Решена Вирус или нет?

[TheFirstNoob]

Сдравствуйте , у меня проблема, не запускаются некоторые файлы и сработала точка восстановления при перезагрузке , все логи выложу позже так как сканирую.

 

[Ботан]

Приветствую TheAssassin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.​

 

[TheFirstNoob]

вот логи ,avz ща скину.

 

[TheFirstNoob]

Вот avz.

 

[Severnyj]

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Users\Колян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OISs3cMNYUw.exe','');
 QuarantineFile('C:\Users\Колян\AppData\Roaming\netprotocol.exe','');
 QuarantineFile('C:\Users\Колян\AppData\Local\Temp\Rar$EX00.866\LOIC.exe','');
 QuarantineFile('C:\Users\Колян\Desktop\LOIC.exe','');
 DeleteFile('C:\Users\Колян\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OISs3cMNYUw.exe');
 DeleteFile('C:\Users\Колян\AppData\Roaming\netprotocol.exe');
 DeleteFileMask('C:\k6NE1juifvfByxg', '*.*', true);
 DeleteDirectory('C:\k6NE1juifvfByxg');
 DeleteFileMask('C:\Users\Колян\AppData\Roaming\nfga2CKfdl3zTuq', '*.*', true);
 DeleteDirectory('C:\Users\Колян\AppData\Roaming\nfga2CKfdl3zTuq');
 DeleteFileMask('C:\nfga2CKfdl3zTuq', '*.*', true);
 DeleteDirectory('C:\nfga2CKfdl3zTuq');
 DeleteFileMask('C:\Users\Колян\AppData\Roaming\k6NE1juifvfByxg', '*.*', true);
 DeleteDirectory('C:\Users\Колян\AppData\Roaming\k6NE1juifvfByxg');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Подготовьте логи OTL by OldTimer и лог OSAM

 

[TheFirstNoob]

Скрипты выполнены без ошыбок, карантин отправил, IE пишет что OTL скачен необычным способом и может нанести вред компу, OSAM скачал логи отправлю позже.

Добавлено через 3 минуты 8 секунд
карантин отправил.

 

[Severnyj]

OTL надо в IE выбрать Запустить

Добавлено через 3 минуты 24 секунды
LOIC.exe - сами скачивали и использовали?

 

[TheFirstNoob]

OTL скачалась ,но выглядит не так как в инструкции,нет одной строки для отметки галочки, скорее всего программа на 64 бита ,дайте пожайлуста ссылу на 32 бита.
LOIC мне скачал друг, он держит сайт,у него отключили интернет и он воспользовался моим компютером для проверки защиты сайта.(профилем на вашем сайте мне дал попользываться друг ,так что если чегото не понимаю извените)
LOIC мы проверяли на вирусы через MBAM, ничего не нашёл,поэтому воспользовались им.

 

[Severnyj]

Заскринте окно OTL

 

[TheFirstNoob]

Вот скрин OTL.

 

[Severnyj]

Ясно, выполняйте лог по инструкции без этой галочки.

 

[TheFirstNoob]

Вот логи. Извинябсь за задержку.

 

[TheFirstNoob]

osam не знаю как кинуть.

 

[Severnyj]

Запакуйте в архив

Добавлено через 9 минут 6 секунд

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  

  :processes
  
  :OTL
  O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SkyMonk.lnk -  - File not found
  @Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:8C35AEA7
  
  :Services
  
  :Files
  
  autorun.inf /alldrives
  autorun.exe /alldrives
  recycler /alldrives
  ipconfig /flushdns /c
  :Reg
  
  :Commands
  [EMPTYJAVA]
  [EMPTYFLASH]
  [RESETHOSTS]
  [purity]
  [Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

[TheFirstNoob]

========== PROCESSES ==========
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpFolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SkyMonk.lnk\ deleted successfully.
File C:\Windows\pss\SkyMonk.lnk.CommonStartup not found.
ADS C:\ProgramData\TEMP:8C35AEA7 deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
autorun.inf not found in C:\
autorun.inf not found in D:\
autorun.exe not found in C:\
autorun.exe not found in D:\
recycler not found in C:\
recycler not found in D:\
< ipconfig /flushdns /c >
No captured output from command...
C:\Users\Колян\Desktop\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYJAVA]

User: All Users

User: Default

User: Default User

User: Public

User: TEMP

User: Все пользователи

User: Колян
->Java cache emptied: 158971 bytes

User: Светлана
->Java cache emptied: 0 bytes

Total Java Files Cleaned = 0,00 mb


[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: Public

User: TEMP

User: Все пользователи

User: Колян
->Flash cache emptied: 11084 bytes

User: Светлана
->Flash cache emptied: 22436 bytes

Total Flash Files Cleaned = 0,00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.43.0 log created on 06022012_131710

 

[Severnyj]

Как самочувствие системы?

 

[TheFirstNoob]

Ну вообщем лучше, только иногда гаснет монитор и через несколько секунд снова включается, в правом нижнем углу появляется надпись (я точнч не помню как звучит фраза) типа видеодрайвер был отключен и восстановлен. Это бывает редко , но доставляет неудобство.
Комп стал быстрее выполнять операции.

 

[akok]

TheAssassin, драйвер видеокарты обновляли?

 

[TheFirstNoob]

Я обновил, теперь всё нормально.
Большое вам спасибо за помощь.

 

[Severnyj]

Ознакомьтесь с этими рекомендациями