• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Компьютер заражен вирусами

Статус
В этой теме нельзя размещать новые ответы.

hoper

Активный пользователь
Сообщения
359
Симпатии
43
#1
Компьютер оказался зараженным. Перестал работать интернет, установились какие-то непонятные китайские программы.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
976
Симпатии
174
#2
Приветствую joas, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#4
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\фф\application data\yl86g6nq.exe');
 TerminateProcessByName('c:\program files\smss.exe');
 TerminateProcessByName('c:\windows\system32\jarinet\qqextrenal.exe');
 TerminateProcessByName('c:\documents and settings\фф\pieva.exe');
 TerminateProcessByName('c:\documents and settings\фф\application data\msconfig.exe');
 TerminateProcessByName('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
 TerminateProcessByName('c:\windows\chinde.exe');
 SetServiceStart('ПµНі№Шјь·юОс', 4);
 StopService('ПµНі№Шјь·юОс');
 QuarantineFile('C:\WINDOWS\system32\odwclfb.dll','');
 QuarantineFile('C:\Утилиты\Программы для интернета\123.exe','');
 QuarantineFile('C:\Утилиты\Программы для интернета\041.exe','');
 QuarantineFile('C:\Утилиты\Программы для интернета\005.exe','');
 QuarantineFile('C:\Documents and Settings\фф\dlay.exe','');
 QuarantineFile('C:\Program Files\Bifrost\server.exe','');
 QuarantineFile('C:\Утилиты\Программы для интернета\018.exe','');
 QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\042.exe','');
 QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
 QuarantineFile('C:\Program Files\Znveevzsv.fnr','');
 QuarantineFile('C:\Program Files\krnln.fne','');
 QuarantineFile('C:\Program Files\Exmlrpc.fne','');
 QuarantineFile('C:\Program Files\dp1.fne','');
 QuarantineFile('c:\documents and settings\фф\application data\yl86g6nq.exe','');
 QuarantineFile('c:\program files\smss.exe','');
 QuarantineFile('c:\windows\system32\jarinet\qqextrenal.exe','');
 QuarantineFile('c:\documents and settings\фф\pieva.exe','');
 QuarantineFile('c:\documents and settings\фф\application data\msconfig.exe','');
 QuarantineFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe','');
 QuarantineFile('c:\windows\chinde.exe','');
 DeleteFile('c:\documents and settings\фф\local settings\application data\ezprivacysub2.exe');
 DeleteFile('c:\windows\system32\jarinet\qqextrenal.exe');
 DeleteFile('C:\Program Files\dp1.fne');
 DeleteFile('C:\Program Files\Exmlrpc.fne');
 DeleteFile('C:\Program Files\krnln.fne');
 DeleteFile('C:\Program Files\Znveevzsv.fnr');
 DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
 DeleteFile('C:\Program Files\smss.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\042.exe');
 DeleteFile('C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe');
 DeleteFile('C:\Documents and Settings\фф\Application Data\msconfig.exe');
 DeleteFile('C:\Documents and Settings\фф\pieva.exe');
 DeleteFile('C:\WINDOWS\chinde.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\018.exe');
 DeleteFile('C:\Documents and Settings\фф\dlay.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\005.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\041.exe');
 DeleteFile('C:\Утилиты\Программы для интернета\123.exe');
 DeleteFile('C:\WINDOWS\system32\odwclfb.dll');
 DeleteFile('C:\Program Files\bifrost\server.exe');
 DelCLSID('{9B71D88C-C598-4935-C5D1-43AA4DB90836}');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','WindowsUpdate');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TX1W9BXAA3HA');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pieva');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
 DeleteService('ПµНі№Шјь·юОс');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
 BC_DeleteSvc('ПµНі№Шјь·юОс');
BC_Activate;
 ExecuteRepair(9);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O4 - HKLM\..\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
O4 - HKLM\..\Run: [042.exe] C:\Documents and Settings\All Users\Application Data\042.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
O4 - HKCU\..\Run: [free-save] C:\Утилиты\Программы для интернета\018.exe
O4 - HKCU\..\Run: [pieva] C:\Documents and Settings\фф\pieva.exe /X
O4 - HKCU\..\Run: [WindowsUpdate] C:\Documents and Settings\фф\Application Data\msconfig.exe
O4 - HKLM\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\chinde.exe
O4 - HKCU\..\Policies\Explorer\Run: [TX1W9BXAA3HA] C:\Documents and Settings\фф\Application Data\YL86G6NQ.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\odwclfb.dll
Повторите сканирование MBAM и удалите все найденное

Повторите логи AVZ и RSIT
 

hoper

Активный пользователь
Сообщения
359
Симпатии
43
#5
карантин получился на 25 мб, он не отправится через форму, там же лимит 8 мб
 

hoper

Активный пользователь
Сообщения
359
Симпатии
43
#7
карантин отпарвил
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#8
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\documents and settings\фф\application data\googlecrashhandler.exe');
 QuarantineFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe','');
 QuarantineFile('C:\Program Files\InfoWise\InfoWise.exe','');
 QuarantineFile('c:\documents and settings\фф\application data\googlecrashhandler.exe','');
 QuarantineFile('C:\Program Files\Znveevzsv.exe','');
 QuarantineFile('C:\WINDOWS\system32\44.tmp','');
 QuarantineFile('C:\1.vbs','');
 QuarantineFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll','');
 QuarantineFile('C:\WINDOWS\system32\sysapp2.dll','');
 QuarantineFile('C:\WINDOWS\system32\yumsimg32.dll','');
 QuarantineFile('C:\WINDOWS\system32\yumidimap.dll','');
 QuarantineFile('C:\WINDOWS\system32\yuksuser.dll','');
 QuarantineFile('C:\WINDOWS\system32\7DF045C6.sys','');
 DeleteFile('C:\Program Files\Znveevzsv.exe');
 DeleteFile('C:\WINDOWS\system32\44.tmp');
 DeleteFile('C:\1.vbs');
 DeleteFile('C:\Documents and Settings\фф\Application Data\ACHN4U.dll');
 DeleteFile('C:\WINDOWS\system32\sysapp2.dll');
 DeleteFile('C:\WINDOWS\system32\yumsimg32.dll');
 DeleteFile('C:\WINDOWS\system32\yumidimap.dll');
 DeleteFile('C:\WINDOWS\system32\yuksuser.dll');
 DeleteFile('C:\WINDOWS\system32\7DF045C6.sys');
 DeleteFile('C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe');
 DeleteFile('C:\Program Files\InfoWise\InfoWise.exe');
 DeleteFile('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\EzPrivacy2.exe');
 DeleteFileMask('C:\Program Files\HanpanderPlayer', '*.*', true);
 DeleteDirectory('C:\Program Files\HanpanderPlayer');
 DeleteFileMask('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\', '*.*', true);
 DeleteDirectory('C:\Program Files\АМБц ЗБ¶уАМ№цЅГ\');
 DeleteFileMask('C:\Program Files\InfoWise\', '*.*', true);
 DeleteDirectory('C:\Program Files\InfoWise\');
 DeleteFileMask('C:\Program Files\bifrost\', '*.*', true);
 DeleteDirectory('C:\Program Files\bifrost\');
 DeleteFileMask('C:\Program Files\', '*.fnr', false);
 DeleteFileMask('C:\Program Files\', '*.fne', false);
 DeleteFileMask('c:\documents and settings\фф\application data\', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleCrashHandler');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','InfoWise');
BC_ImportAll;
 BC_DeleteSvc('7DF045C6');
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(10);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O4 - HKCU\..\Run: [GoogleCrashHandler] C:\Documents and Settings\фф\Application Data\GoogleCrashHandler.exe
O4 - HKLM\..\Run: [InfoWise] C:\Program Files\InfoWise\InfoWise.exe
Повторите логи AVZ, RSIT и MBAM
 

hoper

Активный пользователь
Сообщения
359
Симпатии
43
#9
скрипт выполнил, карантин выслал.
Но после выполнения второго скрипта перестал запускаться хром.
Выдает ошибку: "Точка входа в процедуру yumsimg32.AlphaBlend не найдена в библиотеке DLL msimg32.dll". При входе в систему, компьютер требует якобы пароль, но на самом деле пароля нету, поэтому для входа в систему я в поле ввода пароля ничего не ввожу, а просто нажимаю ОК. Но все равно наличие окошки с требованием ввода пароля меня напрягает.
Сейчас готовлю новые логи
 

hoper

Активный пользователь
Сообщения
359
Симпатии
43
#10
выкладываю логи АВЗ и РСИТ и выкладываю лог МВАМ. Лог virusinfo_syscheck.zip будет позже.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#12
1. Удалите в MBAM все найденное.
2. Установите антивирус.
3. Вставьте в CD-ROM диск с дистрибутивом Виндовс и скомандуйте в командной стороке:

Код:
sfc /scannow
4. Хром переустановите.

Добавлено через 2 минуты 2 секунды
+ еще подготовьте лог GMER
 

hoper

Активный пользователь
Сообщения
359
Симпатии
43
#13
1. Удалите в MBAM все найденное.
удалил еще до вашего поста.
3. Вставьте в CD-ROM диск с дистрибутивом Виндовс и скомандуйте в командной стороке:
пробывал, не помогает. Все равно окно с вводом пароля появляется при загрузке.
Окна проводника также по-прежнему искажены.
 

Вложения

  • 65.1 KB Просмотры: 7

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#16
В папке с AVZ есть папка Backup запакуйте ее и прикрепите к следующему сообщению
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#20
joas, выполните скрипт в AVZ

Код:
begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(false);
end.
компьютер перезагрузится.

какие-нибудь изменения к лучшему есть ?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу