Решена Подозрительные файлы в профиле

Статус
В этой теме нельзя размещать новые ответы.

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
Добрый день! В компьютере постоянно программы завершаются с ошибками, обнаружил в профиле пользователя файлы типа c.exe, 10.exe. Долго выключается ПК. Логи прикрепляю
 

Вложения

  • CollectionLog-2016.10.13-08.28.zip
    91.8 KB · Просмотры: 3
  • virus.JPG
    virus.JPG
    54.7 KB · Просмотры: 33

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\User\Application Data\winzipsoft\wzipstart.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\winzipsoft\wzipstart.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
"при помощи формы над первым сообщением темы" а где? Отсылаю по почте
 

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
Новые логи
 

Вложения

  • CollectionLog-2016.10.19-11.39.zip
    91.3 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
Новые логи
 

Вложения

  • Addition.txt
    39.6 KB · Просмотры: 1
  • FRST.txt
    50.2 KB · Просмотры: 2
  • Shortcut.txt
    97.1 KB · Просмотры: 0

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243

Вложения

  • Безымянный.jpg
    Безымянный.jpg
    67.6 KB · Просмотры: 23

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKU\S-1-5-21-1229272821-602609370-1417001333-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.smaxxi.biz
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\pdf.dll => No File
CHR Plugin: (Kaspersky Anti-Virus) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh\12.0.0.477_0\plugin/npVKPlugin.dll => No File
CHR Plugin: (Kaspersky Anti-Virus) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman\12.0.0.374_0\plugin/npABPlugin.dll => No File
CHR Plugin: (Kaspersky Anti-Virus) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.477_0\plugin/npUrlAdvisor.dll => No File
2010-11-30 09:42 - 2016-02-12 09:07 - 0005465 _____ () C:\Documents and Settings\User\Application Data\SmarThruOptions.xml
2012-02-13 15:13 - 2012-02-13 15:13 - 0013426 _____ () C:\Documents and Settings\User\Application Data\30.exe
2012-02-14 13:54 - 2012-02-14 13:54 - 0013350 _____ () C:\Documents and Settings\User\Application Data\C.exe
2012-02-20 10:58 - 2012-02-21 10:18 - 0013350 _____ () C:\Documents and Settings\User\Application Data\10.exe
2012-02-20 12:29 - 2012-02-20 12:29 - 0013464 _____ () C:\Documents and Settings\User\Application Data\27.exe
2012-02-20 12:29 - 2012-02-20 12:29 - 0013350 _____ () C:\Documents and Settings\User\Application Data\28.exe
C:\Documents and Settings\User\Application Data\winzipsoft
MSCONFIG\startupfolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk => C:\WINDOWS\pss\ЎЎЎЎЎЎ.lnkStartup
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
Сделал
 

Вложения

  • Fixlog.txt
    4.3 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Проблема решена?
 

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
Сегодня ПК отказался грузиться, грузится только в безопасном режиме
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Лечение к этому привести не могло.

Что происходит при попытке загрузиться в обычном режиме?
 

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
Загружался до фоновой картинки. Проверил диск на ошибки, восстанавливал реестр из резервных копий, результат не принесли. Заменил реестр файлами из C:\WINDOWS\repair, загрузился, потом вернул старый реестр, все заработало.
 

Guest

Активный пользователь
Сообщения
273
Реакции
390
Баллы
243
Спасибо! Все работает, тему можно закрыть.
 

Кирилл

Команда форума
Администратор
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Удалите папку c:\frst

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу