• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена И снова вирус

Статус
В этой теме нельзя размещать новые ответы.

ljana12

Активный пользователь
Сообщения
175
Реакции
22
Баллы
318
Здрасте!

Сегодня на фейсбуке подхватила вирус в виде фотки, но расширение было ехе... И что самое странное то, что все друзья и не друзья начали получать этот файл и отправлять его мне обратно

Сделала скрипты. Посмотрите, плиз
 

Вложения

  • virusinfo_syscheck.zip
    28.6 KB · Просмотры: 4
  • virusinfo_syscure.zip
    28.6 KB · Просмотры: 5
  • log1.txt
    23.6 KB · Просмотры: 5

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую ljana12, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

ljana12

Активный пользователь
Сообщения
175
Реакции
22
Баллы
318
сделала еще мбам

посмотрите
 

Вложения

  • MBAM-log-2013-06-02 (11-59-20).txt
    4.3 KB · Просмотры: 4

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\User\Application Data\Yfwqwo.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\Yfwqwo.exe');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

Мне не нравится список установленных тулбаров.
DefaultTab - сами устанавливали?


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Добавлено через 1 минуту 32 секунды
В MBAM удалите только:
Код:
Обнаруженные файлы:  6
D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd336.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd334.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd335.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
D:\RECYCLER\S-1-5-21-725345543-1644491937-682003330-1004\Dd337.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

Если сами качали, то не трогайте, если не знаете, что это... тоже удаляем:
Код:
D:\User\User\Documents\Downloads\utorrent.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
D:\User\User\Documents\Downloads\womancalendar.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
 

ljana12

Активный пользователь
Сообщения
175
Реакции
22
Баллы
318
вроде бы сделала...

Спасибо за советы :)
Тулбар возможно устанавливал мастер, который ставил винду...
Удалила в мамбе все, что вы сказали.
Файл тоже отправила.
 

Вложения

  • AdwCleaner[R1].txt
    2.5 KB · Просмотры: 4

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
Удалим мусор.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!


Что с симптомами?
 

ljana12

Активный пользователь
Сообщения
175
Реакции
22
Баллы
318
сделала повторно сканирование мбамом, вот что осталось:

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

симптомов больше нету, на фб все в порядке
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,963
Реакции
2,136
Баллы
643
Это можно не удалять.

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

И соблюдайте правила.
 

ljana12

Активный пользователь
Сообщения
175
Реакции
22
Баллы
318
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 04.06.2013 13:26:28
Program directory: C:\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.3
Диск C:\ ФС: NTFS Емкость: (102.8 Гб) Занято: (15.3 Гб) Свободно: (87.5 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 28.02.2013 15:57:07
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.2
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------OtherUtilities-----------------------
CCleaner v.4.00
Foxit Reader 5.3.1.606 v.v 5.3.1.606 Внимание! Скачать обновления
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 21 v.7.0.210
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.5.502.135 Внимание! Скачать обновления
Adobe Reader XI (11.0.03) v.11.0.03 [+]
-------------Browser------------------------------
Google Chrome v.27.0.1453.94
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.27.0.1453.94
-------------EndLog-------------------------------
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,963
Реакции
2,136
Баллы
643
Malwarebytes Anti-Malware можно деинсталлировать. Фоксит и Флэш обновите.
 

ljana12

Активный пользователь
Сообщения
175
Реакции
22
Баллы
318
это после адвклинера
# AdwCleaner v2.301 - Logfile created 06/04/2013 at 13:30:16
# Updated 16/05/2013 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : User - HOME-9E0BDCFEAA
# Boot Mode : Normal
# Running from : D:\User\User\Documents\Downloads\adwcleaner.exe
# Option [Search]


***** [Services] *****

Found : DefaultTabSearch
Found : DefaultTabUpdate

***** [Files / Folders] *****

File Found : C:\Temp\Uninstall.exe
Folder Found : C:\Documents and Settings\User\Application Data\DefaultTab
Folder Found : C:\Program Files\DefaultTab
Folder Found : C:\Program Files\OApps

***** [Registry] *****

Key Found : HKCU\Software\AppDataLow\Software\DefaultTab
Key Found : HKCU\Software\Default Tab
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Key Found : HKLM\SOFTWARE\Classes\AppID\DefaultTabBHO.DLL
Key Found : HKLM\SOFTWARE\Classes\CLSID\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser
Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser.1
Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX
Key Found : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX.1
Key Found : HKLM\Software\Default Tab
Key Found : HKLM\Software\DefaultTab
Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\DefaultTab
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DefaultTab

***** [Internet Browsers] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Registry is clean.

-\\ Google Chrome v27.0.1453.94

File : C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [2575 octets] - [02/06/2013 16:10:58]
AdwCleaner[R2].txt - [2468 octets] - [04/06/2013 13:30:16]

########## EOF - C:\AdwCleaner[R2].txt - [2528 octets] ##########

Добавлено через 3 минуты 32 секунды
фоксит раньше обновляла, сейчас повторила и получила сообщение, что у меня последняя версия...
а почему нельзя мбам оставить?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
а почему нельзя мбам оставить?
потому что он конфликтует с другими программами.
----------------------
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
 

ljana12

Активный пользователь
Сообщения
175
Реакции
22
Баллы
318
понятно, спасибо большое за помощь :)
 

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу