Решена Подозрение на вирусное заражение

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 26 июн 2014.

Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте! Есть компьютер в небольшой (5 компьютеров) офисной сети, используемый как компьютер с общими папками, с которыми работают все пользователи (доступ на изменение в них). Предполагаю, что у него вирусное заражение, так как он регулярно (по словам пользователя, за ним работающего, подвисает: при загрузке может не загрузиться рабочий стол (виден только курсор мыши), при работе он зависает и ничего невозможно с ним сделать, кроме RESET или выключения; но при повторном включении не факт, что он загрузится нормально. Из особенностей имеется вот что: Windows на нем - XP + сборка. Логи во вложении.
     

    Вложения:

  2. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    1.определитесь с тулбарами, деинсталлируйте лишние через установку/удаление программ

    2.блокировку в HOSTS сами делали для сотрудников?
    127.0.0.1 odnoklassniki.ru
    127.0.0.1 www.odnoklassniki.ru
    127.0.0.1 vk.com

    3.Отключите:
    Антивирус/Файерволл

    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
    QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.url','');
    QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.url','');
    QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\cimei\cimei.exe','');
    QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
    DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
    DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.url','32');
    DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE.url','32');
    DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\cimei\cimei.exe','32');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    DeleteFileMask('C:\Program Files\Zaxar', '*', true);
    DeleteDirectory('C:\Program Files\Zaxar', '');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     

    После выполнения скрипта компьютер перезагрузится!

    После перезагрузки выполните такой скрипт:

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
    скрипт -> Нажать кнопку "Запустить".


    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

    Пофиксить следующие строчки:
    Код (Text):

    O4 - Global Startup: cimei.lnk = ?
    O4 - Global Startup: Zaxar Games Browser.lnk = ?
     
    Сделайте повторные логи

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удалять!
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
    Последнее редактирование: 26 июн 2014
    1 человеку нравится это.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    1. Кое-какие тулбары удалил, если по вашему мнению не все из зловредных или условно-зловредных - напишите, пожалуйста.
    2. Блокировку в файле hosts делал специально (пускай не в полной мере и не совсем правильно, но в целом со своей функцией она пока справляется).
    3. Карантин по форме выслал.
    4. Повторные логи сделал - выкладываю (во вложении).
    5. Проверка MBAM'ом пока идет - как закончится, сразу выкладываю.

    * Вот еще что - фиксить не пришлось HJT - указанных вами строк в его отчете не оказалось...
     

    Вложения:

  4. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    пофиксите строчки
    Код (Text):
    R3 - URLSearchHook: (no name) - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    ждем отчет МВАМ
     
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Строчки пофиксил. Отчет MBAM во вложении - всего одна запись и то, по-моему, нужно ее удалить.
     

    Вложения:

    • log_mbam.txt
      Размер файла:
      1,2 КБ
      Просмотров:
      3
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Да, можно удалять. Что с проблемой?
     
  7. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Удалил, спасибо.

    Проблема исчезла. Сегодня в течение всего дня комп работал без сбоев. Раньше его приходилось перезагружать по 4-5 раз в день для нормальной работы.
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    Razey нравится это.
  9. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    ну и чудненько
    чистого интернета
     
    Razey нравится это.
  10. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Спасибо Вам!
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Razey, всё ещё ждём от вас лог SecurityCheck.txt ;)
     
Статус темы:
Закрыта.

Поделиться этой страницей