Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирусы, необходимо лечение (http://forum.oszone.net/showthread.php?t=284495)

setwolk 02-07-2014 21:00 2371240
Вирусы, необходимо лечение
 
Доброго времени суток.
Начало темы вот тут forum.oszone.net/thread-284359-2.html
Прошу помощи отчистить систему от зловредов и от всякого мусора, типа вконтакте мьюзик и т.д.
Логи прилагаю.
Также прилагаю два лог файла которые появляются при запуске системы, хочется от них избавиться.
Еще лог автозагрузки, какие то 4 .exe файла лежат, откуда не понятно.

setwolk 02-07-2014 21:02 2371242
Вот

SolarSpark 03-07-2014 10:21 2371414
Винлокер в автозагрузке, сейчас пролечим.
деньги не перечисляли им?

setwolk 03-07-2014 10:35 2371421
SolarSpark,
Деньги? Не, не слышали ))))

Нет конечно, если бы был баннер, ноут принесли бы гораздо раньше.

SolarSpark 03-07-2014 10:36 2371422
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\андрей\ms.exe','');
 QuarantineFile('c:\programdata\SetWallpaper.cmd','');
 DeleteFile('C:\Users\андрей\ms.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S412143');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S21140174');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S2410671');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S1311335');
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis следующие строчки:
Код:
O4 - HKCU\..\Run: [S412143] C:\Users\андрей\ms.exe
O4 - HKCU\..\Run: [S21140174] C:\Users\андрей\ms.exe
O4 - HKCU\..\Run: [S2410671] C:\Users\андрей\ms.exe
O4 - HKCU\..\Run: [S1311335] C:\Users\андрей\ms.exe


Сделайте лог полного сканирования Malwarebytes' Anti-Malware

+

новый комплект логов выложите для проверки

SolarSpark 03-07-2014 10:56 2371432
первое окно-это функционал трояна, второе-надо переустановить ПО

setwolk 03-07-2014 12:29 2371476
SolarSpark,
Вы имеете ввиду itunes переустановить?

SolarSpark 03-07-2014 12:32 2371478
имею, или вам не нужно данное по?

setwolk 03-07-2014 13:11 2371489
SolarSpark,
Ну я его удалю, когда лечение закончим, нужный софт будет скачан и установлен обновленный.

setwolk 03-07-2014 20:51 2371731
SolarSpark,
Скрипты в авз выполнил, карантин отправил.
А вот Пофиксить в HijackThis следующие строчки не удалось, выкладываю лог.

setwolk 03-07-2014 21:07 2371738
лог полного сканирования Malwarebytes' Anti-Malware

SolarSpark 03-07-2014 21:37 2371754
где свежие логи авз+рсит?

Удаляйте все найденное в МВАМ

+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

regist 03-07-2014 21:44 2371759
+ почему AutoLogger-ом логи не собираете?

setwolk 04-07-2014 06:02 2371848
SolarSpark,
Свежие логи не сделал, так как поздно уже было, сейчас сделаю выложу, машина тоже не быстрая нужно время.

regist,
Не кто не говорил их делать, чуть позже тоже сделаю.

setwolk 04-07-2014 06:24 2371851
SolarSpark,
Чтоб удалить все что найдено в МВАМ, необходимо заново сканировать, да?

SolarSpark 04-07-2014 06:54 2371856
раз закрыли МВАМ, сделайте лог AdwCleaner (by Xplode)
она адварь зачистит

setwolk 04-07-2014 07:54 2371861
regist,
Дайте ссылку на AutoLogger, в теме про сбор логов не нашел ее...

SolarSpark 04-07-2014 10:00 2371892
http://forum.oszone.net/thread-98169.html

вы тему читали? там все есть

качаем отсюда http://safezone.cc/resources/autolog...ist-drongo.59/

Цитата:
Программы для диагностики

Скачайте автоматический сборщик логов. В состав AutoLogger'a уже входят следующие утилиты:
Антивирусная утилита AVZ - находится в папке ..\AutoLogger\AVZ
Random's System Information Tool (RSIT) (x86\x64) - находится в папке ..\AutoLogger\RSIT
System Information Log (SITLog) - находится в папке ..\AutoLogger\SITLog
HiJackThis - находится в папке ..\AutoLogger\SITLog\Tools

* .. - путь к папке откуда запустили AutoLogger.exe

setwolk 04-07-2014 10:05 2371894
лог AdwCleaner

setwolk 04-07-2014 10:28 2371901
Логи AutoLogger

regist 04-07-2014 13:03 2371970
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


что с проблемой?

SolarSpark 04-07-2014 13:06 2371974
Mail.Ru не нужен?
если погорячились, восстановите ошибочно удаленные обьекты Mail.Ru, затем деинсталлируйте утилиту
http://safezone.cc/threads/kratkaja-...cleaner.22250/

+

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(true);
end.
+

лечение закончено, отпишитесь о проблеме

setwolk 04-07-2014 13:10 2371979
regist,
Понял вечером выложу ибо нет интернета под рукой.

SolarSpark,
А зачем он нужен, троян от компании mail.ru.

Так погодите, скрипт выполнять после рекомендаций которые дал regist, или до?

SolarSpark 04-07-2014 13:12 2371984
одно другому не помеха, в любой очередности

еще раз, что с проблемой?

setwolk 04-07-2014 13:48 2372002
SolarSpark,
itunes удалил, сообщение пропало, вечером будет интернет, выполню все рекомендации, так как не где обновить avz.

regist 04-07-2014 13:59 2372010
Цитата:
Цитата setwolk
так как не где обновить avz »
в составе автологера AVZ уже обновлён, так что этот пункт можно пропустить. Правда для отправки архива интернет всё равно понадобится ;).

+
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

SolarSpark 04-07-2014 13:59 2372011
в логах чисто, после рекомендаций по обновлению баз
Выполните рекомендации после лечения
ставьте префикс темы "решено"

setwolk 04-07-2014 14:38 2372030
regist,
Лог подготовил с именем virusinfo_files_<имя_ПК>.zip , весит 47 мб вечером выложу.

SolarSpark,
Ваш скрипт выполнил, перезагрузился.

regist,
Логи SecurityCheck by glax24 cкину чуть позже...

setwolk 04-07-2014 14:49 2372040
Лог.

iskander-k 04-07-2014 18:25 2372103
Желательно обновить указанное красным.


Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 04.07.2014 16:47:25
Run directory: C:\Users\Admin\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.7
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 16.02.2011 00:05:24
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [74.5 Гб] Занято: [66.3 Гб] Свободно: [8.2 Гб]
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Загружать автоматически и уведомлять об установке обновлений
Дата установки обновлений: 2014-06-13 11:15:32
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.5.216.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 2.0.2.1012 v.2.0.2.1012
-------------Java---------------------------------
Java 7 Update 60 v.7.0.600 Внимание! Скачать обновления
^Скачайте jre-8u5-windows-i586.exe^
Java Auto Updater v.2.1.60.19
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 10 ActiveX v.10.0.2.54 Внимание! Скачать обновления
Adobe Reader 9.5.1 MUI v.9.5.1 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.35.0.1916.153 [+]
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.35.0.1916.153
-------------EndLog-------------------------------

setwolk 04-07-2014 20:03 2372137
regist,
Отправил файл:
Сведения о файле:
Размер файла, байт: 48395336
MD5: 08371A5A0CCFAB197A3F3EA62185C9B2

Файл успешно загружен и поставлен в очередь на обработку, спасибо!

setwolk 04-07-2014 20:24 2372145
iskander-k,
Спасибюо большое, все обновил!

Подскажите как на совсем удалить оперу?
Колгда собирал логи, написано было что по умолчанию брайзер опера...
А установил и юзаю хром.

SolarSpark 05-07-2014 11:24 2372297
Revo Uninstaller

regist 05-07-2014 11:58 2372303
Цитата:
Цитата setwolk
Колгда собирал логи, написано было что по умолчанию брайзер опера... »
что мешает просто сменить браузер по умолчанию? В настройках браузера просто надо поставить соответствующую галочку. Хромом не пользуюсь поэтому где именно не могу подсказать.

iskander-k 05-07-2014 17:11 2372398
При запуске любой браузер спрашивает. Сделать ли запускаемый браузер по умолчанию или оставить старый. Соглашаетесь с запросом и все.

setwolk 05-07-2014 18:02 2372431
regist,
А зачем нужен браузер, которым ты никогда пользоваться не будешь, просто место занимать?

Что насчет файла который я отправил?

regist 05-07-2014 22:49 2372531
setwolk, насколько понимаю Опера у вас уже деинсталирована и у вас просто осталась запись в реестре о браузере по умолчанию. я ответил вам как это исправить.
А так за Оперу отвечает три папки: одна в программ файлс и две папки с настройками в папке профиля юзера. Опера больше нигде никаких следов не оставляет.

setwolk 06-07-2014 19:32 2372806
regist,
Понял, спасибо!

А чтоб до конца убедится, что не осталось зловредов, в том отчете, есть какие нибудь следы или нет?

iskander-k 06-07-2014 20:20 2372818
Цитата:
Цитата setwolk
А чтоб до конца убедится, что не осталось зловредов, в том отчете, есть какие нибудь следы или нет? »
Если бы что-то было то продолжили бы лечение. :)

setwolk 06-07-2014 20:45 2372828
iskander-k,
Ok!

Всем спасибо большое!!!


Время: 20:48.

Время: 20:48.
© OSzone.net 2001-