• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена и снова вирус

Статус
В этой теме нельзя размещать новые ответы.

Elka33

Активный пользователь
Сообщения
78
Симпатии
3
#1

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую Elka33, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#3
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Маша\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe','');
 DeleteFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe');
 DeleteFile('C:\Users\Маша\AppData\Roaming\ScreenSaverPro.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yxmymw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи
 

akok

Команда форума
Администратор
Сообщения
13,773
Симпатии
11,595
#5
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Что с проблемами?
 

Elka33

Активный пользователь
Сообщения
78
Симпатии
3
#8
по поводу проблем, как-то все странно. на флешке вдруг появилось приложение lXwOhEEVyazpkAL.exe Прилагаю скрин. Да и содержимое на флешке все равно имеет первоначальный вид, т.е. в виде ярлыков, на скрине видно. Складывается впечатление, что какая-то посторонняя активность присутствует. Защитный модуль МВАМ блокирует что-то периодически.
 

Вложения

Elka33

Активный пользователь
Сообщения
78
Симпатии
3
#9
опять только что МВАМ переместил в карантин ScreenSaverPro.scr
 

Elka33

Активный пользователь
Сообщения
78
Симпатии
3
#10
и еще, в автозагрузке я отключаю, а они снова появляются два файлика (см.скрин). может это ОНО?
 

Вложения

akok

Команда форума
Администратор
Сообщения
13,773
Симпатии
11,595
#13
Добавлено через 3 минуты 58 секунд
Выполните скрипт UVS и пришлите карантин
Код:
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
; zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
bl E40DB6AC259D0BF00EA4E9BCF4B9CCDA 115712
addsgn A7679B1991A24F7F2FB6EFB14DC50668648A75A375F92A884582C59565F2130D2334DEDF40149D4836AC40DE46155436F99EE85B4802416D2D5CA9F73647225A 16 Backdoor.Win32.Androm.wna

; C:\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
; zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delref D:\PAD.EXE
chklst
delvir

restart
После выполнения скрипта компьютер перезагрузится.

Подготовьте лог лог SecurityCheck by glax24
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,838
Симпатии
5,571
#15
+ Сделайте свежий лог uVS

Добавлено через 2 минуты 45 секунд
+ Установите обновления

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен (-1)
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Adobe Flash Player 11 ActiveX 64-bit v.11.0.1.152 Внимание! Скачать обновления
 

Elka33

Активный пользователь
Сообщения
78
Симпатии
3
#16
свежий лог.

а еще вопрос. У меня на флешке хранится важная очень информация. Но при открытии этой флешки информация выдается криво, т.е. как ярлыки. Нельзя ли не удаляя эту информацию, восстановить флешку?
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,838
Симпатии
5,571
#17
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 DeleteFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe');
 DeleteFile('H:\RECYCLED.EXE');
 DeleteFile('H:\AUTORUN.INF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yxmymw');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


перед созданием лога MBAM подключите флешку к компу.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,838
Симпатии
5,571
#19
Удалите найденное в MBAM.

Скопируйте следующий текст в Блокнот и сохраните, как run.bat:
Код:
attrib "*" -s -h /S /D
скопируйте файл run.bat в корень флешки и запустите
Внимание не запускайте этот файл, когда он находится на жестком диске.

после этого на флешке должны появиться настоящие ваши файлы, а ярлыки на них (на самом деле ссылки на вирусы) можете просто удалить.

Перезагрузите компьютер и сделайте повторный лог MBAM отпишитесь о результатах.
 

Elka33

Активный пользователь
Сообщения
78
Симпатии
3
#20
МВАМ ничего не выявил, все чисто. Флешка восстановилась. Спасибо огромное.
 
Статус
В этой теме нельзя размещать новые ответы.