Решена Тормозит компьютер

Статус
В этой теме нельзя размещать новые ответы.
K

Kotyar

Добрый день
Помогите пожалуйста проверьте компьютер на вирусы, стал тормозить по страшному. Мозила странно работает, и возникают проблемы с сетевой картой. Антивирус симантек был не корректно удален, как правильно его удалить
 

Вложения

  • info.txt
    28.2 KB · Просмотры: 4
  • log.txt
    29.6 KB · Просмотры: 13
  • virusinfo_syscheck.zip
    36.7 KB · Просмотры: 5
  • virusinfo_syscure.zip
    36.8 KB · Просмотры: 5
Приветствую Kotyar, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 
Здравствуйте. Сейчас посмотрю логи.

Добавлено через 32 минуты 22 секунды
Здравствуйте!

Отключите антивирус/фаервол, интернет;

Выполните скрипт в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:
var StartupFolder:string;
begin
StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\sendip.bat','');
 QuarantineFile(StartupFolder + '\igfxtray.exe','');
 DeleteFile(StartupFolder + '\igfxtray.exe');
 DeleteFile('c:\windows\sendip.bat');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Driver');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder','C:^Documents and Settings^t_starkova^Главное меню^Программы^Автозагрузка^igfxtray.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
if MessageDLG('Отключить автозапуск со всех носителей, кроме CD?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки AVZ отправьте с помощью этой формы, укажите ссылку на тему и ник на форуме.

Профиксите в HijackThis (если будет)

Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

эти сайты вы сами в доверенную зону прописывали vvf.centertelecom.ru,rf.ct.ru ? если нет, то также пофиксить пофиксить
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBBF22D-7047-4663-8FC2-C6CE8A74CDD2}: Domain = rf.ct.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{211974EC-671B-4831-A878-939BE6ADE856}: Domain = rf.ct.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{668F6B16-3B15-41ED-8998-3F07632ACD7F}: Domain = rf.ct.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{80FA8029-E5C8-4BB1-8E53-66816F426D30}: Domain = rf.ct.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{839B9D92-AF44-42FC-9A6E-E75FC67D0A40}: Domain = rf.ct.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7BE97D7-3CF6-42DE-AAAE-8C34A4806511}: Domain = rf.ct.ru
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vvf.centertelecom.ru
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vvf.centertelecom.ru,rf.ct.ru

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.


смените все пароли, по окончанию лечения смените ещё раз!

Добавлено через 1 минуту 51 секунду
+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

+
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -silent -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.

Добавлено через 15 минут 27 секунд
Антивирус симантек был не корректно удален, как правильно его удалить
Чистка системы после некорректного удаления антивируса

PS. на время выполнения скрипта и сканирования системы для получения логов, защиту антивируса надо приостанавливать.
 
Добрый день
Все сделал
centertelecom фиксить не надо
 

Вложения

  • mbam-log-2012-04-06 (14-41-11).txt
    14.8 KB · Просмотры: 2
  • log.txt
    30.9 KB · Просмотры: 3
  • info.txt
    28.2 KB · Просмотры: 0
Еще логи
 

Вложения

  • TDSSKiller.2.7.26.0_07.04.2012_10.28.23_log.txt
    76.2 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    36.3 KB · Просмотры: 0
4 скрипт делает архив 12 мегаб. Мне его не отправить
 
Выполните скрипт в AVZ
Код:
begin
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^t_starkova^Главное меню^Программы^Автозагрузка^igfxtray.exe');
RebootWindows(true);
end.
Компьютер перезагрузится.

Сделайте новые логи RSIT
 
4 скрипт делает архив 12 мегаб. Мне его не отправить
В случае если файл карантина превышает 10 Мб, то файл необходимо залить на файлообменник (например webfile.ru или rghost.ru) и указать ссылку на скачивание в этой теме.
загрузите на указанный обменник и ссылку укажите в теме https://safezone.cc/forum/showthread.php?t=16073

Добавлено через 3 минуты 59 секунд
Также поменяйте все пароли.

+ Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

+ Деинсталируйте MBAM.
 
Профиксите в HijackThis (если только не сами эту строчку прописали)

Код:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://program.avast.com/api/?action=2&p_age=54&p_bld=tris4&p_cid=1&p_cpv=100664585&p_elm=7&p_eml=prawdolubow@yandex.ru&p_idw=0&p_iid=0&p_inf=88&p_lan=1049&p_lci=1049&p_let=24&p_lex=312&p_lic=0&p_lid=ru-ru&p_lng=ru&p_lqa=0&p_lst=0&p_lsu=24&p_man=0&p_osv=5.1&p_pro=0&p_rcv=1&p_reh=768&p_rew=1024&p_tra=15292&p_tri=2&p_trt=34&p_uid=73ab&p_vbd=1289&p_vep=6&p_ves=0&p_wnf=6&p_vir=win32:Malware-gen&p_prc=file://C:\Program%20Files\Mozilla%20Firefox\firefox.exe&p_obj=http://fileshare309.depositfiles.com/auth-132125169571aeb546b8d537b9f278fe-46.237.24.210-653010347-89318582-guest/FS309-4/Office_2010_Activate_All_Editions_CrashBox.Ru.rar%7C%3EOffice%202010%20Activate%20All%20Editions_CrashBox.Ru/Office%202010%20Activate%20All%20Editions%20By%20Clitorius/OfficeActivator.exe

в остальном чисто.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу