Закрыто Попался локер

Тема в разделе "Лечение компьютерных вирусов", создана пользователем s.podlesnykh, 29 ноя 2013.

Статус темы:
Закрыта.
  1. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Локер удалил, может что подчистить?
     

    Вложения:

    • info.txt
      Размер файла:
      22,5 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      23,7 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      22,4 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      21,9 КБ
      Просмотров:
      1
  2. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Смотрю логи ожидайте ответа.
    --- Объединённое сообщение, 29 ноя 2013, Дата первоначального сообщения: 29 ноя 2013 ---
    Здравствуйте

    1. Отключите антивирус и фаервол. (http://safezone.cc/forum/showthread.php?t=18577)

    2. Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
    ClearQuarantine;
    QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\qvfyowd.exe','');
    QuarantineFile('C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys','');
    QuarantineFile('C:\Temp\5243812.exe','');
    QuarantineFile('C:\Temp\5261703','');
    QuarantineFile('C:\Temp\4925468.exe','');
    QuarantineFile('C:\Temp\4934687','');
    QuarantineFile('C:\Temp\5893265aq','');
    QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','');
    QuarantineFile('C:\Program Files\Google\Chrome\Application\chrome.url','');
    QuarantineFile('C:\Documents and Settings\Приветствие\Local Settings\Application Data\Schedule\Schedule.exe','');
    QuarantineFile('c:\program files\zaxar\zaxarloader.exe','');
    QuarantineFile('c:\program files\zaxar\zaxargamebrowser.exe','');
    QuarantineFileF('C:\Documents and Settings\Приветствие\Local Settings\Application Data\Schedule', '*', true, ' ', 0, 0);
    QuarantineFileF('C:\Documents and Settings\Приветствие\Application Data\PriceGong', '*', true, ' ', 0, 0);
    QuarantineFileF('C:\Program Files\Zaxar', '*', true, ' ', 0, 0);
    DeleteFile('C:\Documents and Settings\Приветствие\Local Settings\Application Data\Schedule\Schedule.exe','32');
    DeleteFile('C:\Program Files\Google\Chrome\Application\chrome.url','32');
    DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
    DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
    DeleteFile('C:\Temp\5893265aq','32');
    DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
    DeleteFile('C:\Temp\4934687','32');
    DeleteFile('C:\Temp\4925468.exe','32');
    DeleteFile('C:\WINDOWS\Tasks\At3.job','32');
    DeleteFile('C:\Temp\5261703','32');
    DeleteFile('C:\Temp\5243812.exe','32');
    DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\qvfyowd.exe','32');
    DeleteFile('C:\WINDOWS\Tasks\gptqkgn.job','32');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    ExecuteRepair(13);
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    3. После перезагрузки архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    4. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код (Text):
    O4 - Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe
    O4 - Global Startup: Schedule.lnk = ?
    O4 - Global Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe
    5. Удалите через панель управления => установка и удаление программ:

    Затем папку c:\program files\zaxar удалите вручную (если она останется). + Пересоздайте ярлыки для браузеров.

    6. Что находится в этих папках?

    Код (Text):
    C:\Program Files\Hn
    C:\setup.rnd
    7. Сделайте новые логи AVZ, RSIT.

    8. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве

    9. Рекомендуется сменить пароли на веб ресурсы.
     
    Последнее редактирование: 29 ноя 2013
  3. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Не удаляется. Пишет что можно удалить только в среде 64-битной windows. Откуда ее взять?

    Понятия не имею.
     

    Вложения:

  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Хорошо тогда удалим скриптом эту папку раз не получается ее удалить.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
    ClearQuarantine;
    TerminateProcessByName('c:\program files\zaxar\zaxargamebrowser.exe');
    DeleteFile('c:\program files\zaxar\zaxargamebrowser.exe','32');
    DeleteFile('C:\Program Files\Zaxar\libts1.dll','32');  
    DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' ');
    DeleteFileMask('C:\Documents and Settings\Приветствие\Local Settings\Application Data\Schedule', '*', true, ' ');
    DeleteDirectory('C:\Program Files\Zaxar');  
    DeleteDirectory('C:\Documents and Settings\Приветствие\Local Settings\Application Data\Schedule');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера.

    2. Попробуйте удалить через установка и удаление программ:

    3. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве

    Код (Text):

    Обнаруженные ключи в реестре:  4
    HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> Действие не было предпринято.
    HKCU\Software\ConduitSearchScopes (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    HKCU\Software\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ip 1.47 (Trojan.Agent.VBS) -> Действие не было предпринято.

