Решена Удаление вирусов 2 компа xp + win7

Статус
В этой теме нельзя размещать новые ответы.
D

Deleted user 10355

Здравствуйте, уважаемые эксперты.

Прошу помощи.
Засорено настолько, что процесс создания логов не завершился. Папка с логами не появлась. Если делаю что-то типа открытия текстового файла, компьютер перезагружается.

На win7 идёт скан аваста при загрузке системы. А с xp сейчас пишу запрос. Предварительно прогонял drweb. Нашёл около 800 угроз. Winlogon.exe hosts и другие
На флешках создаёт папки.exe
Все настройки папок на скрытые файлы, расширения, regedit и другие заблокированы
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
Засорено настолько, что процесс создания логов не завершился.
поясните подробней, ошибка вылезла или что?
+ Удалите старую папку AutoLogger и попробуйте сделать логи этой версией.
Если снова не получится, то http://safezone.cc/resources/autologger-regist-drongo.59/field?field=FAQ
Q: Во время работы AutoLogger вылезла ошибка, он прервал свою работу не отработав до конца. Что мне делать?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
Архив всё равно не полный.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog(PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
CMDLine := 'a "' + PathAutoLogger + '\Report.zip" "' + PathAutoLogger + '\report*.log"';
ExecuteFile('7za.exe', CMDLine, 0, 15000, true);
end.
архив Report.zip из папки с AutoLogger пожалуйста прикрепите к своему сообщению.
 
D

Deleted user 10355

Более поздний лог после проверки avast при загрузке. Визуально ситуация изменилась
Выполнил
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
+
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('c:\documents and settings\Лыкова Галина\local settings\application data\lsass.exe', '');
QuarantineFile('c:\documents and settings\Лыкова Галина\local settings\application data\services.exe', '');
QuarantineFile('c:\documents and settings\Лыкова Галина\local settings\application data\winlogon.exe', '');
QuarantineFile('C:\Documents and Settings\Лыкова Галина\Главное меню\Программы\Автозагрузка\Empty.pif', '');
DeleteFile('C:\Documents and Settings\Лыкова Галина\Главное меню\Программы\Автозагрузка\Empty.pif');
DeleteFile('c:\documents and settings\Лыкова Галина\local settings\application data\winlogon.exe', '32');
DeleteFile('c:\documents and settings\Лыкова Галина\local settings\application data\lsass.exe', '32');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.


Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
D

Deleted user 10355

Не разобравшись с процессом установки я видимо обновил программу. Извиняюсь. Но лог я получил. Ничего пока не удаляю

Malwarebytes Anti-Malware
www.malwarebytes.org

Дата проверки: 26.06.2015
Время проверки: 17:06:51
Журнал: MBAM-log.txt
Администратор: Да

Версия: 2.01.6.1022
База данных вредоносных программ: v2015.06.26.04
База данных руткитов: v2015.06.26.01
Лицензия: Бесплатно
Защита от вредоносных программ: Выключено
Защита от вредоносных веб-сайтов: Выключено
Самозащита: Выключено

ОС: Windows XP Service Pack 3
Процессор: x86
Файловая система: NTFS
Пользователь: ??N????????° ???°?»?????°

Тип проверки: Полная проверка
Результат: Завершено
Проверенно объектов: 378926
Затраченное время: 5 мин, 28 сек

Память: Включено
Загрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Выключено
Эвристика: Включено
PUP: Предупредить
PUM: Включено

Процессы: 0
(Вредоносные программы не обнаружены)

Модули: 0
(Вредоносные программы не обнаружены)

Ключи реестра: 0
(Вредоносные программы не обнаружены)

Параметры реестра: 3
PUM.LowRiskFileTypes, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [96b611aea6e4bc7acc0da1751ee6847c]
PUM.LowRiskFileTypes, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [4ffd932cd2b8bd795089888e0df7b050]
PUM.LowRiskFileTypes, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;, , [dd6fa01f9befe84e4d8c8c8a09fb817f]

Данные реестра: 1
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[d7755e616525a98db1e95fe6cb3b0ef2]

Папки: 18
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-18, , [aaa2f0cf672396a026723f7f847ffa06],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-19, , [68e4447b6d1d999d7424ccf24db62cd4],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-20, , [1438a9164b3f13232e6a4678847fad53],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-21, , [0c4028978505a19510883d819a69f20e],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-22, , [6fdd823d2f5b6acc217712acb44f47b9],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-23, , [3b114e713951d1654e4a6d515fa4a759],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-24, , [024a7c433c4e39fd7820734b2fd47888],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-25, , [cd7f4b746c1e0c2aedab04bae51e22de],
Worm.Brontok, C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok-12-26, , [fe4e338caedce0563b5d09b522e1c838],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-23, , [56f6d0efeb9fba7c35637a4437cc9769],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-18, , [e567447bcbbf95a15345912d03008080],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-19, , [3418536ca2e8d4620c8cdae4c83bac54],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-20, , [4408219e4b3f1f17d0c8f8c6b94a07f9],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-21, , [78d43a85a2e868ce0395c0fe758e9c64],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-22, , [94b8a7183d4da98dbddb13ab12f1aa56],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-24, , [c8842b945733ac8af6a2516d63a08080],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-25, , [2329b40bbfcbef47b3e514aa47bca858],
Worm.Brontok, C:\Documents and Settings\??N????????° ???°?»?????°\Local Settings\Application Data\Bron.tok-12-26, , [c785f7c8d0ba53e34a4e00beed1643bd],

Файлы: 2
Trojan.Dropped, C:\WINDOWS\system32\hidcon.exe, , [57f57b44a0ea4ee83a1a247872909769],
Heuristics.Reserved.Word.Exploit, C:\WINDOWS\system32\winlogon.Del, , [28247d42296150e6747cb8947f87718f],

Физические секторы: 0
(Вредоносные программы не обнаружены)


(end)
Также я создал лог со второй машины win7
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
Код:
Данные реестра: 1
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[d7755e616525a98db1e95fe6cb3b0ef2]
кроме этого, а также если вам знаком файл ниже то ещё кроме
Код:
C:\WINDOWS\system32\hidcon.exe
в MBAM всё удалите.

Сделайте свежий лог AutoLogger-а. Для другой системы создайте отдельную тему.
 
D

Deleted user 10355

На счёт другой машины ясно, создам. А здесь не понятно что сделать конкретно.
Не понятно что сделать с реестром
C:\WINDOWS\system32\hidcon.exe - файл не знаком

Разобрался. Сейчас сделаю
Так приятно работать с вами. Свежий лог
 

Вложения

D

Deleted user 10355

Извините я увидел у другой темы надпись в работе. А у этой нет. У меня всё чисто? Ответ ещё будет
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
- Исправьте с помощью утилиты ClearLNK следующий ярлык
Код:
C:\Documents and Settings\Лыкова Галина\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
проблема решена?

Смените пароли от почты и от всех важных сервисов.
 
D

Deleted user 10355

Сделал. Проблема была решена ещё несколько раньше, но я делал ваши инструкции. Блокировки нет, все настройки в папках доступны.

Остался странный симптом. В хроме при скачивании файла он отображается в нижней панели и я кликаю по стрелочки выбираю показать в папке, но открывается окно с выбором программы в которой открыть файл. То есть действие которое должно просто открыть папку открывает её как запуск файла с неизвестным расширением
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,322
Реакции
5,925
Баллы
998
Попробуйте переустановить Хром сохранив все важные настройки.

+ MBAM - деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Кирилл

Команда форума
Администратор
Сообщения
13,745
Реакции
6,131
Баллы
913
+Смените пароли электронной почты.
Если с хромом так и не разберетесь - добро пожаловать в раздел по реестру.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу