Решена Удаление вирусов 2 компа xp + win7

Тема в разделе "Лечение компьютерных вирусов", создана пользователем RTEagle, 26 июн 2015.

Статус темы:
Закрыта.
  1. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    Здравствуйте, уважаемые эксперты.

    Прошу помощи.
    Засорено настолько, что процесс создания логов не завершился. Папка с логами не появлась. Если делаю что-то типа открытия текстового файла, компьютер перезагружается.

    На win7 идёт скан аваста при загрузке системы. А с xp сейчас пишу запрос. Предварительно прогонял drweb. Нашёл около 800 угроз. Winlogon.exe hosts и другие
    На флешках создаёт папки.exe
    Все настройки папок на скрытые файлы, расширения, regedit и другие заблокированы
     
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    поясните подробней, ошибка вылезла или что?
    + Удалите старую папку AutoLogger и попробуйте сделать логи этой версией.
    Если снова не получится, то http://safezone.cc/resources/autologger-regist-drongo.59/field?field=FAQ
     
  3. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    Фух. Получилось сделать стандартной версией. Прикрепил
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Архив всё равно не полный.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    var PathAutoLogger, CMDLine : string;

    begin
    clearlog;
    PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
    AddToLog(PathAutoLogger);
    SaveLog(PathAutoLogger+'report3.log');
    CMDLine := 'a "' + PathAutoLogger + '\Report.zip" "' + PathAutoLogger + '\report*.log"';
    ExecuteFile('7za.exe', CMDLine, 0, 15000, true);
    end.
     
    архив Report.zip из папки с AutoLogger пожалуйста прикрепите к своему сообщению.
     
  5. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    Более поздний лог после проверки avast при загрузке. Визуально ситуация изменилась
    --- Объединённое сообщение, 26 июн 2015, Дата первоначального сообщения: 26 июн 2015 ---
    Выполнил
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    +
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    QuarantineFile('c:\documents and settings\Лыкова Галина\local settings\application data\lsass.exe', '');
    QuarantineFile('c:\documents and settings\Лыкова Галина\local settings\application data\services.exe', '');
    QuarantineFile('c:\documents and settings\Лыкова Галина\local settings\application data\winlogon.exe', '');
    QuarantineFile('C:\Documents and Settings\Лыкова Галина\Главное меню\Программы\Автозагрузка\Empty.pif', '');
    DeleteFile('C:\Documents and Settings\Лыкова Галина\Главное меню\Программы\Автозагрузка\Empty.pif');
    DeleteFile('c:\documents and settings\Лыкова Галина\local settings\application data\winlogon.exe', '32');
    DeleteFile('c:\documents and settings\Лыкова Галина\local settings\application data\lsass.exe', '32');
    ClearHostsFile;
    BC_ImportALL;
    ExecuteSysClean;
    ExecuteRepair(8);
    ExecuteRepair(13);
    ExecuteRepair(16);
    ExecuteRepair(17);
    ExecuteWizard('TSW', 2, 2, true);
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
  7. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    Не разобравшись с процессом установки я видимо обновил программу. Извиняюсь. Но лог я получил. Ничего пока не удаляю

    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Дата проверки: 26.06.2015
    Время проверки: 17:06:51
    Журнал: MBAM-log.txt
    Администратор: Да

    Версия: 2.01.6.1022
    База данных вредоносных программ: v2015.06.26.04
    База данных руткитов: v2015.06.26.01
    Лицензия: Бесплатно
    Защита от вредоносных программ: Выключено
    Защита от вредоносных веб-сайтов: Выключено
    Самозащита: Выключено

    ОС: Windows XP Service Pack 3
    Процессор: x86
    Файловая система: NTFS
    Пользователь: ??N????????° ???°?»?????°

    Тип проверки: Полная проверка
    Результат: Завершено
    Проверенно объектов: 378926
    Затраченное время: 5 мин, 28 сек

    Память: Включено
    Загрузка: Включено
    Файловая система: Включено
    Архивы: Включено
    Руткиты: Выключено
    Эвристика: Включено
    PUP: Предупредить
    PUM: Включено

    Процессы: 0
    (Вредоносные программы не обнаружены)

    Модули: 0
    (Вредоносные программы не обнаружены)

    Ключи реестра: 0
    (Вредоносные программы не обнаружены)

    Параметры реестра: 3
    PUM.LowRiskFileTypes, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [96b611aea6e4bc7acc0da1751ee6847c]
    PUM.LowRiskFileTypes, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [4ffd932cd2b8bd795089888e0df7b050]
    PUM.LowRiskFileTypes, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [dd6fa01f9befe84e4d8c8c8a09fb817f]

    Данные реестра: 1
    PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[d7755e616525a98db1e95fe6cb3b0ef2]

    Папки: 18
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-18, , [aaa2f0cf672396a026723f7f847ffa06],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-19, , [68e4447b6d1d999d7424ccf24db62cd4],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-20, , [1438a9164b3f13232e6a4678847fad53],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-21, , [0c4028978505a19510883d819a69f20e],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-22, , [6fdd823d2f5b6acc217712acb44f47b9],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-23, , [3b114e713951d1654e4a6d515fa4a759],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-24, , [024a7c433c4e39fd7820734b2fd47888],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-25, , [cd7f4b746c1e0c2aedab04bae51e22de],
    Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-26, , [fe4e338caedce0563b5d09b522e1c838],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-23, , [56f6d0efeb9fba7c35637a4437cc9769],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-18, , [e567447bcbbf95a15345912d03008080],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-19, , [3418536ca2e8d4620c8cdae4c83bac54],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-20, , [4408219e4b3f1f17d0c8f8c6b94a07f9],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-21, , [78d43a85a2e868ce0395c0fe758e9c64],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-22, , [94b8a7183d4da98dbddb13ab12f1aa56],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-24, , [c8842b945733ac8af6a2516d63a08080],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-25, , [2329b40bbfcbef47b3e514aa47bca858],
    Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-26, , [c785f7c8d0ba53e34a4e00beed1643bd],

    Файлы: 2
    Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [57f57b44a0ea4ee83a1a247872909769],
    Heuristics.Reserved.Word.Exploit, C:\WINDOWS\system32\winlogon.Del, , [28247d42296150e6747cb8947f87718f],

    Физические секторы: 0
    (Вредоносные программы не обнаружены)


    (end)
    --- Объединённое сообщение, 26 июн 2015 ---
    Также я создал лог со второй машины win7
     

    Вложения:

  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Код (Text):
    Данные реестра: 1
    PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[d7755e616525a98db1e95fe6cb3b0ef2]
    кроме этого, а также если вам знаком файл ниже то ещё кроме
    Код (Text):
    C:\WINDOWS\system32\hidcon.exe
    в MBAM всё удалите.

    Сделайте свежий лог AutoLogger-а. Для другой системы создайте отдельную тему.
     
  9. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    На счёт другой машины ясно, создам. А здесь не понятно что сделать конкретно.
    Не понятно что сделать с реестром
    C:\WINDOWS\system32\hidcon.exe - файл не знаком

    Разобрался. Сейчас сделаю
    --- Объединённое сообщение, 26 июн 2015, Дата первоначального сообщения: 26 июн 2015 ---
    Так приятно работать с вами. Свежий лог
     

    Вложения:

  10. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    Извините я увидел у другой темы надпись в работе. А у этой нет. У меня всё чисто? Ответ ещё будет
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    - Исправьте с помощью утилиты ClearLNK следующий ярлык
    Код (Text):
    C:\Documents and Settings\Лыкова Галина\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
     
    проблема решена?

    Смените пароли от почты и от всех важных сервисов.
     
  12. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    Сделал. Проблема была решена ещё несколько раньше, но я делал ваши инструкции. Блокировки нет, все настройки в папках доступны.

    Остался странный симптом. В хроме при скачивании файла он отображается в нижней панели и я кликаю по стрелочки выбираю показать в папке, но открывается окно с выбором программы в которой открыть файл. То есть действие которое должно просто открыть папку открывает её как запуск файла с неизвестным расширением
     
  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Попробуйте переустановить Хром сохранив все важные настройки.

    + MBAM - деинсталируйте.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  14. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    +Смените пароли электронной почты.
    Если с хромом так и не разберетесь - добро пожаловать в раздел по реестру.
     
  15. RTEagle
    Оффлайн

    RTEagle Новый пользователь

    Сообщения:
    22
    Симпатии:
    5
    Благодарю, всё ясно
     
Статус темы:
Закрыта.

Поделиться этой страницей