Решена Тормозит компьютер

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Kotyar, 6 апр 2012.

Статус темы:
Закрыта.
  1. Kotyar
    Онлайн

    Kotyar Гость

    Добрый день
    Помогите пожалуйста проверьте компьютер на вирусы, стал тормозить по страшному. Мозила странно работает, и возникают проблемы с сетевой картой. Антивирус симантек был не корректно удален, как правильно его удалить
     

    Вложения:

    • info.txt
      Размер файла:
      28,2 КБ
      Просмотров:
      4
    • log.txt
      Размер файла:
      29,6 КБ
      Просмотров:
      13
    • virusinfo_syscheck.zip
      Размер файла:
      36,7 КБ
      Просмотров:
      5
    • virusinfo_syscure.zip
      Размер файла:
      36,8 КБ
      Просмотров:
      5
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Kotyar, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Здравствуйте. Сейчас посмотрю логи.

    Добавлено через 32 минуты 22 секунды
    Здравствуйте!

    Отключите антивирус/фаервол, интернет;

    Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код (Text):

    var StartupFolder:string;
    begin
    StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\sendip.bat','');
     QuarantineFile(StartupFolder + '\igfxtray.exe','');
     DeleteFile(StartupFolder + '\igfxtray.exe');
     DeleteFile('c:\windows\sendip.bat');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Driver');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder','C:^Documents and Settings^t_starkova^Главное меню^Программы^Автозагрузка^igfxtray.exe');
     RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
    if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

    Профиксите в HijackThis (если будет)

    Код (Text):
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
    эти сайты вы сами в доверенную зону прописывали vvf.centertelecom.ru,rf.ct.ru ? если нет, то также пофиксить пофиксить
    Код (Text):
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBBF22D-7047-4663-8FC2-C6CE8A74CDD2}: Domain = rf.ct.ru
    O17 - HKLM\System\CCS\Services\Tcpip\..\{211974EC-671B-4831-A878-939BE6ADE856}: Domain = rf.ct.ru
    O17 - HKLM\System\CCS\Services\Tcpip\..\{668F6B16-3B15-41ED-8998-3F07632ACD7F}: Domain = rf.ct.ru
    O17 - HKLM\System\CCS\Services\Tcpip\..\{80FA8029-E5C8-4BB1-8E53-66816F426D30}: Domain = rf.ct.ru
    O17 - HKLM\System\CCS\Services\Tcpip\..\{839B9D92-AF44-42FC-9A6E-E75FC67D0A40}: Domain = rf.ct.ru
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A7BE97D7-3CF6-42DE-AAAE-8C34A4806511}: Domain = rf.ct.ru
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vvf.centertelecom.ru
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vvf.centertelecom.ru,rf.ct.ru
    Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.


    смените все пароли, по окончанию лечения смените ещё раз!

    Добавлено через 1 минуту 51 секунду
    + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    +
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
      Код (Text):
      tdsskiller.exe -silent -qmbr -qboot
    3. Запустите файл fix.bat;
    4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
    5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
    6. Запустите файл TDSSKiller.exe;
    7. Нажмите кнопку "Начать проверку";
    8. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    13. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

    + Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.

    Добавлено через 15 минут 27 секунд
    Чистка системы после некорректного удаления антивируса

    PS. на время выполнения скрипта и сканирования системы для получения логов, защиту антивируса надо приостанавливать.
     
  4. Kotyar
    Онлайн

    Kotyar Гость

    Добрый день
    Все сделал
    centertelecom фиксить не надо
     

    Вложения:

  5. Kotyar
    Онлайн

    Kotyar Гость

    Еще логи
     

    Вложения:

  6. Kotyar
    Онлайн

    Kotyar Гость

    4 скрипт делает архив 12 мегаб. Мне его не отправить
     
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Выполните скрипт в AVZ
    Код (Text):
    begin
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^t_starkova^Главное меню^Программы^Автозагрузка^igfxtray.exe');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи RSIT
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    загрузите на указанный обменник и ссылку укажите в теме http://safezone.cc/forum/showthread.php?t=16073

    Добавлено через 3 минуты 59 секунд
    Также поменяйте все пароли.

    + Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

    Перезагрузите компьютер.

    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

    + Деинсталируйте MBAM.
     
    1 человеку нравится это.
  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
  10. Kotyar
    Онлайн

    Kotyar Гость

    Вложения:

    • info.txt
      Размер файла:
      28,2 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      32,9 КБ
      Просмотров:
      3
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Профиксите в HijackThis (если только не сами эту строчку прописали)

    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://program.avast.com/api/?action=2&p_age=54&p_bld=tris4&p_cid=1&p_cpv=100664585&p_elm=7&p_eml=prawdolubow@yandex.ru&p_idw=0&p_iid=0&p_inf=88&p_lan=1049&p_lci=1049&p_let=24&p_lex=312&p_lic=0&p_lid=ru-ru&p_lng=ru&p_lqa=0&p_lst=0&p_lsu=24&p_man=0&p_osv=5.1&p_pro=0&p_rcv=1&p_reh=768&p_rew=1024&p_tra=15292&p_tri=2&p_trt=34&p_uid=73ab&p_vbd=1289&p_vep=6&p_ves=0&p_wnf=6&p_vir=win32:Malware-gen&p_prc=file://C:\Program%20Files\Mozilla%20Firefox\firefox.exe&p_obj=http://fileshare309.depositfiles.com/auth-132125169571aeb546b8d537b9f278fe-46.237.24.210-653010347-89318582-guest/FS309-4/Office_2010_Activate_All_Editions_CrashBox.Ru.rar%7C%3EOffice%202010%20Activate%20All%20Editions_CrashBox.Ru/Office%202010%20Activate%20All%20Editions%20By%20Clitorius/OfficeActivator.exe
    в остальном чисто.
     
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей