• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Стартовая страница http://smartinf.ru в браузере Мозила и полная проверка на вирусы

Статус
В этой теме нельзя размещать новые ответы.

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Баллы
46
Здравствуйте. Получил на работе служебный старенький ноутбук и сразу появились у меня вопросы по поводу наличия в нем вирусов. Для начала, в Мозиле открывается сразу стартовая страница smartinf.ru. Это не есть хорошо. Затем, сидя в офисе и подключившись по Вай-Фай к сети я через раз могу войти в сетевую папку в офисе. Та же ерунда и с принтером. Сегодня получается печатать, завтра нет.....Принтер подключен к основному компу в нашей сети.
 

Вложения

Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
QuarantineFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','');
DeleteFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
DeleteFile('D:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','');
DeleteFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk',' ');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qddmvtvwdl');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы




  • Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Баллы
46
Архив отправил по форме. Дошел до пункта ClearLNK.
  • Скачал ClearLNK и сохранил архив с утилитой на Рабочем столе.
  • Распаковал архив с утилитой в отдельную папку. Где взять файл Check_Browsers_LNK.log ???
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Файл находится в папке с логами. Можете взять из архива который прикрепляли "CollectionLog-2015.10.15-12.12.zip"
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Баллы
46
Нашел Check_Browsers_LNK.log в папке AutoLogger. Надеюсь это тот файл.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Все верно, теперь нужен лог AdwCleaner
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Баллы
46
AdwCleaner[R0].txt Такого файла нет. Есть только AdwCleaner[S1].txt Прикреплять??
в AdwCleaner очистку производить или только сканирование?
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
- Удалите в AdwCleaner всё кроме папок от mail.ru и Amigo - если программами от mail.ru и Amigo не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 

akok

Команда форума
Администратор
Сообщения
17,677
Реакции
13,479
Баллы
2,203
Что с проблемой?
 

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Баллы
46
С браузером вроде норм. По поводу подключения на офисе к сетевой папке и печати документов на принтере через сеть пока отписаться не могу. Я сейчас не в офисе. Думаю только завтра смогу это проверить. Давайте отложим окончательное решение до завтра. Спасибо.
Есть такой еще вопрос. На ноуте есть 2 папки со странными именами. Как бы их проверить? И вайервол от Комодо ругается на попытку изменения ключа реестра.
вот скрин
и вот
 

Вложения

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Баллы
46
Приложение 7007C584-6870-4FFA-A647-3B64C4EF0FB1.EXE пытается изменить защищенный ключ реестра HKUS|S-1-5-21-1202660629-1078081533-1177238915-500 ДАЛЬШЕ НЕ УСПЕЛ ЗАПИСАТЬ
Следом появилось такое сообщение. Скрин прилагаю
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Создайте точку восстановления.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('d:\program files\common files\adobe\ooba\pdapp\ppapi\7007c584-6870-4ffa-a647-3b64c4ef0fb1.exe');
QuarantineFile('d:\program files\common files\adobe\ooba\pdapp\ppapi\7007c584-6870-4ffa-a647-3b64c4ef0fb1.exe','');
DeleteFile('d:\program files\common files\adobe\ooba\pdapp\ppapi\7007c584-6870-4ffa-a647-3b64c4ef0fb1.exe','32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:

Oleg

Активный пользователь
Сообщения
55
Реакции
0
Баллы
46
Скрипты выполнил. Файл отправил по форме. Повторный лог Автологгера прилагаю
 

Вложения

Кирилл

Команда форума
Администратор
Сообщения
13,821
Реакции
6,166
Баллы
913
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe','');
 QuarantineFileF('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility','*', true,'',0 ,0);
 DeleteFile('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility\krbupdater-utility.exe','32');
 DeleteFile('D:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Extensions\extsetup.exe','32');
 DeleteFileMask('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility', '*', true);
 DeleteDirectory('D:\Documents and Settings\All Users\Application Data\KRB Updater Utility', ''); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Сообщите как проблемы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,335
Реакции
5,956
Баллы
998
+
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу