Решена Сильное торможение браузеров, всплывающая реклама...

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 15 фев 2015.

Метки:
Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Здравствуйте!
    Имеется настольный компьютер. Видимо после запуска зловредного файла на одном из сайтов с он-лайн фильмами начала постоянно вылезать всплывающая реклама, а также окошко (1/8 24' монитора) с китайскими (предположительно!) иероглифами иногда красного, иногда зеленого цвета (обычно во время запуска файла "от администратора"). Также сильно тормозят браузеры во время серфинга в интернете, хотя на машине 8 Гб памяти. Логи во вложении.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Смотрю тему
    --- Объединённое сообщение, 15 фев 2015 ---
    Удалите через установку и удаление программ:
    WinZipper
    YAC(Yet Another Cleaner!)
    百度杀毒3.0 (инструкция) (ведь baidu я так понимаю без вашего ведома установился).

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.


    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS.
     
    Razey и shestale нравится это.
  3. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    В инструкции по удалению Baidu был скрипт - выполнил его.
    Отчет Check_Browsers_LNK во вложениях.
    Отчет AdwCleaner'a - тоже.
    Отчет UvS - тоже.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт из файла..."
    4. В uVS Скачайте в удобное место файл скрипт.txt,выберите путь к файлу скрипт.txt

      скрипт.txt

    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.


    Повторите лог uvs.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
      !если используете mail.ru и media get,то снимите галочки со строк,содержащих эти имена.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.

    Повторите лог AdwCleaner
     

    Вложения:

    Последнее редактирование: 20 фев 2015
    Razey нравится это.
  5. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Скрипт выполнил. Архив ZOO... перепаковал (т.к. он обновления для Windows 7 в него впаковал - я их выбросил) и отправил на указанный почтовый ящик. Лог UvS повторил. Результат во вложении.
     

    Вложения:

  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Razey, лог uvs поврежден,надо переделать.
     
  7. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    лог UvS переделал, во вложении.
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):

      ;uVS v3.85.6 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1
      v385c
      breg
      sreg
      zoo %Sys32%\BD64_X64.DLL
      bl E8384859BDD6AF71F5F3C60AB5BF3F98 41800
      addsgn 4AED779A55A980BEC718627DA804DEC976DCABB7DDB29C94DD8A4E45195D8108A8F58BDCE7BDEB002B80CC1A9D6353B6F610A4F9939B3BF81EBE4CEE2EF9DD3B 64 baidu

      zoo %Sys32%\BD64_X86.DLL
      bl 2EF0728AC5460C5EB0D11204A7DE940B 39056
      addsgn C12C3758596A19F9E75742AD32205E34258A7783817FE90D943CB0A8AFA361B3561B95BF21A562B6C0EF0FDA4A952C0E7D5C8D8A55893B7139202F52D78F679B 64 baidu

      deltmp
      chklst
      czoo
      delvir
      areg
      restart

       
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.

    Повторите лог uvs.

    Сообщите о наличии проблем.
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  9. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Сегодня-завтра отвечу, оставьте тему.
     
  10. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Лог Uvs и Autologger'a во вложении. ZOO на вашу почту тоже отправил.

    Проблемв всплывающей рекламы вроде бы еще присутствует...
     

    Вложения:

    Последнее редактирование: 5 мар 2015
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    Так вроде или присутствует?
    Как и где проявляется,какого рода?

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Razey нравится это.
  12. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    590
    Симпатии:
    31
    Пользователь не жалуется, проблем вроде нет, однако логи (на всякий случай) во вложении.
     

    Вложения:

    • Shortcut.txt
      Размер файла:
      95,6 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      31,8 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      32,4 КБ
      Просмотров:
      2
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.224
    Симпатии:
    4.979
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Удалите MBAM


    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR StartupUrls: Default -> "hxxp://www.google.ru/", "hxxp://www.yandex.ru/?win=134&clid=1985535", "hxxp://www.delta-homes.com/?type=hp&ts=1419503729&from=wpm12233&uid=ST1000DM003-1CH162_Z1D72NE8XXXXZ1D72NE8"

    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
    Последнее редактирование: 16 мар 2015
    Razey нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей