Решена И снова вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем ljana12, 2 июн 2013.

Статус темы:
Закрыта.
  1. ljana12
    Оффлайн

    ljana12 Активный пользователь

    Сообщения:
    159
    Симпатии:
    21
    Здрасте!

    Сегодня на фейсбуке подхватила вирус в виде фотки, но расширение было ехе... И что самое странное то, что все друзья и не друзья начали получать этот файл и отправлять его мне обратно

    Сделала скрипты. Посмотрите, плиз
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую ljana12, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. ljana12
    Оффлайн

    ljana12 Активный пользователь

    Сообщения:
    159
    Симпатии:
    21
    сделала еще мбам

    посмотрите
     

    Вложения:

  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\Documents and Settings\User\Application Data\Yfwqwo.exe','');
     DeleteFile('C:\Documents and Settings\User\Application Data\Yfwqwo.exe');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Мне не нравится список установленных тулбаров.
    DefaultTab - сами устанавливали?


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Добавлено через 1 минуту 32 секунды
    В MBAM удалите только:
    Код (Text):
    Обнаруженные файлы:  6
    D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd336.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
    D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd334.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
    D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd335.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
    D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd337.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
    Если сами качали, то не трогайте, если не знаете, что это... тоже удаляем:
    Код (Text):
    D:\User\User\Documents\Downloads\utorrent.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
    D:\User\User\Documents\Downloads\womancalendar.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
     
    1 человеку нравится это.
  5. ljana12
    Оффлайн

    ljana12 Активный пользователь

    Сообщения:
    159
    Симпатии:
    21
    вроде бы сделала...

    Спасибо за советы :)
    Тулбар возможно устанавливал мастер, который ставил винду...
    Удалила в мамбе все, что вы сказали.
    Файл тоже отправила.
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Удалим мусор.

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!


    Что с симптомами?
     
    1 человеку нравится это.
  7. ljana12
    Оффлайн

    ljana12 Активный пользователь

    Сообщения:
    159
    Симпатии:
    21
    сделала повторно сканирование мбамом, вот что осталось:

    Объекты реестра обнаружены: 3
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

    симптомов больше нету, на фб все в порядке
     
  8. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Это можно не удалять.

    Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

    И соблюдайте правила.
     
    1 человеку нравится это.
  9. ljana12
    Оффлайн

    ljana12 Активный пользователь

    Сообщения:
    159
    Симпатии:
    21
    Security Check by glax24 version 0.1.6.55 rc2
    WebSite: www.safezone.cc
    DataLog 04.06.2013 13:26:28
    Program directory: C:\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    XML File - VersionInet=4.3
    Диск C:\ ФС: NTFS Емкость: (102.8 Гб) Занято: (15.3 Гб) Свободно: (87.5 Гб)
    __________________________________________________

    WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
    Дата установки ОС: 28.02.2013 15:57:07
    Service Pack 3
    Internet Explorer 8.0.6001.18702
    -------------Windows------------------------------
    Автоматическое обновление отключено
    Автоматическое обновление (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    ESET NOD32 Antivirus 4.2
    Антивирус обновлен
    -------------Firewall_WMI-------------------------
    -------------OtherUtilities-----------------------
    CCleaner v.4.00
    Foxit Reader 5.3.1.606 v.v 5.3.1.606 Внимание! Скачать обновления
    Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
    -------------Java---------------------------------
    Java 7 Update 21 v.7.0.210
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.5.502.135 Внимание! Скачать обновления
    Adobe Reader XI (11.0.03) v.11.0.03 [+]
    -------------Browser------------------------------
    Google Chrome v.27.0.1453.94
    -------------RunningProcess-----------------------
    C:\Program Files\Google\Chrome\Application\chrome.exe v.27.0.1453.94
    -------------EndLog-------------------------------
     
  10. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Malwarebytes Anti-Malware можно деинсталлировать. Фоксит и Флэш обновите.
     
    1 человеку нравится это.
  11. ljana12
    Оффлайн

    ljana12 Активный пользователь

    Сообщения:
    159
    Симпатии:
    21
    это после адвклинера
    # AdwCleaner v2.301 - Logfile created 06/04/2013 at 13:30:16
    # Updated 16/05/2013 by Xplode
    # Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
    # User : User - HOME-9E0BDCFEAA
    # Boot Mode : Normal
    # Running from : D:\User\User\Documents\Downloads\adwcleaner.exe
    # Option [Search]


    ***** [Services] *****

    Found : DefaultTabSearch
    Found : DefaultTabUpdate

    ***** [Files / Folders] *****

    File Found : C:\Temp\Uninstall.exe
    Folder Found : C:\Documents and Settings\User\Application Data\DefaultTab
    Folder Found : C:\Program Files\DefaultTab
    Folder Found : C:\Program Files\OApps

    ***** [Registry] *****

    Key Found : HKCU\Software\AppDataLow\Software\DefaultTab
    Key Found : HKCU\Software\Default Tab
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Key Found : HKLM\SOFTWARE\Classes\AppID\DefaultTabBHO.DLL
    Key Found : HKLM\SOFTWARE\Classes\CLSID\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser
    Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser.1
    Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX
    Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX.1
    Key Found : HKLM\Software\Default Tab
    Key Found : HKLM\Software\DefaultTab
    Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc
    Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DefaultTab
    Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DefaultTab

    ***** [Internet Browsers] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Registry is clean.

    -\\ Google Chrome v27.0.1453.94

    File : C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    [OK] File is clean.

    *************************

    AdwCleaner[R1].txt - [2575 octets] - [02/06/2013 16:10:58]
    AdwCleaner[R2].txt - [2468 octets] - [04/06/2013 13:30:16]

    ########## EOF - C:\AdwCleaner[R2].txt - [2528 octets] ##########

    Добавлено через 3 минуты 32 секунды
    фоксит раньше обновляла, сейчас повторила и получила сообщение, что у меня последняя версия...
    а почему нельзя мбам оставить?
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    потому что он конфликтует с другими программами.
    ----------------------
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
     
    1 человеку нравится это.
  13. ljana12
    Оффлайн

    ljana12 Активный пользователь

    Сообщения:
    159
    Симпатии:
    21
    понятно, спасибо большое за помощь :)
     
    1 человеку нравится это.
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Ну как конфликтует. Очень много ложных срабатываний на легитим, варез и прочее.

    Добавлено через 32 секунды
    Рекомендации после удаления вредоносного ПО
     
    2 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей