Решена лечение от вирусов из темы " две системы".

Тема в разделе "Лечение компьютерных вирусов", создана пользователем dmitriy, 26 янв 2014.

Статус темы:
Закрыта.
  1. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
  2. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    Отчет о сканировании AdwCleaner.
    --- Объединённое сообщение, 26 янв 2014, Дата первоначального сообщения: 26 янв 2014 ---
    Спасибо ,Koza Nozdri , а ту папку то из Програм Файлес могу удалить-раз ее нет в \Удаление программ\?
     

    Вложения:

  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Понял. Сейчас посмотрим.
    --- Объединённое сообщение, 26 янв 2014, Дата первоначального сообщения: 26 янв 2014 ---
    C:\Windows\winstart.bat - откройте в блокноте и скопируйте содержимое файла

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\дима\AppData\Local\WinnerDM\wdm.exe','');
     QuarantineFile('C:\Users\дима\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
     QuarantineFile('C:\Program Files\VLC Player GPU+\UsageLog.exe','');
     DeleteFile('C:\Program Files\VLC Player GPU+\UsageLog.exe','32');
     DeleteFile('C:\Users\дима\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Пофиксить в HijackThis следующие строчки
    Код (Text):

    O17 - HKLM\System\CCS\Services\Tcpip\..\{258FF8A6-E982-4105-A267-6AE3DCFD01E4}: NameServer = 0.0.0.0 0.0.0.0
    O17 - HKLM\System\CCS\Services\Tcpip\..\{71770B11-6350-4703-A5BB-948BDF77CA20}: NameServer = 0.0.0.0 0.0.0.0
     
    Желательно деиснсталировать IObit Malware Fighter
     
    Kиpилл нравится это.
  5. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    akok, я не очень хорошо разбираюсь в разного рода терминах . Я не нашел в C Windows файла- winstart.bat. Меню Пуск- Блокнот-C-Windows-winstart.bat-последнего просто нет. мне, если будете помогать ,скорей всего придется объяснять 'на пальцах ' -будьте так добры.

    '
     
  6. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Если не нашли значит его там уже нет. Лог мбам прикрепите к вашему следующему сообщению. Что с проблемами?
     
  7. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    что такое Лог мбам? и еще деинсталировать-это значит удалить?
     
  8. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    http://safezone.cc/threads/kak-pofiksit-s-pomoschju-hijackthis.9/

    см. чуть выше:
    Панель управления - Установка/удаление программ. Находите указанную программу в списке, "становитесь" на нее и нажимаете Удалить.
     
  9. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034
    Перечитайте пост akok, в нем есть рекомендация исследования утилитой mbam, результат исследования который появится после окончания проверки, прикрепите к вашему следующему сообщению.
    Деинсталлировать - да, значит удалить программу.
     
  10. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    загрузил обновления mbam-все прошло в 2е секунды-никакой проверки-никакого результата.
     
  11. edde
    Оффлайн

    edde Ассоциация VN/VIP VIP

    Сообщения:
    1.828
    Симпатии:
    2.034

    Обновление загружать следует только если вирус блокирует загрузку обновлений, наврядли в вашем случае это так.
     
  12. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    извините- понял-приложение то не скачал!
    --- Объединённое сообщение, 27 янв 2014, Дата первоначального сообщения: 27 янв 2014 ---
    отчет.
    --- Объединённое сообщение, 27 янв 2014 ---
    после сканирования в мвам\ удалить объекты\ нажать?
    --- Объединённое сообщение, 27 янв 2014 ---
    не могу что то с Hijack This справится-отмечаю галочкой выделенное синим- нажимаю Fix checked и рамка на иностр. яз вылазит . см. ниже. ПОМОГАЙТЕ УЖ!
    --- Объединённое сообщение, 27 янв 2014 ---
    вроде загрузил-с горем пополам
     

    Вложения:

    Последнее редактирование: 27 янв 2014
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве

    Код (Text):
    Обнаруженные ключи в реестре: 13
    HKCR\AppID\{562B9316-C08A-444A-9482-62080DD851AE} (PUP.Optional.SpeedAnalysis3.A) -> Действие не было предпринято.
    HKCR\CLSID\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
    HKCR\CLSID\{4751C3C7-3353-4F2E-AD9B-4A058C037D85} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
    HKCR\TypeLib\{1C3E898D-6143-494F-A000-79D980DAE5A5} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E33FF41E-53CB-4D93-885A-FFEFA04CD804} (PUP.Optional.BestToolbars) -> Действие не было предпринято.
    HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.

    Обнаруженные параметры в реестре: 1
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
    C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\K0VS59ZA\ClickMeInGeneric[1].exe (PUP.Optional.Clickmein) -> Действие не было предпринято.
    D:\Documents and Settings\Администратор\Application Data\OpenCandy\C15570022EAE49BA8E349B06AF980B3E\sas.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.
    D:\Documents and Settings\Администратор\Application Data\OpenCandy\C15570022EAE49BA8E349B06AF980B3E\SaveSense_p1v2.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.
    D:\Documents and Settings\Администратор\Application Data\OpenCandy\E07728B2E6DC487EA58FAFDF3D8D5DA3\sas.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.
    D:\Documents and Settings\Администратор\Application Data\OpenCandy\E07728B2E6DC487EA58FAFDF3D8D5DA3\SaveSense_p1v2.exe (PUP.Optional.SaveSense.A) -> Действие не было предпринято.
     
    2) После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    3) Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
    Запустите, выберите проверку файлов за последние три месяца и нажмите "Продолжить". Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
    Подробнее читайте в руководстве.

    4) Папку
    Код (Text):
    C:\Program Files\VLC Player GPU+\
    заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
     
    Последнее редактирование: 27 янв 2014
  14. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    МВАМ-запустил заново... А как быть сHijack This-я скрин выложил. я его не закрываю-жду вашего участия.
     
  15. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.471
    Симпатии:
    866
    В HiJackThis вы отметили видимо случайно секцию R1, а вам в сообщении №4 сказали пофиксить следующие строки:

    Инструкцию как пофиксить можно найти здесь http://safezone.cc/threads/kak-pofiksit-s-pomoschju-hijackthis.9/
     
  16. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    ну отметил-нажал этот фикс.....-дальше то что?в инструкции сказано -можно нажать кнопку такую то и отметить, что я хочу вернуть-откуда я знаю,что мне вернуть надо!?
     
  17. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    • Нажмите кнопку View the list of backups.
    • Отметьте то, что хотите вернуть
    • Нажмите кнопку Restore.
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    ничего возвращать не надо - если только вас не попросят об обратном или вы сами по ошибке удалили, что-то кроме того что просили пофиксить.
    удалили файлы которые я просил?
    Если да, сделайте новый лог скаирования MBAM (уже после удаления) и логи RSIT
    все нужные ссылки в моём предыдущем посте.
     
  19. dmitriy
    Оффлайн

    dmitriy Новый пользователь

    Сообщения:
    28
    Симпатии:
    2
    покажите мне в этом изображении слово на букву V
     

    Вложения:

  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    dmitriy, пожалуйста, выполните пока до конца инструкции написанные в этом посте http://safezone.cc/threads/lechenie-ot-virusov-iz-temy-dve-sistemy.23111/#post-171170
    после этого будет видно, что нужно вам дальше делать.
    --- Объединённое сообщение, 27 янв 2014 ---
    и запрошенный карантин вы отправили? Пожалуйста, продублируйте его ещё раз, не могу его найти.
     
    Последнее редактирование: 27 янв 2014
Статус темы:
Закрыта.

Поделиться этой страницей