• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подозрение на вирусное заражение

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#1
Здравствуйте! Есть компьютер в небольшой (5 компьютеров) офисной сети, используемый как компьютер с общими папками, с которыми работают все пользователи (доступ на изменение в них). Предполагаю, что у него вирусное заражение, так как он регулярно (по словам пользователя, за ним работающего, подвисает: при загрузке может не загрузиться рабочий стол (виден только курсор мыши), при работе он зависает и ничего невозможно с ним сделать, кроме RESET или выключения; но при повторном включении не факт, что он загрузится нормально. Из особенностей имеется вот что: Windows на нем - XP + сборка. Логи во вложении.
 

Вложения

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Симпатии
4,799
#2
1.определитесь с тулбарами, деинсталлируйте лишние через установку/удаление программ

2.блокировку в HOSTS сами делали для сотрудников?
127.0.0.1 odnoklassniki.ru
127.0.0.1 www.odnoklassniki.ru
127.0.0.1 vk.com

3.Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\IEXPLORE.url','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.url','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\cimei\cimei.exe','');
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\Program Files\Internet Explorer\IEXPLORE.url','32');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\cimei\cimei.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить следующие строчки:
Код:
O4 - Global Startup: cimei.lnk = ?
O4 - Global Startup: Zaxar Games Browser.lnk = ?
Сделайте повторные логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удалять!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
Последнее редактирование:

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#3
1. Кое-какие тулбары удалил, если по вашему мнению не все из зловредных или условно-зловредных - напишите, пожалуйста.
2. Блокировку в файле hosts делал специально (пускай не в полной мере и не совсем правильно, но в целом со своей функцией она пока справляется).
3. Карантин по форме выслал.
4. Повторные логи сделал - выкладываю (во вложении).
5. Проверка MBAM'ом пока идет - как закончится, сразу выкладываю.

* Вот еще что - фиксить не пришлось HJT - указанных вами строк в его отчете не оказалось...
 

Вложения

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Симпатии
4,799
#4
пофиксите строчки
Код:
R3 - URLSearchHook: (no name) - {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
ждем отчет МВАМ
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#5
Строчки пофиксил. Отчет MBAM во вложении - всего одна запись и то, по-моему, нужно ее удалить.
 

Вложения

akok

Команда форума
Администратор
Сообщения
14,011
Симпатии
11,723
#6
Да, можно удалять. Что с проблемой?
 

Razey

Активный пользователь
Сообщения
575
Симпатии
27
#7
Удалил, спасибо.

Проблема исчезла. Сегодня в течение всего дня комп работал без сбоев. Раньше его приходилось перезагружать по 4-5 раз в день для нормальной работы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,911
Симпатии
5,619
#8
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
11,911
Симпатии
5,619
#11
Razey, всё ещё ждём от вас лог SecurityCheck.txt ;)
 
Статус
В этой теме нельзя размещать новые ответы.