• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Avast кричит о вирусах

Статус
В этой теме нельзя размещать новые ответы.

backsunday

Активный пользователь
Сообщения
68
Реакции
0
Баллы
386
Антивирус Аваст периодически кричит,что обнаружен вирус , но что-либо сделать с ним не может. Ссылается он вроде как на системную папку (system), пишет что то про WOW64/название червя, выскакивает два подряд окна обнаружения угрозы!
 

Вложения

  • virusinfo_syscure.zip
    32.2 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    32.1 KB · Просмотры: 0
  • info.txt
    49.3 KB · Просмотры: 1
  • log.txt
    81.2 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую backsunday, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
F3 - REG:win.ini: load=c:\users\0342~1\dxgseqya.exe
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [Uozkze] C:\Users\ион\AppData\Roaming\Uozkze.exe
O4 - HKCU\..\Run: [c19ab196e2ca] iexplore.exe

2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\users\0342~1\dxgseqya.exe','');
 QuarantineFile('C:\Users\ион\AppData\Roaming\Uozkze.exe','');
 DeleteFile('C:\Users\ион\AppData\Roaming\Uozkze.exe');
 DeleteFile('c:\users\0342~1\dxgseqya.exe');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Uozkze');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'c19ab196e2ca');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
 INIEraseParam('D:\WINDOWS\win.ini','windows','load');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Сделайте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

7.
AVZ - сервис - поиск данных в реестре.
В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте

8. Оставьте в работе только один антивирус, остальные удалите.
 
Последнее редактирование модератором:

backsunday

Активный пользователь
Сообщения
68
Реакции
0
Баллы
386
первый пункт успешно выполнили,а при выполнении скрипта пишет ошибку: "Ошибка ";" expected в позиции 18:1"

Добавлено через 5 минут 27 секунд
а из первого пункта : REG:win.ini: load=c:\users\0342~1\dxgseqya.exe с этой строкой ничего не произошло, остальные исчезли
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,849
Реакции
2,572
Баллы
593
Поправил скрипт, который выдавал ошибку. Выполняйте
 

backsunday

Активный пользователь
Сообщения
68
Реакции
0
Баллы
386
Вот новые логи после выполнения ваших скриптов и новых проверок
 

Вложения

  • virusinfo_syscheck.zip
    31.8 KB · Просмотры: 1
  • virusinfo_syscure.zip
    33 KB · Просмотры: 2
  • info.txt
    49.3 KB · Просмотры: 1
  • log.txt
    85.6 KB · Просмотры: 2

backsunday

Активный пользователь
Сообщения
68
Реакции
0
Баллы
386
Лог сканирование Malwarebytes' Anti-Malware
 

Вложения

  • MBAM-log-2013-04-24 (23-01-42).txt
    9.9 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Удалите в МВАМ все, кроме этих строк:
C:\Program Files (x86)\Ticno\Tabs\TicnoTabsBho111217.dll (Trojan.BHO) -> Действие не было предпринято.
C:\компик\программы\фот\ColorEfex_PRO_3.1.0.1.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
Что с проблемой, решена?
 

backsunday

Активный пользователь
Сообщения
68
Реакции
0
Баллы
386
Да,решена.Спасибо!!!!!!!!!!!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Для профилактики повторных заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.
Рекомендации после лечения
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу