Закрыто помогите, вирус!

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Тимур, 21 апр 2014.

Статус темы:
Закрыта.
  1. Тимур
    Оффлайн

    Тимур Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Добрый вечер. Возникла небольшая проблема, на флешке с документами по учебе появился некий вирус скрывший все папки и создавший дубли с расширением .scr, настоящие папки стали скрытыми и галочка на скрытие неактивна, то есть убрать ее нет возможности. Логи прилагаю.
     

    Вложения:

  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Тимур, пользуетесь браузером amigo?

    Вижу защитный софт Аваст и Нортон, нужно выбрать что-то одно.
    --- Объединённое сообщение, 22 апр 2014, Дата первоначального сообщения: 22 апр 2014 ---
    RegTask - рекомендую деинсталировать.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     QuarantineFile('E:\RECYCLER  .scr','');
     QuarantineFile('E:\Ищенко  .scr','');
     QuarantineFile('H:\все  .scr','');
     QuarantineFile('C:\windows\system32\227487867285l.exe','');
     DeleteFile('C:\windows\system32\227487867285l.exe','32');
     DeleteFile('H:\все  .scr','32');
     DeleteFile('C:\windows\system32\Tasks\{23CEDF23-35CC-46AA-AC6E-19D4D18C2B99}','32');
     DeleteFile('E:\Ищенко  .scr','32');
     DeleteFile('C:\windows\system32\Tasks\{C6515F0F-192A-4749-8515-53FADA90E89D}','32');
     DeleteFile('E:\RECYCLER  .scr','32');
     DeleteFile('C:\windows\system32\Tasks\{F4AD475B-B363-4128-AD0C-37A81F3A6E42}','32');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы
    --- Объединённое сообщение, 22 апр 2014 ---
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    --- Объединённое сообщение, 22 апр 2014 ---
    Папки просто скрыты и их можно просмотреть?
     
    Последнее редактирование: 22 апр 2014
  3. Тимур
    Оффлайн

    Тимур Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Папки можно просмотреть, но убрать параметр "скрытая папка" нельзя, чек бокс с галочкой не активны. Подскажите еще как удалить regtask? Из антивирусов был удален аваст и браузер амиго, нортон не удаляется через стандартную панель управления и CCleaner.
    Текстовый файл с логом малвара не получается прикрепить, пишет "файл пуст" поэтому скопирую в сообщение:

    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Scan Date: 22.04.2014
    Scan Time: 22:01:17
    Logfile: лог anti-malware.txt
    Administrator: Yes

    Version: 2.00.1.1004
    Malware Database: v2014.04.22.05
    Rootkit Database: v2014.03.27.01
    License: Free
    Malware Protection: Disabled
    Malicious Website Protection: Disabled
    Chameleon: Disabled

    OS: Windows 7 Service Pack 1
    CPU: x86
    File System: NTFS
    User: ?????°N?N??°N???N?

    Scan Type: Threat Scan
    Result: Completed
    Objects Scanned: 238554
    Time Elapsed: 42 min, 22 sec

    Memory: Enabled
    Startup: Enabled
    Filesystem: Enabled
    Archives: Enabled
    Rootkits: Disabled
    Shuriken: Enabled
    PUP: Enabled
    PUM: Enabled

    Processes: 2
    RiskWare.Tool.CK, C:\Windows\KMService.exe, 2184, , [7be2e34a5a21d95df20ffea9d72a7e82]
    Spyware.Zbot.ED, C:\Program Files\MegaFon Internet\MegaFon Internet.exe, 7156, , [2c31b875e49794a22adaa7c54db4946c]

    Modules: 0
    (No malicious items detected)

    Registry Keys: 0
    (No malicious items detected)

    Registry Values: 0
    (No malicious items detected)

    Registry Data: 0
    (No malicious items detected)

    Folders: 0
    (No malicious items detected)

    Files: 17
    RiskWare.Tool.CK, C:\Windows\KMService.exe, , [7be2e34a5a21d95df20ffea9d72a7e82],
    Spyware.Zbot.ED, C:\Program Files\MegaFon Internet\MegaFon Internet.exe, , [2c31b875e49794a22adaa7c54db4946c],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\Skype\shared_dynco\Blink 182 .exe, , [2c31f23b2358ef475c9470561ee2718f],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\Skype\shared_dynco\RaHasIA .exe, , [35286ac3720954e241afa4225da3eb15],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\Skype\shared_dynco\Titip Folder Jangan DiHapus .exe, , [312c48e56f0c1e18fcf4c402a0602fd1],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\Skype\shared_httpfe\Lagu - Server .scr, , [b9a44de0cdaea98dbe32facc56aa19e7],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\Skype\shared_httpfe\Love Song .scr, , [39242ffef685ad8935bb2e9898688977],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\Skype\shared_httpfe\RaHasIA .exe, , [86d729042d4ef3436987d8eea759dc24],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\uTorrent\share\Blink 182 .exe, , [4d100d20c2b91422cf219c2a3bc5be42],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\AppData\Roaming\uTorrent\share\TutoriaL HAcking .exe, , [f8652c017efdfb3b19d7e2e4de22956b],
    PUP.Optional.Freemium.A, C:\Users\?????°N?N??°N???N?\AppData\Local\Temp\ICReinstall_Mp3DirectCut_Setup.exe, , [db823cf10d6e1f174dc7b86a44bd11ef],
    Worm.AutoRun, C:\Users\Public\Downloads\RaHasIA .exe, , [ef6eb578d3a8c86eb33d74522ad6ef11],
    Worm.AutoRun, C:\Users\Public\Downloads\TutoriaL HAcking .exe, , [4f0e54d9a9d2072fbf3120a61be5cb35],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\Downloads\Gallery .scr, , [530abc719dde72c4c828893d28d8649c],
    PUP.Optional.LoadMoney, C:\Users\?????°N?N??°N???N?\Downloads\avastlic is.exe, , [d18c4ce1007b59ddb06f610c0df4bd43],
    Worm.AutoRun, C:\Users\?????°N?N??°N???N?\Downloads\RaHasIA .exe, , [a0bd43ea7308af87915f7650e21ec33d],
    PUP.Optional.LoadMoney, C:\Users\?????°N?N??°N???N?\Downloads\referat.exe, , [3924a18c314a70c6de3b62ebd0315da3],

    Physical Sectors: 0
    (No malicious items detected)


    (end)
     
    Последнее редактирование модератором: 22 апр 2014
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    В MBAM можно удалить все кроме
    RiskWare.Tool.CK, C:\Windows\KMService.exe, 2184, , [7be2e34a5a21d95df20ffea9d72a7e82]
    Spyware.Zbot.ED, C:\Program Files\MegaFon Internet\MegaFon Internet.exe, 7156, , [2c31b875e49794a22adaa7c54db4946c] - пользуетесь?


    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     ExecuteRepair(6);
     RebootWindows(false);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Подготовьте лог UVS
     
  5. Тимур
    Оффлайн

    Тимур Новый пользователь

    Сообщения:
    19
    Симпатии:
    0
    Все выполненно. Лог UVS прикладываю.
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Откройте папку с распакованной утилитой uVS и запустите файл start.exe.
    • Нажмите <i>Запустить под текущим пользователем</i>.
    • Нажмите меню "Дополнительно" -> "Сбросить атрибуты для всех файлов/каталогов в..."
    • В окне слева укажите букву диска с вашей флешкой.
    • Нажмите "Выбрать".

    какие проблемы остались?
     
Статус темы:
Закрыта.

Поделиться этой страницей