Решена Хочу провериться

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Turok, 26 мар 2014.

Статус темы:
Закрыта.
  1. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    Помогал другу с файловым вирусом,вроде бы удалил,но хочу удостовериться,что от него ничего не осталось!
     

    Вложения:

  2. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
    Код (Text):
    begin
    ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
    then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
    end;
    ClearQuarantine;
    QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
    DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
    DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
    DeleteFile('C:\Windows\Tasks\DSite.job','64');
    DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
    DeleteFile('C:\Windows\system32\Tasks\DSite','64');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','mobilegeni daemon');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    ExecuteRepair(10);
    RebootWindows(false);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):
    O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
    O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
    O2 - BHO: Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - (no file)
    O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - (no file)
    O2 - BHO: FindRight - {cf710881-c002-4ea4-860a-b6931b040948} - (no file)
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
    O3 - Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
    O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - (no file)
    O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file)
    O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)
    O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
    Пересоздайте ярлыки для браузеров.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Сделайте лог полного сканирования MBAM.
     
  3. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    mike 1, вот, посмотрите
     

    Вложения:

  4. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".
    • По окончанию сканирования снимите галочки со следующих строк:
      Код (Text):
      Folder Found C:\Program Files (x86)\Mail.Ru
      Folder Found C:\Program Files (x86)\Yandex
      Folder Found C:\ProgramData\Yandex
      Folder Found C:\Users\1\AppData\Local\Mail.Ru
      Folder Found C:\Users\1\AppData\Local\Yandex
      Folder Found C:\Users\1\AppData\LocalLow\Yandex
      Folder Found C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
      Folder Found C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
      Folder Found C:\Users\1\AppData\Roaming\Yandex
    • Нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
    Подробнее читайте в этом руководстве.

    В MBAM удалите все найденное.

    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
     
    Turok нравится это.
  5. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    Вот,держите (дополнительно провёл сканирование реестра на наличие "webalta"):
     

    Вложения:

  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Все, что нашел AVZ можно удалить.
     
  7. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    Мне теперь делать рекомендации из этой статьи Рекомендации после удаления вредоносного ПО ?

    Security Check by glax24 version 0.2.4.60 rc1
    WebSite: www.safezone.cc
    DateLog: 27.03.2014 13:29:49
    Run directory: C:\Users\1\AppData\Local\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionLocal: 7.2 __________________________________________________
    Windows 7 (6.1.7601) Service Pack 1 (x64) HomeBasic Lang: Russian(0419)
    Дата установки ОС: 27.08.2012 12:43:19
    Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [280 Гб] Занято: [129.4 Гб] Свободно: [150.6 Гб] Браузер по умолчанию:C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe -------------Windows------------------------------
    Internet Explorer 10.0.9200.16750 Внимание! Скачать обновления
    Контроль учётных записей пользователя включен
    Уведомлять о загрузке и установке обновлений
    Дата установки обновлений: 2014-01-05 12:19:31 Центр обновления Windows (wuauserv)-Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    -------------Firewall_WMI-------------------------
    -------------AntiSpyware_WMI----------------------
    Windows Defender
    -------------OtherUtilities-----------------------
    Malwarebytes Anti-Malware, версия 2.00.0.1000 v.2.00.0.1000
    -------------Java---------------------------------
    Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8-windows-i586.exe)^
    Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления ^Скачайте jre-8-windows-i586.exe^
    Java Auto Updater
    -------------AdobeProduction----------------------
    Adobe Flash Player 12 ActiveX v.12.0.0.77
    Adobe Flash Player 12 Plugin v.12.0.0.77
    Adobe Shockwave Player 11.6 v.11.6.8.638 Внимание! Скачать обновления
    Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
    -------------Browser------------------------------
    Yandex v.32.0.1700.12508 [+]
    -------------EndLog-------------------------------
     
    Последнее редактирование: 27 мар 2014
  8. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Сделайте пока что новые логи по правилам диагностики. Потом вернемся к обновлениям.
     
