Решена много троянов

Статус
В этой теме нельзя размещать новые ответы.

kuss

Новый пользователь
Сообщения
10
Реакции
0
здраствуйте, просканировала комп,оказалось много троянов. Не знаю,можно ли их удалить или переустанавливать винду надо? Подскажите какой антивирус поставить, у меня сейчас аваст стоит.Помогите,пожалуйста.
Спвсибо
пс: во вложении информация по вашей инструкции
 

Вложения

  • virusinfo_syscure.zip
    28.8 KB · Просмотры: 5
  • virusinfo_syscheck.zip
    26.9 KB · Просмотры: 4
  • log.txt
    32.2 KB · Просмотры: 3
  • info.txt
    15.5 KB · Просмотры: 1
Смотрю логи скоро отвечу

Добавлено через 29 минут 24 секунды
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
 TerminateProcessByName('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
 QuarantineFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe','');
 QuarantineFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe','');
 QuarantineFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe','');
 QuarantineFile('E:\WINDOWS\system32\drivers\RKHit.sys','');
 DeleteFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe');
 DeleteFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
 DeleteFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BSSHelper.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BestSpywareScanner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcsafedoctor.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [BestSpywareScanner.exe] E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe
O4 - HKLM\..\Run: [BSSHelper.exe] E:\Program Files\Best Spyware Scanner\BSSHelper.exe -0
O4 - HKLM\..\Run: [pcsafedoctor.exe] E:\Program Files\PCSafeDoctor\pcsafedoctor.exe

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

здраствуйте, просканировала комп,оказалось много троянов. Не знаю,можно ли их удалить или переустанавливать винду надо? Подскажите какой антивирус поставить, у меня сейчас аваст стоит.Помогите,пожалуйста.

BestSpywareScanner - Adware.SpywareCease
PCSafeDoctor - Trojan.Fakealert

Вы их сами себе установили!

Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.
 
отправила архив карантин.
файл с антивируса в приложении
 

Вложения

  • mbam-log-2011-08-21 (03-00-23).txt
    3.9 KB · Просмотры: 4
Повторите сканирование Malwarebytes' Anti-Malware и удалите только следующие строки:

Код:
e:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken
e:\program files\stfndcsd.dll (Spyware.OnlineGames) -> No action taken.

Повторите логи AVZ и RSIT для контроля
 
логи в приложении
 

Вложения

  • info.txt
    15.9 KB · Просмотры: 1
  • log.txt
    31.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    27.3 KB · Просмотры: 0
  • virusinfo_syscure.zip
    27.1 KB · Просмотры: 1
Как самочувствие системы?
 
еще раз сканирую( в процессе) Malwarebytes' Anti-Malware, вижу,что он опять находит зараженные файлы:(
 
Повторите лог Malwarebytes, возможно ничего страшного.
 
Добавлено через 1 минуту 7 секунд
а как я узнаю страшное или нет? в прошлый раз он их кучу нашел,практически всех назвал троянами, вы сказали удалить из них два, не совсем понимаю параметры на удаление.:unknw:
 
Часть мы удалим на последнем этапе, другая часть фолсы, MBAM слишком подозрительная программа.
 
то есть сейчас я вам пришлю повторно логи от мбам. а то что она там найдет мне удалить с ее помощью или оставить?
 
Не закрывайте программу тогда, я попытаюсь максимально быстро ответить и сразу если что и удалим.
 
логи мбам
 

Вложения

  • mbam-log-2011-08-21 (15-18-22).txt
    3.6 KB · Просмотры: 1
Вот это удалите:

Код:
e:\Recycled\De1\chrome.exe (Trojan.Agent) -> No action taken.

Кряки и кейгены на Ваше усмотрение, могут быть и вредоносными:

Код:
c:\program files\WinRAR\crack\patch.exe (Malware.Packer.Gen) -> No action taken.
f:\E-DISK\disributiv\графика\a.photoshop_cs2_9_rus\CRACK\KEYGEN.EXE (Trojan.Agent.CK) -> No action taken.
f:\E-DISK\disributiv\графика\coreldraw13_rus\CRACK\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken.
h:\проги\thinstall\webpagemaker_3.03\400000fe00002i\chrome.exe (Trojan.Agent) -> No action taken.

Все файлы из \system volume information\ мы удалим на заключительном этапе, сейчас удалять не нужно.

Эти записи невредоносны:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 
удалила. как быть дальше?
 
Внимание, смените все пароли ICQ, почта и т.п.

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивируса (обновлять антивирусные базы и модули).

- установите Internet Explorer 8.0 и все последние обновления для него (даже если им не пользуетесь)
- установите последние обновления для Microsoft Office
- обновите до последней версии Java
- обновите до последней версии Adobe Reader
- обновите до последней версии Adobe Flash Player
 
как это сделать?

  1. Создать еще одну учетную запись с ограниченными правами, или создать учетную запись с администраторскими правами, а свою понизить в правах.
  2. Поставить на все учетные записи сложные пароли.
  3. Затем работать, играть, быть в интернеть только из-под ограниченной записи.
  4. Административную использовать только для установки новых программ и драйверов.

скажите пожалуйста, а для хрома есть подобное расширение?

Есть

После установки расширения на панели инструментов появится такой значок 3c0r8hya7FqKG3o2FwqpDrpfLZa5ISuYhXlzk=s32-e365-h32.png теперь при загрузке страницы, если страница работает и отображается нормально, делать ничего не надо, в обратном случае жмем на эту кнопку и разрешаем выполнение скриптов на этой странице.

Так же советую расширение WOT
 
спасибо большое,вроде все чисто)
 
И Вам желаем чистого интернета.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу