Решена Очистка остатков антивирусов

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Илья Кружнов, 19 дек 2015.

Статус темы:
Закрыта.
  1. Илья Кружнов
    Оффлайн

    Илья Кружнов Новый пользователь

    Сообщения:
    16
    Симпатии:
    1
    Всем привет! нужно очистить остатки антивирусов ранее стоявших на компьютере, логи где они значатся (хотя были уже давно удалены) прилагаю
    начало здесь: В работе - Служба групповой политики
     

    Вложения:

    Последнее редактирование модератором: 19 дек 2015
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Здравствуйте!

    1) Ещё раз пройдитесь утилитой для удаления хвостов Аваста.

    2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    SetServiceStart('hitmanpro37', 4);
    StopService('hitmanpro37');
    QuarantineFile('C:\Windows\system32\drivers\hitmanpro37.sys', '');
    DeleteFile('C:\Windows\system32\drivers\hitmanpro37.sys', '32');
    DeleteFile('C:\Users\ikruzhnov\AppData\Local\AnVir\Tray\Avast Free Antivirus.lnk');
    DeleteFile('C:\Users\ikruzhnov\AppData\Local\AnVir\Tray\Malwarebytes Anti-Malware.lnk');
    ExecuteFile('schtasks.exe', '/delete /TN "avast! Emergency Update" /F', 0, 15000, true);
    DeleteService('hitmanpro37');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    3) В папке C:\Users\ikruzhnov\AppData\Local\AnVir\ - что у вас находится?

    4) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.

    5) + дайте ссылку на свежий лог GSI.
     
    Kиpилл нравится это.
  3. Илья Кружнов
    Оффлайн

    Илья Кружнов Новый пользователь

    Сообщения:
    16
    Симпатии:
    1
    Здравствуйте! Скрипт выполнил, проблема не ушла, но компьютер стал работать немного быстрее. Папку AnVir я не создавал и не храню там ничего из своих данных, я открыл ее, посмотрел файлы, а там только несколько ярлыков и какие-то непонятные файлы, может удалить ее? Farbar Recovery Scan Tool просканировал, логи прилагаю.
    Вот ссылка на отчет GSI: GetSystemInfo Parser 2.96
     

    Вложения:

    • Addition.txt
      Размер файла:
      39 КБ
      Просмотров:
      2
    • FRST.txt
      Размер файла:
      20,3 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      65,8 КБ
      Просмотров:
      1
    Последнее редактирование модератором: 22 дек 2015
  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1) LoviOtvet - рекомендую деинсталировать.

    2) Создайте точку восстановления системы.

    3)
    Да, удалите.

    4) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %userprofile%\Local Settings\Temp
    ar*\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %appdata%\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %userprofile%\Local Settings\Temp\7z*\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %userprofile%\Local Settings\Application Data\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %appdata%\*\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %userprofile%\Local Settings\Temp\*.zip\*.exe <====== ATTENTION
    HKLM Group Policy restriction on software: %userprofile%\Local Settings\Temp\wz*\*.exe <====== ATTENTION
    HKU\S-1-5-21-1582944675-2177133867-1891263928-1008\...\MountPoints2: {1448a1ca-514d-11e5-b3d0-5e6f0eb358b1} - F:\LG_PC_Programs.exe
    HKU\S-1-5-21-1582944675-2177133867-1891263928-1008\...\MountPoints2: {75a9bf8d-0689-11e5-b2db-001d603980ec} - G:\AutoRun.exe
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    URLSearchHook: HKU\S-1-5-21-1582944675-2177133867-1891263928-1008 - (No Name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - No File
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    CHR HKLM\...\Chrome\Extension: [napjheenlliimoedooldaalpjfidlidp] - <no Path\update_url>
    S3 avisfltr; C:\Windows\System32\DRIVERS\avisfltr.sys [327368 2015-07-01] (BitDefender)
    S3 MBAMWebAccessControl; C:\Windows\system32\drivers\mwac.sys [51928 2015-06-18] (Malwarebytes Corporation)
    R1 ZAM; C:\Windows\System32\drivers\zam32.sys [100120 2015-10-24] (Zemana Ltd.)
    R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard32.sys [100120 2015-10-24] (Zemana Ltd.)
    2015-12-18 16:08 - 2015-12-18 17:52 - 00000000 ____D C:\Program Files\AVAST Software
    2015-12-12 18:24 - 2015-12-12 18:24 - 00000000 ____D C:\Users\ikruzhnov\Doctor Web
    2015-12-18 18:00 - 2015-03-20 15:47 - 00000000 ____D C:\Users\Все пользователи\HitmanPro
    2015-12-18 18:00 - 2015-03-20 15:47 - 00000000 ____D C:\ProgramData\HitmanPro
    2015-12-01 12:32 - 2015-01-04 11:32 - 00000000 ____D C:\Program Files\IObit
    2015-12-01 12:13 - 2015-10-24 15:04 - 00000000 ____D C:\Users\Все пользователи\HitmanPro.Alert
    2015-12-01 12:13 - 2015-10-24 15:04 - 00000000 ____D C:\ProgramData\HitmanPro.Alert
    Task: {284EEAFD-2D36-4EE7-884A-43E66E26B50E} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
    Task: {AA0577EC-4769-4529-BEB3-931CC8B6D068} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\AniGIF.ocx:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\FlashPlayerApp.exe:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\GPhotos.scr:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\msvcr71.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\RaCoInst.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\VMNetSrv.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\WpdMtp.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\WpdMtpUS.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\wuapp.exe:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\wuauclt.exe:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\wuaueng.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\wucltux.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\wups2.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\wuwebv.dll:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\avisfltr.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\Dnetr28u.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\netr28u.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\rndismpx.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\RTWlanU.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\tap0901.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\usb8023x.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\VBoxDrv.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\VBoxNetAdp6.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\VBoxNetLwf.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\VBoxUSBMon.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\VMNetSrv.sys:$CmdTcID
    AlternateDataStreams: C:\Windows\system32\Drivers\winusb.sys:$CmdTcID
    AlternateDataStreams: C:\ProgramData\TEMP:0785072C
    AlternateDataStreams: C:\ProgramData\TEMP:65C4D44A
    AlternateDataStreams: C:\ProgramData\TEMP:B0456F0C
    AlternateDataStreams: C:\Users\ikruzhnov\Downloads\AA_v3-1.exe:$CmdTcID
    AlternateDataStreams: C:\Users\ikruzhnov\Downloads\AA_v3-1.exe:$CmdZnID
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:0785072C
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:65C4D44A
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:B0456F0C


    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    5) Ещё стоит восстановить запуск служб по умолчанию. В разделе виндоус должен быть твик.
     
  5. Илья Кружнов
    Оффлайн

    Илья Кружнов Новый пользователь

    Сообщения:
    16
    Симпатии:
    1
    Спасибо большое за помощь! Проблема исчезла! Лог FRST прилагаю. Кстати, что не так было с LoviOtvet?
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      12,1 КБ
      Просмотров:
      0
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    ещё такой лог сделайте, думаю ещё немного можно будет почистить.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
  7. Илья Кружнов
    Оффлайн

    Илья Кружнов Новый пользователь

    Сообщения:
    16
    Симпатии:
    1
    Сделал
     

    Вложения:

    Последнее редактирование модератором: 22 дек 2015
  8. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код (Text):

    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    cexec tools\CreateRestorePoint.exe BeforeCure
    sreg
    delref %SystemDrive%\USERS\IKRUZHNOV\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
    delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
    del %SystemDrive%\PROGRAM FILES\EMSISOFT\EMERGENCY KIT\BIN\EPP32.SYS
    delref %SystemDrive%\PROGRAM FILES\EMSISOFT\EMERGENCY KIT\BIN\EPP32.SYS
    del %Sys32%\DRIVERS\ZAM32.SYS
    delref %Sys32%\DRIVERS\ZAM32.SYS
    del %Sys32%\DRIVERS\ZAMGUARD32.SYS
    delref %Sys32%\DRIVERS\ZAMGUARD32.SYS
    deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS
    deldir %SystemDrive%\PROGRAM FILES\EMSISOFT
    delref HTTP://MADLEN.UCOZ.COM/
    deltmp
    areg
     
    Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
     
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    + LoviOtvet и Mail.Ru Агент 6.5 (сборка 9316) у вас установлены или удалены? В числе установленных их до сих пор видно.
    USB Disk Security - имхо, абсолютно бесполезная программа и советую удалить.

    + ещё такой скрипт в uVS выполните
    Код (Text):
    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %Sys32%\GWX\GWX.EXE
    delref %Sys32%\GWX\GWXUI.DLL
    delref %Sys32%\GWX\GWXUX.EXE
    delref D:\PROGRAM FILES\CCLEANER\CCLEANER.EXE
    delref HTTP://MADLEN.UCOZ.COM/
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\PICASA3\NPPICASA3.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    del %Sys32%\RegistryDefragBootTime.exe
    delref %Sys32%\RegistryDefragBootTime.exe
    del %Sys32%\drivers\avisfltr.sys
    delref %Sys32%\drivers\avisfltr.sys
    restart
     
  10. Илья Кружнов
    Оффлайн

    Илья Кружнов Новый пользователь

    Сообщения:
    16
    Симпатии:
    1
    Vvvyg, скрипт выполнил, лог вашего скрипта в файле Log 1
    regist, скрипт выполнил, лог вашего скрипта в файле Log 2, Mail.ru агент удалил Adwcleaner, LoviOtvet установлен и используется, USB Disk Security удалил
     

    Вложения:

    • log 1.txt
      Размер файла:
      43,6 КБ
      Просмотров:
      2
    • log 2.txt
      Размер файла:
      33,1 КБ
      Просмотров:
      2
  11. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Пожалуй, всё, что можно, зачистили.
     
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Ещё только Mail.Ru Агент из списка установленных удалим. Выполните скрипт в uVS

    Код (Text):
    ;uVS v3.86.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    uidel C:\Users\ikruzhnov\AppData\Roaming\Mail.Ru\Agent\magentsetup.exe -uninstallcu
    restart
    +
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  13. Илья Кружнов
    Оффлайн

    Илья Кружнов Новый пользователь

    Сообщения:
    16
    Симпатии:
    1
    Всем большое спасибо за помощь! проблемы исчезли и комп отлично работает
     
Статус темы:
Закрыта.

Поделиться этой страницей