• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Вероятно, удалённое управление

Статус
В этой теме нельзя размещать новые ответы.

BORODA(C)

Пользователь
Сообщения
102
Симпатии
25
#1
Компьютер был без антивируса длительное время. После немного подчистил комп. Наверняка что-то осталось. Прошу посмотреть.
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#2
BORODA(C), следующее ПО вам знакомо?
MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}


Приложение в папке C:\Program Files (x86)\Приложение www.rg.ru знакомо? Сами устанавливали?

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

BORODA(C)

Пользователь
Сообщения
102
Симпатии
25
#3
MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}

Ничего этого пользователь специально не ставил. Удалить штатным средством App by Ask не удалось.

AdwCleaner (by Xplode) был запущен перед сбором информации. Всё найденное было удалено. Запускать ещё раз?
Про приложение www.rg.ru уточню, но лучше удалить. Пользователь сам заново поставит.
 

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#4
BORODA(C),
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFileF('C:\Program Files (x86)\Приложение www.rg.ru', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFileMask('C:\Program Files (x86)\Приложение www.rg.ru','*', true);
DeleteDirectory('C:\Program Files (x86)\Приложение www.rg.ru');
DelBHO('{1ee05ad5-dffe-33ce-a3b5-10db0b66c62e}');
DelBHO('{b8fde143-8a4a-3df1-aeea-320ddf9be21d}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Да, лог AdwCleaner все равно сделайте
 

BORODA(C)

Пользователь
Сообщения
102
Симпатии
25
#5
Карантин отправил через форму. Лог AdwCleaner прилагаю.
 

Вложения

Chinaski

Ассоциация VN
Сообщения
2,149
Симпатии
483
#6
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


сделайте повторные логи по правилам
 

BORODA(C)

Пользователь
Сообщения
102
Симпатии
25
#7
Выполнил с учётом сброса политик. Ничего не найдено.
Повторные логи сделаю позже, если получу доступ к компьютеру. Его только что забрали.
 

Вложения

Статус
В этой теме нельзя размещать новые ответы.