Решена Похоже напали вирусы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем s.podlesnykh, 12 окт 2013.

Статус темы:
Закрыта.
  1. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    При загрузке компьютера открываются какие-то окна консольные. Названия файлов непонятные.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      19,6 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      20,8 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      13,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      22,6 КБ
      Просмотров:
      2
  2. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Отключите:
    Антивирус/Файерволл

    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\systemhost\24FC2AE3C16.exe','');
    DeleteFile('C:\systemhost\24FC2AE3C16.exe');
    QuarantineFileF('C:\systemhost','*', true,'',0 ,0);
    DeleteFileMask('C:\systemhost', '*', true);
    DeleteDirectory('C:\systemhost');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F0EXG1X8HL');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.

     

    После выполнения скрипта компьютер перезагрузится!

    После перезагрузки выполните такой скрипт:

    AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
    скрипт -> Нажать кнопку "Запустить".


    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

    Пофиксить в HijackThis следующие строчки:
    Код (Text):

    R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
     
    Сделайте повторные логи AVZ + RSIT

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    ______________________________________
     
    Последнее редактирование: 12 окт 2013
    shestale нравится это.
  3. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Карантин отправил.
     

    Вложения:

  4. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Удалите в МВАМ (потребуется повторное сканирование)

    Код (Text):
    Обнаруженные ключи в реестре:  3
    HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Действие не было предпринято.
    HKCR\CLSID\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Действие не было предпринято.

    Объекты реестра обнаружены:  3
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|StartmenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

    Обнаруженные папки:  1
    C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Действие не было предпринято.

    Обнаруженные файлы:  5
    D:\старые документы\ie_updates3r.exe (Trojan.Downloader) -> Действие не было предпринято.
    D:\старые документы\Local Settings\Temp\csrssc.exe (Malware.Packer.Gen) -> Действие не было предпринято.
    C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.
     
    подготовьте такой лог http://safezone.cc/threads/19945/
    обновитесь по ссылкам из полученного лога

    отпишитесь о проблеме
     
    Последнее редактирование: 12 окт 2013
  5. s.podlesnykh
    Оффлайн

    s.podlesnykh Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Пока проблем не видно.
    ссылка ведет вникуда. Ничего не скачивается.
     
  6. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    сорри, форум только переехал, ссылка уже работает. Попробуйте ещё раз.

    и ознакомьтесь с рекомендациями после лечения
    http://safezone.cc/threads/16715/


    чистого интернета
     
    Последнее редактирование: 12 окт 2013
Статус темы:
Закрыта.

Поделиться этой страницей