    Turok нравится это.
  9. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    mike 1, Держите:
    --- Объединённое сообщение, 27 мар 2014, Дата первоначального сообщения: 27 мар 2014 ---
    Ещё,пожалуйста помогите очиститься от остатков всяких антивирусов,тюнапов и тулбаров
    --- Объединённое сообщение, 27 мар 2014 ---
     

    Вложения:

    Последнее редактирование: 27 мар 2014
  10. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
    Код (Text):
    begin
    DeleteFile('C:\Windows\Tasks\WinZipDriverUpdater_UPDATES.job','64');
    DeleteFile('C:\Windows\system32\Tasks\WinZipDriverUpdaterRunAtStartup','64');
    DeleteFile('C:\Windows\system32\Tasks\WinZipDriverUpdater_UPDATES','64');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Для полного удаления Аваст воспользуйтесь этой http://files.avast.com/files/eng/aswclear.exe утилитой.

    P.S. А вообще лучше было бы если вы выложили эти логи в учебке и попробовали сами проанализировать отчеты и написать решение проблемы. Преподаватели поправили вас в случае необходимости. :)
     
    Последнее редактирование: 27 мар 2014
    Turok нравится это.
  11. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    Я это уже делал!!!!
    --- Объединённое сообщение, 27 мар 2014, Дата первоначального сообщения: 27 мар 2014 ---
    Скрипт выполнил.сейчас пришлю новые логи!
    Кстати,забыл написать,вчера после выполнения первого скрипта в AVZ появились странности:
    Ничего не открывается в панели управления и др.
    --- Объединённое сообщение, 27 мар 2014 ---
    Я бы это сделал,но луче мы с вами быстро полечимся,а то аппарат не мой,а друга!
    --- Объединённое сообщение, 27 мар 2014 ---
    Вот лог:
     

    Вложения:

    Последнее редактирование: 27 мар 2014
  12. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    Всё чисто ?
    Друг волнуется за ноутбук!
    --- Объединённое сообщение, 27 мар 2014, Дата первоначального сообщения: 27 мар 2014 ---
    Вот (ещё я удалил программу "Zona" (т.к. Dr Web LiveCD показал,что это Adware) и браузер Torch AVZ нашёл их остатки в реестре):
     

    Вложения:

    • AVZ.rar
      Размер файла:
      6,9 КБ
      Просмотров:
      5
  13. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Создайте точку восстановления.

    Для Torch и Avast можно удалить все найденное. Для Zona смотрите что удаляете.
     
    machito нравится это.
  14. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    А вы можете показать,что ненужно удалять?
     
  15. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    А ещё, ребята, в Диспетчере устройств написано, что и драйвер видеоадаптера Интел работает и Нвидиа. Как это ?! Что, работают одновременно обе видеокарты и Интел ( встроенная ) и внешняя - Нвидиа ?!
     
  16. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    С этим лучше написать в профильный раздел форума. По поводу Zona лучше сами определите что вам не нужно. В остальном логи в порядке. Установите обновления по ссылкам из 7 сообщения.
     
  17. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    Здравствуйте !
    Не могли бы вы снова посмотреть логи,а то с системой начались проблемы:
    Не запускается Центр обновления в меню Пуск
    Не устанавливается ни одно обновление
    Запуск Fix It'а завершается ошибкой
    Появляется ошибка "Explorer.exe Интерфейс не поддерживается" при попытки зайти в Разрешение экрана через контекстное меню на рабочем столе (ну вы поняли,что я хотел сказать)
    Не загружаются файлы на форумах (из-за этой проблемы не могу загрузить логи через форум,поэтому загрузил на rghost.ru http://rghost.ru/private/53509011/8c8fccdac9f2c2d028c6f4cdd9e0301f (пароль 324)) и др.
     
    Последнее редактирование: 28 мар 2014
  18. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    После каких действий возникла такая проблема?
     
  19. Turok
    Оффлайн

    Turok Пользователь

    Сообщения:
    407
    Симпатии:
    84
    Если честно,я не помно
    --- Объединённое сообщение, 28 мар 2014 ---
    А по логам всё чисто ?
    Если чисто,то я просто сделаю обновление с установочного диска !!!
     
    Последнее редактирование: 28 мар 2014
  20. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.474
    Симпатии:
    866
    Попробуйте временно деинсталлировать SafenSoft SysWatch
     
Статус темы:
Закрыта.

Поделиться этой страницей