Решена Вирус при скачивании из интернета

Статус
В этой теме нельзя размещать новые ответы.

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Доброго времени суток!
Обращаюсь к Вам в четвертый раз, причина всему "мама пользуется компом". В общем при скачивании сериала, без понятия откуда она это делала, загрузилось куча игрушек-ярлыков. Снёс их все в силу своих навыков. Однако внизу на панели повисло окошко с надписью "поиск в интернете", которое никак не удается удалить. Из-за этого компьютер при выключении очень долго выключается, ну и бог знает что еще этот вирус повреждает. Скриншот экрана к сожалению не смог прикрепить, чтобы Вам наглядно было видно. Может иным способом можно Вам переслать?

Логи сделал, прикрепил, на дату лога не обращайте внимание. В предыдущий раз с Вами общался и говорил, что дата на сутки с копейками вперед установлена, поставить на нормальное время не получается, в прошлое обращение даже с Вами пробовали и не смогли. Но с датой не проблема, она никак не мешает мне. Помогите, пожалуйста, удалить этот вирус.
 

Вложения

  • CollectionLog-2018.01.04-18.15.zip
    86.9 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\admin\local settings\application data\oneclick\oneclickapp.32.exe');
 TerminateProcessByName('c:\documents and settings\admin\local settings\application data\oneclick\oneclickbandhandler.32.exe');
 TerminateProcessByName('c:\windows\system32\searchprotectservice.exe');
 QuarantineFileF('c:\documents and settings\admin\local settings\application data\oneclick', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\docume~1\admin\locals~1\applic~1\oneclick', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\documents and settings\admin\local settings\application data\oneclick\oneclickapp.32.exe', '');
 QuarantineFile('c:\documents and settings\admin\local settings\application data\oneclick\oneclickbandhandler.32.exe', '');
 QuarantineFile('c:\windows\system32\searchprotectservice.exe', '');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\APPLIC~1\OneClick\ONECLI~1.DLL', '');
 DeleteFile('c:\documents and settings\admin\local settings\application data\oneclick\oneclickapp.32.exe', '32');
 DeleteFile('c:\documents and settings\admin\local settings\application data\oneclick\oneclickbandhandler.32.exe', '32');
 DeleteFile('c:\windows\system32\searchprotectservice.exe', '32');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\APPLIC~1\OneClick\ONECLI~1.DLL', '32');
 DeleteFileMask('c:\documents and settings\admin\local settings\application data\oneclick', '*', true);
 DeleteFileMask('c:\docume~1\admin\locals~1\applic~1\oneclick', '*', true);
 DeleteDirectory('c:\documents and settings\admin\local settings\application data\oneclick');
 DeleteDirectory('c:\docume~1\admin\locals~1\applic~1\oneclick');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','OneClick');
 DeleteService('SPS');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.

Логи сделаны старым автологером. Скачайте свежий и переделайте логи.
 

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Было непросто в очередной раз, но всё сделал последовательно. Отправил все файлы на указанную почту, т.к. карантин больше 8мб был. Уже "окошко вируса" на панели пропало.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Отправил все файлы на указанную почту
На почту только карантин. Все логи крепите здесь на форуме в своих сообщениях.

Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте логи Farbar Recovery Scan Tool
 
Последнее редактирование:
  • Like
Реакции: akok

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Хорошо, прикрепил всё, кроме карантина (он на почту отправлен). Также добавил фарбар файлы
 

Вложения

  • ClearLNK-05.01.2018_10-30.log
    3.8 KB · Просмотры: 2
  • AdwCleaner[S0].txt
    16.9 KB · Просмотры: 2
  • CollectionLog-2018.01.05-10.43.zip
    84.7 KB · Просмотры: 0
  • FRST.txt
    172.3 KB · Просмотры: 3
  • Addition.txt
    97.9 KB · Просмотры: 1
  • Shortcut.txt
    87.7 KB · Просмотры: 0

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,278
Реакции
13,843
Баллы
2,293
Удалили найденное в ADW? Прикрепите пожалуйста лог
 

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Почистил, прикрепил.
 

Вложения

  • AdwCleaner[C0].txt
    14.9 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,278
Реакции
13,843
Баллы
2,293
Пожалуйста, переделайте лог FRST после чистки AdwCleaner
 

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Переделал.
 

Вложения

  • Shortcut.txt
    87.7 KB · Просмотры: 0
  • Addition.txt
    96.8 KB · Просмотры: 1
  • FRST.txt
    166.5 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Выполните скрипт в Farbar Recovery Scan Tool. Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-527237240-1343024091-1417001333-500_Classes\CLSID\{5884FE7C-1AC9-4F11-9818-A7DC2437E8F3}\InprocServer32 -> C:\DOCUME~1\Admin\LOCALS~1\APPLIC~1\OneClick\ONECLI~1.DLL => No File
AlternateDataStreams: C:\Documents and Settings\Admin\Local Settings\Application Data:wa [146]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A [153]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC [124]
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-527237240-1343024091-1417001333-500\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "C:\Documents and Settings\All Users\Application Data\ICQ\ICQNewTab\newTab.html" <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-527237240-1343024091-1417001333-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HomePage: DFLTUSER -> mail.ru/cnt/11956636
CHR DefaultSearchKeyword: DFLTUSER -> mail.ru
EmptyTemp:
Reboot:
end
 
  • Like
Реакции: akok

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Сделал.
 

Вложения

  • Fixlog.txt
    3.9 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Что с проблемами?
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

---- Автоматическое слияние сообщений ----

Из-за этого компьютер при выключении очень долго выключается
WindowsXP
---------------
Пуск - Панель управления - Администрирование - Локальная политика безопасности - Локальные политики - Параметры безопасности
Параметр - Завершение работы: очистка страничного файла виртуальной памяти - необходимо отключить.

---- Автоматическое слияние сообщений ----

поставить на нормальное время не получается
В BIOS'е пробовали менять?
 
Последнее редактирование:

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Окошко вируса пропало, выключаться стал сразу как и раньше. Даже браузер интернета стал моментально запускаться, раньше медленнее было. Проблемы решены, в очередной раз Вам огромная благодарность.

"Завершение работы: очистка страничного файла виртуальной памяти" - стоит "отключен".

На биос у меня мозгов нет) "сбитое" время уже не мешает.

Лог после SecurityCheck by glax24 ниже:
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 06.01.2018 14:26:14
Path starting: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Admin
VersionXML: 4.81is-30.12.2017
___________________________________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 28.09.2010 16:59:00
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Microsoft Office\Office12\msohtmed.exe
Системный диск: C: ФС: [NTFS] Емкость: [48.8 Гб] Занято: [28.3 Гб] Свободно: [20.5 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.6001.18702
Загружать автоматически и уведомлять об установке обновлений
Дата установки обновлений: 2017-06-16 15:28:12
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Службы терминалов (TermService) - Служба работает
Служба обнаружения SSDP (SSDPSRV) - Служба остановлена
Восстановление системы отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
---------------------- [ AntiVirusFirewallInstall ] -----------------------
McAfee Security Scan Plus v.3.11.376.2
Dr.Web anti-virus for Windows 6.0 (x86) v.6.00.1.03160
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes Anti-Malware, версия 2.0.2.1012 v.2.0.2.1012
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 4.65
Архиватор WinRAR
Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.2.33870 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 11 v.7.0.110 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u152-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
QuickTime v.7.60.92.0 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
iTunes v.12.0.1.26 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 ActiveX v.20.0.0.286 Внимание! Скачать обновления
Adobe Flash Player 15 Plugin v.15.0.0.246 Внимание! Скачать обновления
Adobe Flash Player 22 PPAPI v.22.0.0.209 Внимание! Скачать обновления
Adobe Reader 8 - Russian v.8.0.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
Adobe Reader 9.3.4 (Lite by paskits) v.9.3.4 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.49.0.2623.112 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 26.0 (x86 ru) v.26.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.17.4.1.1026 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.49.0.2623.112
------------------ [ AntivirusFirewallProcessServices ] -------------------
Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Служба работает
C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe v.7.0.1.5020
Dr.Web Firewall Service (DrWebFwSvc) - Служба работает
C:\Program Files\DrWeb\frwl_svc.exe v.6.0.1.10298
C:\Program Files\DrWeb\frwl_notify.exe v.6.0.1.10298
C:\Program Files\DrWeb\SpIDerAgent.exe v.6.0.5.10310
McAfee Security Scan Component Host Service (McComponentHostService) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Currency calc v.1.1.20 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Выполнил обновления, отчет ниже, пара вопросов осталось открытыми:
1. Скайп обновил, но он не запускается, пишет проверить подключение к интернету;
2. Currency calc v.1.1.20 - не помню действительно, что это за программа, написано можно деинсталлировать, но вначале проконсультироваться с Вами.
Сообщите, пожалуйста, что делать с этими 2-мя задачами?

Выполненное:
Microsoft Silverlight v.5.1.30514.0 - написало, что установлена эта версия;
Skype™ 7.0 v.7.0.102 - обновил, не запускается, просит проверить доступ к интернету, а с ним всё в порядке;
Java SE 8 - старую снёс, рекомендуемую Вами не могу скачать, требует доступ/лицензию к возможности скачать;
QuickTime v.7.60.92.0 - снёс;
iTunes v.12.0.1.26 - скачалось, но не устанавливается, пишет что не является приложением Win32;
AdobeProduction - всё обновил, снёс старое, установил рекомендуемое;
Browser - обновил все;
Unity Web Player v.5.3.5f1 - снёс.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Скайп обновил, но он не запускается, пишет проверить подключение к интернету
Попробуйте деинсталировать совсем. Скачать с оффициального сайта свежий и установить заново.
Currency calc v.1.1.20 - не помню действительно, что это за программа, написано можно деинсталлировать, но вначале проконсультироваться с Вами.
Currency calc []-->C:\Program Files\advPlugin\uninstall.exe - деинсталируйте.
 

Santes

Активный пользователь
Сообщения
36
Реакции
2
Баллы
398
Скайп восстановил, Currency calc удалил, рекомендации все выполнил. Огромное спасибо, можно закрывать тему я думаю!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,699
Реакции
4,656
Баллы
843
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу