Решена много троянов

[kuss]

здраствуйте, просканировала комп,оказалось много троянов. Не знаю,можно ли их удалить или переустанавливать винду надо? Подскажите какой антивирус поставить, у меня сейчас аваст стоит.Помогите,пожалуйста.
Спвсибо
пс: во вложении информация по вашей инструкции

 

[Severnyj]

Смотрю логи скоро отвечу

Добавлено через 29 минут 24 секунды
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
 TerminateProcessByName('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
 QuarantineFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe','');
 QuarantineFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe','');
 QuarantineFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe','');
 QuarantineFile('E:\WINDOWS\system32\drivers\RKHit.sys','');
 DeleteFile('E:\Program Files\Best Spyware Scanner\BSSHelper.exe');
 DeleteFile('E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe');
 DeleteFile('E:\Program Files\PCSafeDoctor\pcsafedoctor.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BSSHelper.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BestSpywareScanner.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcsafedoctor.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKLM\..\Run: [BestSpywareScanner.exe] E:\Program Files\Best Spyware Scanner\BestSpywareScanner.exe
O4 - HKLM\..\Run: [BSSHelper.exe] E:\Program Files\Best Spyware Scanner\BSSHelper.exe -0
O4 - HKLM\..\Run: [pcsafedoctor.exe] E:\Program Files\PCSafeDoctor\pcsafedoctor.exe

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

здраствуйте, просканировала комп,оказалось много троянов. Не знаю,можно ли их удалить или переустанавливать винду надо? Подскажите какой антивирус поставить, у меня сейчас аваст стоит.Помогите,пожалуйста.

BestSpywareScanner - Adware.SpywareCease
PCSafeDoctor - Trojan.Fakealert

Вы их сами себе установили!

Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.

 

[kuss]

отправила архив карантин.
файл с антивируса в приложении

 

[Severnyj]

Повторите сканирование Malwarebytes' Anti-Malware и удалите только следующие строки:

e:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken
e:\program files\stfndcsd.dll (Spyware.OnlineGames) -> No action taken.

Повторите логи AVZ и RSIT для контроля

 

[kuss]

логи в приложении

 

[Severnyj]

Как самочувствие системы?

 

[kuss]

еще раз сканирую( в процессе) Malwarebytes' Anti-Malware, вижу,что он опять находит зараженные файлы

 

[Severnyj]

Повторите лог Malwarebytes, возможно ничего страшного.

 

[kuss]

Добавлено через 1 минуту 7 секунд
а как я узнаю страшное или нет? в прошлый раз он их кучу нашел,практически всех назвал троянами, вы сказали удалить из них два, не совсем понимаю параметры на удаление.:unknw:

 

[Severnyj]

Часть мы удалим на последнем этапе, другая часть фолсы, MBAM слишком подозрительная программа.

 

[kuss]

то есть сейчас я вам пришлю повторно логи от мбам. а то что она там найдет мне удалить с ее помощью или оставить?

 

[Severnyj]

Не закрывайте программу тогда, я попытаюсь максимально быстро ответить и сразу если что и удалим.

 

[kuss]

логи мбам

 

[Severnyj]

Вот это удалите:

e:\Recycled\De1\chrome.exe (Trojan.Agent) -> No action taken.

Кряки и кейгены на Ваше усмотрение, могут быть и вредоносными:

c:\program files\WinRAR\crack\patch.exe (Malware.Packer.Gen) -> No action taken.
f:\E-DISK\disributiv\графика\a.photoshop_cs2_9_rus\CRACK\KEYGEN.EXE (Trojan.Agent.CK) -> No action taken.
f:\E-DISK\disributiv\графика\coreldraw13_rus\CRACK\cdrsuitkg.exe (RiskWare.Tool.CK) -> No action taken.
h:\проги\thinstall\webpagemaker_3.03\400000fe00002i\chrome.exe (Trojan.Agent) -> No action taken.

Все файлы из \system volume information\ мы удалим на заключительном этапе, сейчас удалять не нужно.

Эти записи невредоносны:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 

[kuss]

удалила. как быть дальше?

 

[Severnyj]

Внимание, смените все пароли ICQ, почта и т.п.

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивируса (обновлять антивирусные базы и модули).

- установите Internet Explorer 8.0 и все последние обновления для него (даже если им не пользуетесь)
- установите последние обновления для Microsoft Office
- обновите до последней версии Java
- обновите до последней версии Adobe Reader
- обновите до последней версии Adobe Flash Player

 

[kuss]

- не работать за компьютером с правами администратора

как это сделать?

скажите пожалуйста, а для хрома есть подобное расширение?

 

[Severnyj]

как это сделать?

1. Создать еще одну учетную запись с ограниченными правами, или создать учетную запись с администраторскими правами, а свою понизить в правах.
2. Поставить на все учетные записи сложные пароли.
3. Затем работать, играть, быть в интернеть только из-под ограниченной записи.
4. Административную использовать только для установки новых программ и драйверов.

скажите пожалуйста, а для хрома есть подобное расширение?

Есть

После установки расширения на панели инструментов появится такой значок теперь при загрузке страницы, если страница работает и отображается нормально, делать ничего не надо, в обратном случае жмем на эту кнопку и разрешаем выполнение скриптов на этой странице.

Так же советую расширение WOT

 

[kuss]

спасибо большое,вроде все чисто)

 

[Severnyj]

И Вам желаем чистого интернета.