODO Internet Security, Malwarebytes Anti-Malware, Spybot - Search & Destroy, »
удалите часть, как в фильме горец, остаться должен только один, они только конфликтуют между собой и в итоге отражается на вашей системе

83.219.128.10
83.219.128.14
8.26.56.26
156.154.70.22

какие из этих DNS вам (службе поддержке вашего провайдера) знакомы ?


220.110.012.345 port: 3456 прокси используете ?

SolarSpark 28-09-2012 15:08 1996147
мышь заменить пробовали?

лог МВАМ выкладывается после ПОЛНОГО сканирования)

micro8 28-09-2012 16:04 1996166
regist, Я не думал что это скрипт, я думал это обязательная часть выполнения, взял с сайта этого http://safezone.cc/forum/showthread.php?t=12019
это не мои, а Американские какие то
8.26.56.26
156.154.70.22
прокси у меня нет.
Мышь у меня PS/2 пробовал на USB поменять, так же.
лог МВАМ даю.

alex_sev 28-09-2012 16:15 1996170
Цитата:
Цитата regist
8.26.56.26
156.154.70.22 »
- это от Комода

А вам:
Цитата:
Цитата micro8
Я не думал что это скрипт, я думал это обязательная часть выполнения »
вот рекомендация:
Цитата:
Цитата regist
удалите часть, как в фильме горец, остаться должен только один, они только конфликтуют между собой и в итоге отражается на вашей системе »

alex_sev 28-09-2012 16:37 1996188
+ ко всему прочему:
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF - prefs.js..network.proxy.backup.ftp: ""
    FF - prefs.js..network.proxy.backup.ftp_port: 0
    FF - prefs.js..network.proxy.backup.socks: ""
    FF - prefs.js..network.proxy.backup.socks_port: 0
    FF - prefs.js..network.proxy.backup.ssl: ""
    FF - prefs.js..network.proxy.backup.ssl_port: 0
    FF - prefs.js..network.proxy.ftp: "220.110.012.345"
    FF - prefs.js..network.proxy.ftp_port: 3456
    FF - prefs.js..network.proxy.share_proxy_settings: true
    FF - prefs.js..network.proxy.socks: "220.110.012.345"
    FF - prefs.js..network.proxy.socks_port: 3456
    FF - prefs.js..network.proxy.ssl: "220.110.012.345"
    FF - prefs.js..network.proxy.ssl_port: 3456
    FF - prefs.js..network.proxy.type: 4
    O4 - HKU\S-1-5-21-1772940587-4173942393-491937752-1000..\Run: [AdobeBridge]  File not found
    MsConfig:64bit - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk -  - File not found
    MsConfig:64bit - StartUpReg: SDTray - hkey= - key= -  File not found
    MsConfig:64bit - StartUpReg: tvncontrol - hkey= - key= -  File not found
    [2009.07.14 07:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
    :Services

    :Files

    autorun.inf /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

micro8 28-09-2012 19:31 1996295
alex_sev,
Сделал, так вирусов нет у меня?

alex_sev 28-09-2012 19:35 1996298
В логах чисто.

Проверимся на уязвимости:
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

micro8 28-09-2012 21:32 1996350
готово лог

alex_sev 28-09-2012 21:46 1996355
Все чисто и гладко)

micro8 28-09-2012 21:53 1996358
alex_sev, Спасибо.


Время: 02:47.

Время: 02:47.
© OSzone.net 2001-