Решена возможно вирус

Тема в разделе "Лечение компьютерных вирусов", создана пользователем GrekID, 15 мар 2012.

Статус темы:
Закрыта.
  1. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    система официальная вин7 хом, отработала примерно год без глюков, последнее время стала шалить по полной, иногда во время открытия яндекса выдаёт 410 ошибка, на прошлой неделе в один день всего, на этой уже 3 дня подряд! Спасибо вам за помощь
     

    Вложения:

    • info.txt
      Размер файла:
      36,1 КБ
      Просмотров:
      3
    • log.txt
      Размер файла:
      45,8 КБ
      Просмотров:
      6
    • virusinfo_syscure.zip
      Размер файла:
      25,1 КБ
      Просмотров:
      6
    • virusinfo_syscheck.zip
      Размер файла:
      23,6 КБ
      Просмотров:
      1
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую GrekID, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Здравствуйте, сейчас посмотрю.
     
  4. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    Здравствуйте, огромное Вам спасибо.
     
  5. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Файл C:\Users\GrekID\Desktop\AA_v3.exe Вам знаком?

    Отключите
    Антивирус/Файерволл

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk','');
     QuarantineFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe','');
     QuarantineFile('C:\Windows\svcadmin.exe','');
     DeleteFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk');
     DeleteFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^GrekID^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.323412417690618.exe.lnk');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    ПК перезагрузится. Выполните скрипт в AVZ
    Код (Text):

    begin
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
     
    Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

    Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
    • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
    • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
    • После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
     
  6. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    Файлы Вам отправил.
    будьте так добры, если Вас не затруднит по подробнее расписать следующие задачи! заново всё отключить? если вас не затруднит то ссылку как отключить полностью антивирусник nod32 4 с системы win7 x64 home basic
    я в это время выполняю ваш последний скрипт.
    Спасибо.
     
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    В карантин ничего не попало ждем следующего лога
     
  8. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    Цитирую "Файл C:\Users\GrekID\Desktop\AA_v3.exe Вам знаком?" да, мне знаком, им пользуюсь для управления другими компьютерами. Правда только ингда, мне его порекомендовали в замен Тим Вивера! а пользовался в основном только им до этого!

    Добавлено через 3 минуты 16 секунд
    а вы думаете я не жду? я с очень большой опаской буду открывать WM ключи если есть подозрение на хоть какой нибудь вирус. спасибо ВАМ за помощь и за уделенное время!
     
  9. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    вроде всё что просили, выполнил. ребята я прошу только сказать есть у меня вирусы или нет, могу ли я завтра, после вашего (согласия или опровержения) в дальнейшем использовать именно эту систему безопасно или мне лучше сменить систему. Спасибо Вам огромное!
     

    Вложения:

  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
    Если МВАМ уже закрыли, то просканируйте заново и удалите эти строки
    остальные кряки и кейгены на ваше усмотрение, но тоже могут быть заражены.

    Не сделали еще это
     
  11. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    Да, на время создания логов/выполнения скриптов отключайте защитное ПО.

    Кликните правой кнопкой мыши по значку нода в трее - Отключить защиту от вирусов и шпионский программ.



    + Запакуйте, пожалуйста, файл C:\Windows\svcadmin.exe в архив, залейте на файлообменник и пришлите ссылку мне в личные сообщения.
     
  12. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    Вот всё заного провел полную проверку, антивирус выключен, браузеры открыты. Пока ничего не удалял.
     

    Вложения:

  13. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
  14. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
    В МВАМ удалите те строки, которые я вам написал.
     
  15. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    Это что такое? в реестре удалить? или что за МВАМ
     
  16. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.061
    Симпатии:
    4.488
    Malwarebytes' Anti-Malware (МВАМ), удалите эти строки
     
  17. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    извините, не могу найти где именно в этой программе удалить эти строки, запустил сканирование на крайний случай вновь. Спасибо.
     
  18. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.456
    Симпатии:
    13.954
    GrekID, для этого необходимо повторить сканирование MBAM и отметить необходимые записи для удаления.
     
  19. GrekID
    Оффлайн

    GrekID Пользователь

    Сообщения:
    21
    Симпатии:
    0
    хотел бы узнать у Вас по поводу антивируса, есть ли смысл удалять его полностью с компьютера, в замен установить хороший файрвол? как например agnitum. Спасибо
     
  20. S.R
    Оффлайн

    S.R Ассоциация VN

    Сообщения:
    737
    Симпатии:
    397
    GrekID, нет, антивирус удалять не следует.

    Параметры реестра/файлы в MBAM удалили?

    Отключите
    Антивирус/Файерволл

    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk','');
     QuarantineFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe','');
     DeleteFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk');
     DeleteFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe');
     RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^GrekID^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.323412417690618.exe.lnk');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    ПК перезагрузится. Выполните скрипт в AVZ
    Код (Text):

    begin
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
     
    Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

    Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT
     
    Последнее редактирование: 17 мар 2012
Статус темы:
Закрыта.

Поделиться этой страницей