Решена Вероятно, удалённое управление

Статус
В этой теме нельзя размещать новые ответы.

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
268
Компьютер был без антивируса длительное время. После немного подчистил комп. Наверняка что-то осталось. Прошу посмотреть.
 

Вложения

  • CollectionLog-2016.05.13-00.21.zip
    97.7 KB · Просмотры: 3

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
481
Баллы
633
BORODA(C), следующее ПО вам знакомо?
MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}


Приложение в папке C:\Program Files (x86)\Приложение www.rg.ru знакомо? Сами устанавливали?

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
268
MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}

Ничего этого пользователь специально не ставил. Удалить штатным средством App by Ask не удалось.

AdwCleaner (by Xplode) был запущен перед сбором информации. Всё найденное было удалено. Запускать ещё раз?
Про приложение www.rg.ru уточню, но лучше удалить. Пользователь сам заново поставит.
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
481
Баллы
633
BORODA(C),
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFileF('C:\Program Files (x86)\Приложение www.rg.ru', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFileMask('C:\Program Files (x86)\Приложение www.rg.ru','*', true);
DeleteDirectory('C:\Program Files (x86)\Приложение www.rg.ru');
DelBHO('{1ee05ad5-dffe-33ce-a3b5-10db0b66c62e}');
DelBHO('{b8fde143-8a4a-3df1-aeea-320ddf9be21d}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Да, лог AdwCleaner все равно сделайте
 

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
268
Карантин отправил через форму. Лог AdwCleaner прилагаю.
 

Вложения

  • AdwCleaner[C2].txt
    1.5 KB · Просмотры: 2

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
481
Баллы
633
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


сделайте повторные логи по правилам
 

BORODA(C)

Активный пользователь
Сообщения
118
Реакции
36
Баллы
268
Выполнил с учётом сброса политик. Ничего не найдено.
Повторные логи сделаю позже, если получу доступ к компьютеру. Его только что забрали.
 

Вложения

  • AdwCleaner[S3].txt
    1.2 KB · Просмотры: 7
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу