вторник, 17 июня 2014
06:56

все записи пользователя в сообществе ВэЭс
Здравствуйте, подскажите пожалуйста что это и что с этим можно сделать, можно ли удалить, появляется через некоторое время после загрузки компьютера
и это тоже

В программах есть, как мне кажется, две подозрительные, они обведены. Но не уверена. Скажите, пожалуйста, можно ли их удалить, точно ли это вредоносные файлы.


Антивирус ничего не находит.

URL
Комментарии
17.06.2014 в 08:24

Trotil
sourceforge.net/projects/hjt/

Скачайте, запустите.
Нажмите на кнопку "Do a system scan and save a logfile". Лог - в тему.
URL
17.06.2014 в 08:39

ВэЭс
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 9:38:02, on 17.06.2014
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

читать дальше
Trotil, вот что получилось
URL
17.06.2014 в 08:40

ВэЭс
Trotil, продолжение читать дальше
URL
17.06.2014 в 09:02

ВэЭс
извините, если нужно было так files.mail.ru/344C9346765B4DF08DCE8C078D67F6F1
URL
17.06.2014 в 11:04

Trotill
Аккаунт для использования в публичных местах. Основной ник - Trotil.
Так-с...
Те обведённые программы скорей всего и есть источники этих окошек.
Одна из них GoforFiles Updater - GFF - ничего в ней хорошего нет...
Удалите через "установку и удаление программ".


Удалите через HiJackThis следующие пункты:

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Пунктики O8 "Найти с помощью рамблера" - если вы этим не пользуетесь...

O23 - Service: Update TowerTilt - Unknown owner - C:\Program Files\TowerTilt\updateTowerTilt.exe (file missing)




удаление происходит так:
- запускаете hijackthis от имени администратора
- сканируете
- отмечаете галочками нужные пункты и нажимаете Fix checked.

Перезагружаетесь, смОтрите, что вышло.
URL
17.06.2014 в 11:30

ВэЭс
Trotill, спасибо большое:red: но я не знаю как запустить файл от имени администратора
URL
17.06.2014 в 11:40

Trotill
Аккаунт для использования в публичных местах. Основной ник - Trotil.
А! в winXP это вроде бы и не требуется, забыл.
Запускайте так.
URL
17.06.2014 в 12:46

ВэЭс
Trotill, удалила через программу все указанные пункты кроме пункта 08, пока ничего не изменилось, это окно снова выходит через несколько минут после включения компьютера
URL
17.06.2014 в 13:11

Trotill
Аккаунт для использования в публичных местах. Основной ник - Trotil.
А выполните сканирование HJT в момент, когда то окно открыто.
Хочется узнать, что это за процесс.
URL
17.06.2014 в 13:53

ВэЭс
Trotill, вот последнее сканирование files.mail.ru/104D1850A79B4C2EBE91919E14B3C22E
URL
17.06.2014 в 14:00

ВэЭс
проблема скорей всего в этом файле, он не удаляется простым отправлением в корзину
URL
17.06.2014 в 14:15

Trotill
Аккаунт для использования в публичных местах. Основной ник - Trotil.
Не знаю, что это за программа. У вас много всяких Update, например:
C:\Documents and Settings\Admin\Local Settings\Application Data\Rambler\RamblerUpdater\RUpdate.exe
O4 - HKCU\..\Run: [Rambler Update] C:\Documents and Settings\Admin\Local Settings\Application Data\Rambler\RamblerUpdater\RUpdate.exe /startscheduler
(это вам точно нужно?)

Удалите строки с FirstLogonSetting:

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')

Можно попробовать другие способы исследования.
Закройте все активные приложения, чтобы не мешались.

Когда это окошко появится, нажмите Ctrl+Shift+Esc, в колонке "приложения" найдите эту задачу, и в контекстном меню выберите "перейти к процессу". Меня интересует, что за процесс.
URL
17.06.2014 в 14:18

Trotill
Аккаунт для использования в публичных местах. Основной ник - Trotil.
он не удаляется простым отправлением в корзину

что-то его в логах вообще нет...
URL
17.06.2014 в 15:07

ВэЭс
На этот раз пока не появляется, несколько минут прошло, я сообщу если что-то изменится. Спасибо большое за помощь:)
URL
17.06.2014 в 15:14

ВэЭс
Появился какой-то файл, я его не загружала, появилось по время пользования программой hijackthis это так и должно быть?
URL
17.06.2014 в 15:29

Trotill
Аккаунт для использования в публичных местах. Основной ник - Trotil.
Появился какой-то файл

сносите смело. Это инфа для восстановления удалённого с помощью HJT.
URL
23.06.2014 в 09:11

ВэЭс
Trotill, Вы мой спаситель, спасибо большое. Прошу прощения, но у меня еще есть проблема и давняя, компьютер загружается только через Ф1, это давно и слегка не нервирует, хотя все работает вроде в норме. Сначала появляется черный экран и на нем написано



Такого не бывает если перезагружаешь компьютер. Не подскажите что с этим можно сделать.
URL
23.06.2014 в 15:45

Trotil
Проблема в предпоследней строчке. BIOS при старте замечает проблему в вентиляторе, паникует и таким образом предупреждает вас об этом.

Проблема может быть и не проблемой вовсе. Просто при холодном старте кулер медленно раскручивается. Нужно смотреть на температуру процесса в процессе работы компьютера, и если процессор не перегревается, то всё ок.
А проверку при старте можно отключить в BIOSe, зайдя в его настройки. Точное название параметра не подскажу. Но там должны фигурировать CPU Fan, и возможно, "ignore".
URL
23.06.2014 в 19:13

ВэЭс
Trotil, спасибо, надо будет разобраться
URL