    Обнаруженные папки:  3
    C:\Documents and Settings\Приветствие\Application Data\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Program Files\Hn\Ip (Trojan.Agent.VBS) -> Действие не было предпринято.

    Обнаруженные файлы:
    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb002F9.log (Extension.Mismatch) -> Действие не было предпринято.
    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb002F7.log (Extension.Mismatch) -> Действие не было предпринято.
    C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\1.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\31951.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\4489.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\a.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\b.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\c.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\d.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\e.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\f.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\g.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\h.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\i.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\j.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\k.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\l.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\m.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\mru.xml (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\n.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\o.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\p.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\q.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\r.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\s.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\t.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\u.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\v.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\w.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\wlu.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\x.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\y.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Documents and Settings\Приветствие\Application Data\PriceGong\Data\z.txt (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    C:\Program Files\Hn\Ip\indurk.akk (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Hn\Ip\nash_sitee.vbs (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Hn\Ip\nechelovecheskieebanyai.bat (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Hn\Ip\poajfmas.dd (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Hn\Ip\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Hn\Ip\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.
    4. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    5. Попробуйте удалить после всех действий папку C:\Program Files\Hn

    6. Проверьте эти файлы на virustotal
    Код (Text):

    D:\MGA6crack.exe
    C:\Program Files\uTorrentControl_v2\uTorrentControl_v2ToolbarHelper.exe
     
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    7. Сделайте новые логи AVZ, RSIT
     
  5. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0

    Вложения:

  6. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    1. Желательно удалить нежелательное ПО через установка и удаление программ:

    Код (Text):
    uTorrentControl_v2 Toolbar-->C:\Program Files\uTorrentControl_v2\uninstall.exe
    2. Удалите эту папку:

    3. Этим кряком вы пользуйтесь?


    4. Проверьте эти файлы на virustotal
    Код (Text):

    C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
     
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    5. Уточните что находится в этой C:\setup.rnd папке?

    6. Сделайте новые логи RSIT
     
    Последнее редактирование: 29 ноя 2013
  7. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Нет

    https://www.virustotal.com/ru/file/...d84e12e72c4be2ce2bff446e/analysis/1385736429/


    Не могу сказать
     

    Вложения:

    • log.txt
      Размер файла:
      22,3 КБ
      Просмотров:
      1
  8. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    1. Кряк лучше не трогать так как это похоже активатор Windows XP

    2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код (Text):
    Procedure ScanDir(ADirName : string; AScanSubDir : boolean);
    var FS : TFileSearch;
    begin
    ADirName := NormalDir(ADirName);
    FS := TFileSearch.Create(nil);
    FS.FindFirst(ADirName + '*');
    while FS.Found do
      begin
        SetStatusBarText(ADirName + FS.FileName);
        if FS.IsDir then
        begin
          if AScanSubDir and (FS.FileName <> '.') and (FS.FileName <> '..') then
            ScanDir(ADirName + FS.FileName, AScanSubDir)
        end
        else
          AddToLog(ADirName + FS.FileName + '__MD5= ' + CalkFileMD5(ADirName + FS.FileName)+ '__Size= '+ IntToStr(GetFileSize(ADirName + FS.FileName)));
        FS.FindNext;
      end;
    FS.Free;
    end;
    begin
    ClearLog;
    ScanDir('C:\setup.rnd', true);
    ScanDir('C:\Program Files\uTorrentControl_v2', true);
    SaveLog(GetAVZDirectory + 'MD5&Size.txt');
    end.
    После выполнения скрипта AVZ будет сформирован отчет MD5&Size.txt. Выложите файл MD5&Size.txt из папки с авз.
     
    Kиpилл нравится это.
  9. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Пустой.
     
  10. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Уточните, а эти папки пустые?

     
  11. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Да, пустые
     
  12. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    1. Удалите тогда эти папки раз они пустые.

    2. Удалите MBAM через установка и удаление программ.

    3.
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  13. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Лог.
    MBAM удалил уже.
     

    Вложения:

    Последнее редактирование: 29 ноя 2013
  14. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Папки удалили?

    Установите обновления по ссылкам.

    Adobe Flash Player 11 ActiveX v.11.2.202.235 Внимание! Скачать обновления
    Adobe Reader 8 - Russian v.8.1.2 Внимание! Скачать обновления
    Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424 обновите до версии 6.0.4.1611
     
    Последнее редактирование: 29 ноя 2013
  15. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
  16. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Последнее редактирование: 29 ноя 2013
  17. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Компьютер не мой. Уже отдал.
     
  18. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.469
    Симпатии:
    865
    Очень жаль.
     
Статус темы:
Закрыта.

Поделиться этой страницей