1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Backdoor.Win32.IRCBot.aepk & not-a-virus:RiskTool.Win32.BitCoinMiner.cen

Тема в разделе "Удаление компьютерных вирусов", создана пользователем TavapHяk, 13 сен 2013.

Статус темы:
Закрыта.
  1. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Ботан

    Ботан Злостный спам-бот

    Сообщения:
    994
    Симпатии:
    194
    Приветствую TavapHяk, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  4. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Не могу архив отправить из-за названия virus.zip
     
  5. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.580
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe');
     TerminateProcessByName('c:\windows\system32\checkdisku.exe');
     QuarantineFile('C:\Users\Роман\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe','');
     QuarantineFile('C:\Users\Роман\AppData\Roaming\2EC49B\2EC49B.exe','');
     QuarantineFile('c:\windows\system32\checkdisku.exe','');
     QuarantineFile('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe','');
     DeleteFile('c:\windows\system32\checkdisku.exe','32');
     DeleteFile('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe','32');
     DeleteFile('C:\Users\Роман\AppData\Roaming\2EC49B\2EC49B.exe','32');
     DeleteFile('C:\Users\Роман\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe','32');
     DeleteFile('c:\users\Роман\appdata\roaming\java\update\download\cache\csrss.exe');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AlterGeoUpdater');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AlterGeoUpdater');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
     
    1 человеку нравится это.
  6. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    готово
     

    Вложения:

  7. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.580
    а не ко мне в личку ;).

    логи пока посмотреть не могу гляну позже если никто не опередит.

    Добавлено через 2 часа 17 минут 53 секунды
    где логи RSIT ?!

    + к ним

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    --------------
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
    1 человеку нравится это.
  8. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    лог MBAM скоро будет
     

    Вложения:

    • log.txt
      Размер файла:
      25,6 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      36,9 КБ
      Просмотров:
      1
    • AdwCleaner[R0].txt
      Размер файла:
      1,6 КБ
      Просмотров:
      1
  9. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.580
    1)Html5 geolocation provider - деинсталируйте, через установку и удаление программ.

    2)
    • Запустите повторно AdwCleaner (by Xplode), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
     
    1 человеку нравится это.
  10. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    даже и не знаю
     

    Вложения:

  11. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.580
    mbam пока не закрывайте, сейчас посмотрю лог.

    Добавлено через 1 минуту 22 секунды
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками всё кроме указанных ниже строчек - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве

    Код (Text):
    D:\игра\star craft\SETUP.EXE (Hacktool.Crk) -> Действие не было предпринято.
    D:\игра\star craft\starcraft\SETUP.EXE (Hacktool.Crk) -> Действие не было предпринято.
    D:\игра\античит\Launcher\iccwc3.icc (PUP.GameTool) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    что с проблемой?
     
    1 человеку нравится это.
  12. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    есть
     

    Вложения:

  13. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Так у него игра стоит эта. Это удалять не надо. А так нормально все.
     
  14. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.580
    Если проблем больше нет

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall.
    • Подтвердите удаление нажав кнопку: Да.

    Деинсталируйте MBAM

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
    1 человеку нравится это.
  15. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Тему не закрывайте. Сейчас через МВАМ удалю найденое и повторю проверку. Просто пост невнимательно прочел, сори. Лог приложу позже.
    Вирус скорей всего залез через Яву, т.к. версия 2 там была, обновил.

    Добавлено через 1 час 29 минут 52 секунды
    Проверил МВАМ. Странно, я ничего не удалял. При проверке я видел, что он пробегал и видел тулбар, но как он его не засек? Сам по себе тулбар не мог растворится.
    Папки скрытые все видны. Мистика.
    Что делать?
     
  16. regist

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.989
    Симпатии:
    5.580
    adwcleaner мог уже зачистить этот тулбар. Если MBAM больше те объекты не находит, то переходите к посту №13
     
    1 человеку нравится это.
  17. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    лог
     

    Вложения:

  18. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.629
    Симпатии:
    14.717
    А зачем UVS?
     
    1 человеку нравится это.
  19. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Чтобы удостоверится, что ничего лишнего не осталось.
     
  20. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.629
    Симпатии:
    14.717
    Не осталось :)
     
    1 человеку нравится это.
  21. TavapHяk

    TavapHяk Активный пользователь

    Сообщения:
    141
    Симпатии:
    12
    Тогда тему можно отмечать решеной. Спасибо еще раз!
     
Загрузка...
Статус темы:
Закрыта.

Поделиться этой страницей