Решена Как избавиться от вредоносных программ на компьютере?

[Elka33]

А можно еще один компьютер почистить от нечисти? Ситуация такая же как https://safezone.cc/forum/showthread.php?t=21755

 

[Ботан]

Приветствую Elka33, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Маша\AppData\Roaming\ScreenSaverPro.scr','');
 QuarantineFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe','');
 DeleteFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe');
 DeleteFile('C:\Users\Маша\AppData\Roaming\ScreenSaverPro.scr');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yxmymw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

 

[Elka33]

новые логи

 

[akok]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Что с проблемами?

 

[Elka33]

просканировала. а обнаруженную "козявку" удалить?

 

[Sandor]

Удалите. Лог после удаления покажите.

Что с проблемами?

 

[Elka33]

по поводу проблем, как-то все странно. на флешке вдруг появилось приложение lXwOhEEVyazpkAL.exe Прилагаю скрин. Да и содержимое на флешке все равно имеет первоначальный вид, т.е. в виде ярлыков, на скрине видно. Складывается впечатление, что какая-то посторонняя активность присутствует. Защитный модуль МВАМ блокирует что-то периодически.

 

[Elka33]

опять только что МВАМ переместил в карантин ScreenSaverPro.scr

 

[Elka33]

и еще, в автозагрузке я отключаю, а они снова появляются два файлика (см.скрин). может это ОНО?

 

[akok]

Подготовьте лог UVS

 

[Elka33]

доброе утро! лог UVS

 

[akok]

Добавлено через 3 минуты 58 секунд
Выполните скрипт UVS и пришлите карантин

;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
breg
; C:\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
; zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\YXMYMW.EXE
bl E40DB6AC259D0BF00EA4E9BCF4B9CCDA 115712
addsgn A7679B1991A24F7F2FB6EFB14DC50668648A75A375F92A884582C59565F2130D2334DEDF40149D4836AC40DE46155436F99EE85B4802416D2D5CA9F73647225A 16 Backdoor.Win32.Androm.wna

; C:\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
; zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delref D:\PAD.EXE
chklst
delvir

restart

После выполнения скрипта компьютер перезагрузится.

Подготовьте лог лог SecurityCheck by glax24

 

[Elka33]

логи

 

[regist]

+ Сделайте свежий лог uVS

Добавлено через 2 минуты 45 секунд
+ Установите обновления

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен (-1)
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Adobe Flash Player 11 ActiveX 64-bit v.11.0.1.152 Внимание! Скачать обновления

 

[Elka33]

свежий лог.

а еще вопрос. У меня на флешке хранится важная очень информация. Но при открытии этой флешки информация выдается криво, т.е. как ярлыки. Нельзя ли не удаляя эту информацию, восстановить флешку?

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 DeleteFile('C:\Users\Маша\AppData\Roaming\Microsoft\Yxmymw.exe');
 DeleteFile('H:\RECYCLED.EXE');
 DeleteFile('H:\AUTORUN.INF');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Yxmymw');
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


перед созданием лога MBAM подключите флешку к компу.

 

[Elka33]

лог МВАМ

 

[regist]

Удалите найденное в MBAM.

Скопируйте следующий текст в Блокнот и сохраните, как run.bat:

attrib "*" -s -h /S /D

скопируйте файл run.bat в корень флешки и запустите
Внимание не запускайте этот файл, когда он находится на жестком диске.

после этого на флешке должны появиться настоящие ваши файлы, а ярлыки на них (на самом деле ссылки на вирусы) можете просто удалить.

Перезагрузите компьютер и сделайте повторный лог MBAM отпишитесь о результатах.

 

[Elka33]

МВАМ ничего не выявил, все чисто. Флешка восстановилась. Спасибо огромное.