Решена Проверка рабочего компьютера

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
15,448
Симпатии
12,572
Баллы
2,203
#2
Ваше C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com, в планировщике задач? Ну и машину обновить бы SP3

Какие симптомы?
 

Eduard Kondratev

Пользователь
Сообщения
33
Симпатии
0
Баллы
18
#3
Симптомы следующего характера флешку приношу домой после работы на рабочем компьютере, а там вирусы. Компьютер был проверен: Kaspersky Virus Removal Tool,;Dr.Web CureIt!. Всего угрозы были удалены.
 

akok

Команда форума
Администратор
Сообщения
15,448
Симпатии
12,572
Баллы
2,203
#4
А с файлом, что?
 

Eduard Kondratev

Пользователь
Сообщения
33
Симпатии
0
Баллы
18
#5
Логи автосборщиком делал после того как антивирусные утилиты удалили угрозы, значит он на компьютере, не могу утверждать т.к. компьютер находится на работе.
 

akok

Команда форума
Администратор
Сообщения
15,448
Симпатии
12,572
Баллы
2,203
#6
Eduard Kondratev, визуально файл похож на зловредный, но на офисных машинах видел легитим и более изощренный. Когда будет доступ, проверьте файл на VirusTotal, если это зловред, то:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com', '');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\At1.job" /F', 0, 15000, true);
 DeleteFile('C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

++
NoMoreAutorun - утилита полного отключения автозапуска на устройствах.

С Наступающим!
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,215
Симпатии
5,833
Баллы
918
#7
+ поменяйте пароли на почте и желательно и от других сервисов.

+
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Eduard Kondratev

Пользователь
Сообщения
33
Симпатии
0
Баллы
18
#9
Файл quarantine.zip из папки с распакованной утилитой AVZ отсутствует.
 

akok

Команда форума
Администратор
Сообщения
15,448
Симпатии
12,572
Баллы
2,203
#10
А вариант обновить систему до SP3? SP2, что лечи, что не лечи...
 

akok

Команда форума
Администратор
Сообщения
15,448
Симпатии
12,572
Баллы
2,203
#12
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,448
Симпатии
12,572
Баллы
2,203
#14
Это корпоративные установки?
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== ATTENTION
    SearchScopes: HKLM -> DefaultScope value is missing
    Task: C:\WINDOWS\Tasks\At1.job => C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com
    C:\Documents and Settings\АН-72\Шаблоны\Brengkolang.com
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Eduard Kondratev

Пользователь
Сообщения
33
Симпатии
0
Баллы
18
#15
По поводу корпоративных установок затрудняюсь ответить т.к. ОС я не устанавливал.
 

akok

Команда форума
Администратор
Сообщения
15,448
Симпатии
12,572
Баллы
2,203
#18
По поводу корпоративных установок затрудняюсь ответить т.к. ОС я не устанавливал.
Удалим тогда
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
    HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Теперь к проблемам, какие еще остались?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу