Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрение на вирусы (http://forum.oszone.net/showthread.php?t=250116)

PticaOgnennaya 27-12-2012 20:09 2054702
Подозрение на вирусы
 
Долго загружаются страницы.

S.R 27-12-2012 21:02 2054772
Внимание! Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и подготовьте логи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\VPets\VPets.exe','');
 QuarantineFileF('C:\Program Files\VPets', '*', true, '', 0, 0);
 DeleteFile('C:\Program Files\VPets\VPets.exe');
 DeleteFileMask('C:\Program Files\VPets', '*', true);
DeleteFileMask('C:\Program Files\VPets', '*', true);
DeleteDirectory('C:\Program Files\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После этого выполните следующий скрипт в AVZ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
________________________________________
Подготовьте лог полного сканирования Malwarebytes Anti-Malware (MBAM) => FAQ по работе с Malwarebytes Anti-Malware
Подготовьте лог AdwCleaner => Как подготовить лог AdwCleaner

Если вы не используете следующие программы, можете их удалить:
Цитата:
Guard.Mail.ru
Mail.Ru Агент 5.7
MediaGet2
________________________________________
+ выложите содержимое файла F:\autorun.inf

PticaOgnennaya 29-12-2012 17:00 2055723
После выполнения скрипта начали появляться ошибки работы explorer.exe. В данный момент explorer спустя некоторе время удалось запустить через диспетчер задач.

ошибка появляется при открытии папок. Ошибка следующая Explorer.exe - ошибка приложения. Инструкция по адресу "0x77f68434" обратилась к памяти по адресу "0x00700074". Память не может быть "read".

А так же такого плана.

PticaOgnennaya 29-12-2012 17:11 2055738
Вот логи.

PticaOgnennaya 29-12-2012 17:29 2055742
Вот еще логи

PticaOgnennaya 29-12-2012 17:30 2055743
F:\autorun.inf - файл созданный Panda USB Vaccine.

thyrex 29-12-2012 18:05 2055771
Запустите полное сканирование МВАМ, после его окончания отметьте все пункты, кроме
Код:
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.


C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\обои\desantura_nikto_krome_nas_[0108_iz_8]_2009_dvdriptorrent_id2861279id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\обои\princ_persii_peski_vremeni__prince_of_persia_the_sands_of_time_2010_bdrip_1080ptorrent_id4052758id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
и нажмите кнопку Удалить

PticaOgnennaya 29-12-2012 22:39 2055971
Выполнил. Логи нужны?

iskander-k 29-12-2012 23:01 2055985
Да .

Обновите базы и повторите логи.

PticaOgnennaya 30-12-2012 00:04 2056005
Логи AVZ и Rsit, я пологаю?

SolarSpark 30-12-2012 09:20 2056082
Цитата:
Цитата PticaOgnennaya
Логи AVZ и Rsit, я пологаю? »
правильно полагаете

PticaOgnennaya 31-12-2012 19:36 2056744
Вот еще логи.

regist 31-12-2012 20:13 2056756
Код:
C:\Program Files\VPets\VPets.exe
зверюшек сами ставили ?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

PticaOgnennaya 05-01-2013 19:47 2059756
Лог отправил.

Цитата:
Цитата regist
зверюшек сами ставили ? »
Не уверен.

SolarSpark 06-01-2013 08:25 2060033
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
if MessageDLG('Если вы НЕ устанавливали программу VPets, нажмите "да"', mtConfirmation, mbYes+mbNo, 0) = 6 then
 DeleteFile('C:\Program Files\VPets\VPets.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\VPetsPlayer');
 DeleteFileMask('C:\Program Files\VPets', '*.*', true);
 DeleteDirectory('C:\Program Files\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

PticaOgnennaya 15-01-2013 21:16 2067594
Не помогло, в итоге снес винду. Спасибо.


Время: 19:27.

Время: 19:27.
© OSzone.net 2001-