Решена много троянов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем kuss, 20 июн 2011.

Статус темы:
Закрыта.
  1. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    здраствуйте, просканировала комп,оказалось много троянов. Не знаю,можно ли их удалить или переустанавливать винду надо? Подскажите какой антивирус поставить, у меня сейчас аваст стоит.Помогите,пожалуйста.
    Спвсибо
    пс: во вложении информация по вашей инструкции
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      28,8 КБ
      Просмотров:
      5
    • virusinfo_syscheck.zip
      Размер файла:
      26,9 КБ
      Просмотров:
      4
    • log.txt
      Размер файла:
      32,2 КБ
      Просмотров:
      3
    • info.txt
      Размер файла:
      15,5 КБ
      Просмотров:
      1
  2. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Смотрю логи скоро отвечу

    Добавлено через 29 минут 24 секунды
    Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
     TerminateProcessByName('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
     QuarantineFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe','');
     QuarantineFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe','');
     QuarantineFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe','');
     QuarantineFile('E:\WINDOWS\system32\drivers\RKHit.sys','');
     DeleteFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe');
     DeleteFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
     DeleteFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BSSHelper.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BestSpywareScanner.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcsafedoctor.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится, После перезагрузки:
    - выполните такой скрипт

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пофиксите в HJT:

    Код (Text):
    R3 - URLSearchHook: (no name) -  - (no file)
    O4 - HKLM\..\Run: [BestSpywareScanner.exe] E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe
    O4 - HKLM\..\Run: [BSSHelper.exe] E:\Program Files\Best Spyware Scanner\BSSHelper.exe -0
    O4 - HKLM\..\Run: [pcsafedoctor.exe] E:\Program Files\PCSafeDoctor\pcsafedoctor.exe
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

    BestSpywareScanner - Adware.SpywareCease
    PCSafeDoctor - Trojan.Fakealert

    Вы их сами себе установили!

     
  3. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    отправила архив карантин.
    файл с антивируса в приложении
     

    Вложения:

  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Повторите сканирование Malwarebytes' Anti-Malware и удалите только следующие строки:

    Код (Text):
    e:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken
    e:\program files\stfndcsd.dll (Spyware.OnlineGames) -> No action taken.
    Повторите логи AVZ и RSIT для контроля
     
  5. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    логи в приложении
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      27,1 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      27,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      31,7 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      15,9 КБ
      Просмотров:
      1
  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Как самочувствие системы?
     
  7. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    еще раз сканирую( в процессе) Malwarebytes' Anti-Malware, вижу,что он опять находит зараженные файлы:(
     
  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Повторите лог Malwarebytes, возможно ничего страшного.
     
  9. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    Добавлено через 1 минуту 7 секунд
    а как я узнаю страшное или нет? в прошлый раз он их кучу нашел,практически всех назвал троянами, вы сказали удалить из них два, не совсем понимаю параметры на удаление.:unknw:
     
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Часть мы удалим на последнем этапе, другая часть фолсы, MBAM слишком подозрительная программа.
     
  11. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    то есть сейчас я вам пришлю повторно логи от мбам. а то что она там найдет мне удалить с ее помощью или оставить?
     
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Не закрывайте программу тогда, я попытаюсь максимально быстро ответить и сразу если что и удалим.
     
  13. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    логи мбам
     

    Вложения:

  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Вот это удалите:

    Код (Text):
    e:\Recycled\De1\chrome.exe (Trojan.Agent) -> No action taken.
    Кряки и кейгены на Ваше усмотрение, могут быть и вредоносными:

    Код (Text):
    c:\program files\WinRAR\crack\patch.exe (Malware.Packer.Gen) -> No action taken.
    f:\E-DISK\disributiv\графика\a.photoshop_cs2_9_rus\CRACK\KEYGEN.EXE (Trojan.Agent.CK) -> No action taken.
    f:\E-DISK\disributiv\графика\coreldraw13_rus\CRACK\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken.
    h:\проги\thinstall\webpagemaker_3.03\400000fe00002i\chrome.exe (Trojan.Agent) -> No action taken.
    Все файлы из \system volume information\ мы удалим на заключительном этапе, сейчас удалять не нужно.

    Эти записи невредоносны:

    Код (Text):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
     
  15. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    удалила. как быть дальше?
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    Внимание, смените все пароли ICQ, почта и т.п.

    Необходимо очистить ранее созданную точку восстановления и создать новую:
    1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
    2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

    Для предотвращения заражения рекомендуется:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows и антивируса (обновлять антивирусные базы и модули).

    - установите Internet Explorer 8.0 и все последние обновления для него (даже если им не пользуетесь)
    - установите последние обновления для Microsoft Office
    - обновите до последней версии Java
    - обновите до последней версии Adobe Reader
    - обновите до последней версии Adobe Flash Player
     
  17. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    как это сделать?

    скажите пожалуйста, а для хрома есть подобное расширение?
     
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    1. Создать еще одну учетную запись с ограниченными правами, или создать учетную запись с администраторскими правами, а свою понизить в правах.
    2. Поставить на все учетные записи сложные пароли.
    3. Затем работать, играть, быть в интернеть только из-под ограниченной записи.
    4. Административную использовать только для установки новых программ и драйверов.

    Есть

    После установки расширения на панели инструментов появится такой значок [​IMG] теперь при загрузке страницы, если страница работает и отображается нормально, делать ничего не надо, в обратном случае жмем на эту кнопку и разрешаем выполнение скриптов на этой странице.

    Так же советую расширение WOT
     
  19. kuss
    Оффлайн

    kuss Активный пользователь

    Сообщения:
    10
    Симпатии:
    0
    спасибо большое,вроде все чисто)
     
  20. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.596
    И Вам желаем чистого интернета.
     
Статус темы:
Закрыта.

Поделиться этой страницей