Решена Стартовая страница http://smartinf.ru в браузере Мозила и полная проверка на вирусы

Статус
В этой теме нельзя размещать новые ответы.

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Здравствуйте. Получил на работе служебный старенький ноутбук и сразу появились у меня вопросы по поводу наличия в нем вирусов. Для начала, в Мозиле открывается сразу стартовая страница smartinf.ru. Это не есть хорошо. Затем, сидя в офисе и подключившись по Вай-Фай к сети я через раз могу войти в сетевую папку в офисе. Та же ерунда и с принтером. Сегодня получается печатать, завтра нет.....Принтер подключен к основному компу в нашей сети.
 

Вложения

  • CollectionLog-2015.10.15-12.12.zip
    109.6 KB · Просмотры: 4
Последнее редактирование модератором:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
QuarantineFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','');
DeleteFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
DeleteFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','');
DeleteFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk',' ');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qddmvtvwdl');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы




  • Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

    move.gif

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Архив отправил по форме. Дошел до пункта ClearLNK.
  • Скачал ClearLNK и сохранил архив с утилитой на Рабочем столе.
  • Распаковал архив с утилитой в отдельную папку. Где взять файл Check_Browsers_LNK.log ???
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Файл находится в папке с логами. Можете взять из архива который прикрепляли "CollectionLog-2015.10.15-12.12.zip"
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Нашел Check_Browsers_LNK.log в папке AutoLogger. Надеюсь это тот файл.
 

Вложения

  • ClearLNK-16.10.2015_11-17.log
    3.9 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Все верно, теперь нужен лог AdwCleaner
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
AdwCleaner[R0].txt Такого файла нет. Есть только AdwCleaner[S1].txt Прикреплять??
в AdwCleaner очистку производить или только сканирование?
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Вот он
 

Вложения

  • AdwCleaner[S1].txt
    2.4 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
- Удалите в AdwCleaner всё кроме папок от mail.ru и Amigo - если программами от mail.ru и Amigo не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
очистил
 

Вложения

  • AdwCleaner[C1].txt
    2.6 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,414
Реакции
13,903
Что с проблемой?
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
С браузером вроде норм. По поводу подключения на офисе к сетевой папке и печати документов на принтере через сеть пока отписаться не могу. Я сейчас не в офисе. Думаю только завтра смогу это проверить. Давайте отложим окончательное решение до завтра. Спасибо.
Есть такой еще вопрос. На ноуте есть 2 папки со странными именами. Как бы их проверить? И вайервол от Комодо ругается на попытку изменения ключа реестра.
вот скрин
и вот
 

Вложения

  • Новый рисунок.jpg
    3.9 MB · Просмотры: 29
  • Новый рисунок (1).jpg
    3.9 MB · Просмотры: 30

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Приложение 7007C584-6870-4FFA-A647-3B64C4EF0FB1.EXE пытается изменить защищенный ключ реестра HKUS|S-1-5-21-1202660629-1078081533-1177238915-500 ДАЛЬШЕ НЕ УСПЕЛ ЗАПИСАТЬ
Следом появилось такое сообщение. Скрин прилагаю
 

Вложения

  • Новый рисунок.jpg
    3.9 MB · Просмотры: 26

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Создайте точку восстановления.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('d:\program files\common files\adobe\ooba\pdapp\ppapi\7007c584-6870-4ffa-a647-3b64c4ef0fb1.exe');
QuarantineFile('d:\program files\common files\adobe\ooba\pdapp\ppapi\7007c584-6870-4ffa-a647-3b64c4ef0fb1.exe','');
DeleteFile('d:\program files\common files\adobe\ooba\pdapp\ppapi\7007c584-6870-4ffa-a647-3b64c4ef0fb1.exe','32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Скрипты выполнил. Файл отправил по форме. Повторный лог Автологгера прилагаю
 

Вложения

  • CollectionLog-2015.10.17-21.01.zip
    68.3 KB · Просмотры: 1

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,244
Реакции
6,273
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFileF('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility','*', true,'',0 ,0);
 DeleteFile('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe','32');
 DeleteFileMask('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility', '*', true);
 DeleteDirectory('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility', ''); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Сообщите как проблемы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,199
Реакции
6,372
+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Вот
 

Вложения

  • CollectionLog-2015.10.17-22.00.zip
    66.5 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу