Решена Vista Home Premium и, возможно, зловреды

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Razey, 10 фев 2015.

Статус темы:
Закрыта.
  1. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Здравствуйте! Имеется старый ноут Sony Vaio VGN-NR11SR с предустановленной Windows Vista Home Premium x32. Долгое время не был подключен к интернету, работал как рабочая станция, но каким-то образом (думаю, автозапуск) был заражен 2-3 разновидностями зловредов. Загрузившись с Live-USB Drweb'a пролечил его (было найдено 2-3 зловреда и все были удалены), но боюсь, что-то могло остаться и как хвосты, и как "рабочее тело". Просьба посмотреть логи.
     

    Вложения:

  2. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Просьба ответить что-либо, пожалуйста, тема создана ещё во вторник.
     
  3. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    VAIO Registration Reminder - ваше?
    Касперского антивирус - недоудалили или он у вас стоит?
    Настройки сети ваши? 77.74.8.35,77.74.8.40
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Zpqkqj.exe','');
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Zpqkqj.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zpqkqj');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.


     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Razey нравится это.
  4. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    VAIO Registration Reminder - ваше?
    не знаю. В "программах и компонентах" ее не нашел.

    Касперского антивирус - недоудалили или он у вас стоит?
    Недоудалил. До выполнения скрипта скачал утилиту и 2 раза ею (Kaspersky 14 и kaspersky 6.0) "прошелся". После 2-го раза перезагрузился. Она должна была "добить"...


    Настройки сети ваши? 77.74.8.35,77.74.8.40
    нет


    Скрипт выполнил.
    Карантин выслал.
    Новые логи сделал (во вложении).
    Отчет AdwCleaner'a тоже во вложении.
     

    Вложения:

  5. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования снимите галочки со строк содержащих упоминание mail.ru
    • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.
    --- Объединённое сообщение, 16 фев 2015, Дата первоначального сообщения: 16 фев 2015 ---
    Пофикситt в HijackThis следующие строчки
    Код (Text):
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB42B07-3418-40B0-B69A-ED2544C0D9F2}: NameServer = 77.74.8.35,77.74.8.40
    Какие еще проблемы наблюдаются?
     
    Razey нравится это.
  6. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Все вышеуказанное выполнил.


    Проблем в общем-то нет, но:
    1. При загрузке появляется окошко с надписью: "Боковая панель Windows управляется системным администратором".
    2. После введения пароля компьютер "подвисает" где-то на 1-2 минуты (невозможно ни свернуть окно, ни вызвать диспетчер задач, не работает ни одна кнопка ни клавиатуры, ни мыши. После этого все становится нормально, работает, как обычно...
     
  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Исправьте в реестре:
    Код (Microsoft Registry):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Windows\Sidebar
    Параметр TurnOffSidebar вместо "1" поставьте "0" ,панель должна начать запускаться.
    Если нужно отключить панель,то по инструкции:
    https://technet.microsoft.com/ru-ru/security/dn261332.aspx

    Проверьте повторится ли данная проблема в безопасном режиме.

    Давайте еще сделаем контрольный лог autologger.
    --- Объединённое сообщение, 16 фев 2015 ---
    В смежных темах сегодня ответите или в другой раз?
    --- Объединённое сообщение, 16 фев 2015 ---
    + добейте касперского по инструкции
    http://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
     
    Razey нравится это.
  8. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Koza Nozdri, спасибо.

    1. Боковую панель оставлю в том виде, в котором она есть (на мой взгляд, это лучший вариант) - мнение сформировалось после прочтения вашей ссылки по отключению боковой панели.

    2. По поводу "подвешивания" компьютера - дело оказалось в касперском, вернее, конкретно в версии 6.0 для Windows Workstation (на компьютере в разное время стояло 2 антивируса Касперского - сначала 6.0, потом 2014; 2014 нормально удалил утилитой, а вот версию 6.0 нет, т.к. неправильно указал ее разновидность в меню утилиты - сейчас исправился).

    3. Ваши рекомендации (если можно) по обеспечению безопасности Vista в интернете и без него - имею ввиду настройки реестра, какие-либо настройки в оснастке, в групповой политике и т.д. Почему так?
    Привык делать так, чтобы ко мне больше не обращались...
    Киньте ссылку, не надо много - найду сам...

    4. Постараюсь ответить еще в одной теме сегодня, а в другой (связанной с Adobe Flash) завтра, т.к. сегодня проблемный комп не включен, а человек, за ним работающий, будет только завтра (а кабинет закрыт).

    5. Если ничего не наблюдаете - тему можно закрывать...
     
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.


    Выполните рекомендации после лечения.
     
    Razey нравится это.
  10. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Выполняю рекомендации после лечения, "подвисон" все же остался. В логе SecurityCheck увидел, что на данном компе стоял и Norton 360. "Отработать" и по нему утилитой удаления?
     

    Вложения:

  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    --- Объединённое сообщение, 18 фев 2015 ---
    Да,по нортону пройдитесь утилитой удаления.
    Если проблемы с подвисаниями не пройдут - лобро пожаловать в раздел по системам,с этой проблемой будем там разбираться.
     
    Последнее редактирование: 18 фев 2015
    Razey нравится это.
  12. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Razey, проблемы есть?
     
  13. Razey
    Оффлайн

    Razey Активный пользователь

    Сообщения:
    589
    Симпатии:
    31
    Koza Nozdri, проблем нет, можно закрывать тему. "Подвисоны" тоже исчезли после отработки по нортону.
     
Статус темы:
Закрыта.

Поделиться этой страницей