Решена Подозрение на вирусы на ноутбуке

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 25 авг 2015.

Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте!

    Есть ноутбук, после запуска какого-то файла (непонятно кем (никто не признается)) система стала тормозить, выскакивать всплывающая реклама (типа Heroes of the Nordes) и т.д.. Пользователь просканировал систему MBAM'ом (было найдено около 250 вредоносов), послал все в карантин, по его словам "стало немного легче"... Логи во вложении, просьба посмотреть.
     

    Вложения:

  2. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
    Код (Text):

    begin
    TerminateProcessByName('c:\program files (x86)\gmsd_ru_025010067\gmsd_ru_025010067.exe');
    TerminateProcessByName('c:\users\Алексей\appdata\local\kometa\application\kometa.exe');
    TerminateProcessByName('c:\users\Алексей\appdata\local\kometa\kometaup.exe');
    TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe');
    TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe');
    TerminateProcessByName('c:\users\Алексей\appdata\local\gmsd_ru_025010067\upgmsd_ru_025010067.exe');
    QuarantineFile('c:\program files (x86)\gmsd_ru_025010067\gmsd_ru_025010067.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\kometa\application\kometa.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\kometa\kometaup.exe', '');
    QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '');
    QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', '');
    QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_025010067\upgmsd_ru_025010067.exe', '');
    QuarantineFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe', '');
    QuarantineFile('C:\Users\Алексей\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\Updater.exe', '');
    QuarantineFile('C:\Program Files\shopperz240820151333\Mitle.bat', '');
    QuarantineFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\MaxDownload.exe', '');
    DeleteFile('c:\program files (x86)\gmsd_ru_025010067\gmsd_ru_025010067.exe', '32');
    DeleteFile('c:\users\Алексей\appdata\local\kometa\application\kometa.exe', '32');
    DeleteFile('c:\users\Алексей\appdata\local\kometa\kometaup.exe', '32');
    DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '32');
    DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', '32');
    DeleteFile('c:\users\Алексей\appdata\local\gmsd_ru_025010067\upgmsd_ru_025010067.exe', '32');
    DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\Application\amigo.exe', '32');
    DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\Application\ok.exe', '32');
    DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\Application\vk.exe', '32');
    DeleteFile('C:\Users\Алексей\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe', '32');
    DeleteFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\Updater.exe', '32');
    DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe', '32');
    DeleteFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\MaxDownload.exe', '32');
    DeleteService('ReimageRealTimeProtector');
    DeleteFileMask('C:\Users\Алексей\AppData\Roaming\MaxDownload', '*', true);
    DeleteFileMask('C:\Program Files\shopperz240820151333', '*', true);
    DeleteFileMask('C:\Program Files\Reimage\Reimage Repair', '*', true);
    DeleteFileMask('c:\users\Алексей\appdata\local\gmsd_ru_025010067', '*', true);
    DeleteDirectory('c:\users\Алексей\appdata\local\kometa');
    DeleteDirectory('C:\Program Files\shopperz240820151333');
    DeleteDirectory('C:\Program Files\Reimage\Reimage Repair');C:\Users\Алексей\AppData\Roaming\MaxDownload');
    DeleteDirectory('c:\users\Алексей\appdata\local\gmsd_ru_025010067');
    ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Алексей)" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "Reimage Reminder" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "ReimageUpdater" /F', 0, 15000, true);
    ExecuteFile('schtasks.exe', '/delete /TN "Teutqeug" /F', 0, 15000, true);
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Обнови Софт');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MDS_Menu');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_025010067');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KometaAutoLaunch_BB5F108B4A39836922D625A4EB2ED637');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KometaLaunchPanel');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_025010067.exe');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MaxDownload');
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Выполните в AVZ скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте его с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 27 авг 2015
    Kиpилл и Razey нравится это.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Спасибо! Логи во вложении. Карантин отправил. Кстати, ссылка на отправку карантина не рабочая (исправьте на будущее для других нуждающихся в лечении), а также в скрипте ошибка - взял и "сам удалил" неправильно указанную папку.
     

    Вложения:

  4. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Запустите повторно AdwCleaner (by Xplode) Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.

    Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

    Сообщите, что с проблемами.
     
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Проблемы вроде как (только 5 минут работаю пока) исчезли. Лог Adwcleaner'a во вложении...
     

    Вложения:

  6. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Razey нравится это.
  7. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    AdwCleaner удалил, лог SecurityCheck by glax24 во вложении.
     

    Вложения:

  8. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
    Обновите этот софт, это важно для безопасности системы.
     
    Kиpилл и Razey нравится это.
  9. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    выполнено... По поводу продолжения - уже можно закрывать тему?
     
  10. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    253
    Симпатии:
    90
Статус темы:
Закрыта.

Поделиться этой страницей