Решена Вероятно, удалённое управление

Тема в разделе "Лечение компьютерных вирусов", создана пользователем BORODA(C), 13 май 2016.

Статус темы:
Закрыта.
  1. BORODA(C)
    Оффлайн

    BORODA(C) Пользователь

    Сообщения:
    98
    Симпатии:
    24
    Компьютер был без антивируса длительное время. После немного подчистил комп. Наверняка что-то осталось. Прошу посмотреть.
     

    Вложения:

  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    BORODA(C), следующее ПО вам знакомо?
    MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
    Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
    Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}


    Приложение в папке C:\Program Files (x86)\Приложение www.rg.ru знакомо? Сами устанавливали?

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. BORODA(C)
    Оффлайн

    BORODA(C) Пользователь

    Сообщения:
    98
    Симпатии:
    24
    MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
    Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
    Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}

    Ничего этого пользователь специально не ставил. Удалить штатным средством App by Ask не удалось.

    AdwCleaner (by Xplode) был запущен перед сбором информации. Всё найденное было удалено. Запускать ещё раз?
    --- Объединённое сообщение, 13 май 2016 ---
    Про приложение www.rg.ru уточню, но лучше удалить. Пользователь сам заново поставит.
     
  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    BORODA(C),
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFileF('C:\Program Files (x86)\Приложение www.rg.ru', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
    DeleteFileMask('C:\Program Files (x86)\Приложение www.rg.ru','*', true);
    DeleteDirectory('C:\Program Files (x86)\Приложение www.rg.ru');
    DelBHO('{1ee05ad5-dffe-33ce-a3b5-10db0b66c62e}');
    DelBHO('{b8fde143-8a4a-3df1-aeea-320ddf9be21d}');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Да, лог AdwCleaner все равно сделайте
     
    BORODA(C) нравится это.
  5. BORODA(C)
    Оффлайн

    BORODA(C) Пользователь

    Сообщения:
    98
    Симпатии:
    24
    Карантин отправил через форму. Лог AdwCleaner прилагаю.
     

    Вложения:

  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.


    сделайте повторные логи по правилам
     
  7. BORODA(C)
    Оффлайн

    BORODA(C) Пользователь

    Сообщения:
    98
    Симпатии:
    24
    Выполнил с учётом сброса политик. Ничего не найдено.
    --- Объединённое сообщение, 16 май 2016 ---
    Повторные логи сделаю позже, если получу доступ к компьютеру. Его только что забрали.
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей