Решена Вероятно, удалённое управление

Статус
В этой теме нельзя размещать новые ответы.

BORODA(C)

Постоянный участник
Сообщения
116
Реакции
36
Компьютер был без антивируса длительное время. После немного подчистил комп. Наверняка что-то осталось. Прошу посмотреть.
 

Вложения

  • CollectionLog-2016.05.13-00.21.zip
    97.7 KB · Просмотры: 3
BORODA(C), следующее ПО вам знакомо?
MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}


Приложение в папке C:\Program Files (x86)\Приложение www.rg.ru знакомо? Сами устанавливали?

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
MediaPlay, версия 1.0 [20140402]-->"C:\Users\Sony\AppData\Local\MediaPlay\unins000.exe"
Search App by Ask [20160422]-->MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C2802}
Shopping App by Ask [20151002]-->MsiExec.exe /X{4F524A2D-5354-2D53-5045-A758B70C2300}

Ничего этого пользователь специально не ставил. Удалить штатным средством App by Ask не удалось.

AdwCleaner (by Xplode) был запущен перед сбором информации. Всё найденное было удалено. Запускать ещё раз?
Про приложение www.rg.ru уточню, но лучше удалить. Пользователь сам заново поставит.
 
BORODA(C),
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFileF('C:\Program Files (x86)\Приложение www.rg.ru', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
DeleteFileMask('C:\Program Files (x86)\Приложение www.rg.ru','*', true);
DeleteDirectory('C:\Program Files (x86)\Приложение www.rg.ru');
DelBHO('{1ee05ad5-dffe-33ce-a3b5-10db0b66c62e}');
DelBHO('{b8fde143-8a4a-3df1-aeea-320ddf9be21d}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Да, лог AdwCleaner все равно сделайте
 
Карантин отправил через форму. Лог AdwCleaner прилагаю.
 

Вложения

  • AdwCleaner[C2].txt
    1.5 KB · Просмотры: 2
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


сделайте повторные логи по правилам
 
Выполнил с учётом сброса политик. Ничего не найдено.
Повторные логи сделаю позже, если получу доступ к компьютеру. Его только что забрали.
 

Вложения

  • AdwCleaner[S3].txt
    1.2 KB · Просмотры: 7
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу