• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Вирус

Статус
В этой теме нельзя размещать новые ответы.

Шевченко Иван

Активный пользователь
Сообщения
116
Симпатии
0
#2
на компе в клубе стоит шел и асталависта. при включении времени запускается шел, в ней запускается 6 окон проводников C:\AsShell\
 

Шевченко Иван

Активный пользователь
Сообщения
116
Симпатии
0
#4
добрый, жду ответа. есть еще такой же компьютер, с такими же глюками.могу со 2 компа тоже скинуть логи.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,710
#5
добрый, жду ответа. есть еще такой же компьютер, с такими же глюками.могу со 2 компа тоже скинуть логи.
Для каждого нового заражения необходимо создавать новую тему на форуме. Советую сначала с этим разобраться чтобы в скриптах и логах не запутаться.
 

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
#7
1. Отключите антивирус/фаервол и интернет;
2. Очистите старые и создате новую контрольную точку восстановления:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
3. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 ClearHostsFile;
 TerminateProcessByName('c:\windows\ufa\ufa.exe');
 TerminateProcessByName('c:\windows\update.1\svchost.exe');
 TerminateProcessByName('c:\windows\update.2\svchost.exe');
 TerminateProcessByName('c:\windows\update.5.0\svchost.exe');
 SetServiceStart('wxpdrivers', 4);
 SetServiceStart('srviecheck', 4);
 SetServiceStart('srvbtcclient', 4);
 StopService('wxpdrivers');
 StopService('srviecheck');
 StopService('srvbtcclient');
 QuarantineFile('C:\Windows\miner2.exe','');
 QuarantineFile('services32.exe','');
 QuarantineFile('C:\Windows\update.tray-14-0\svchost.exe','');
 QuarantineFile('C:\Windows\update.3\svchost.exe','');
 QuarantineFile('C:\Windows\update.6.1\svchost.exe','');
 QuarantineFile('c:\windows\ufa\ufa.exe','');
 QuarantineFile('c:\windows\update.1\svchost.exe','');
 QuarantineFile('c:\windows\update.2\svchost.exe','');
 QuarantineFile('c:\windows\update.5.0\svchost.exe','');
 QuarantineFile('C:\Windows\unrar.exe','');
 QuarantineFile('C:\Windows\myunrar2.exe','');
 DeleteFile('c:\windows\ufa\ufa.exe');
 DeleteFile('C:\Windows\update.5.0\svchost.exe');
 DeleteFile('C:\Windows\update.2\svchost.exe');
 DeleteFile('C:\Windows\update.1\svchost.exe');
 DeleteFile('C:\Windows\update.6.1\svchost.exe');
 DeleteFile('C:\Windows\update.3\svchost.exe');
 DeleteFile('C:\Windows\update.tray-14-0\svchost.exe');
 DeleteFile('C:\Windows\miner2.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico0');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
 DeleteService('srvinstallvideodrv');
 DeleteService('wxpdrivers');
 DeleteService('srviecheck');
 DeleteService('srvbtcclient');
 DeleteFileMask('c:\windows\ufa','*.*',true);
 DeleteFileMask('C:\Windows\update.5.0','*.*',true);
 DeleteFileMask('C:\Windows\update.2','*.*',true);
 DeleteFileMask('C:\Windows\update.1','*.*',true);
 DeleteFileMask('C:\Windows\update.6.1','*.*',true);
 DeleteFileMask('C:\Windows\update.3','*.*',true);
 DeleteFileMask('C:\Windows\update.tray-14-0','*.*',true);
 DeleteDirectory('c:\windows\ufa');
 DeleteDirectory('C:\Windows\update.5.0');
 DeleteDirectory('C:\Windows\update.2');
 DeleteDirectory('C:\Windows\update.1');
 DeleteDirectory('C:\Windows\update.6.1');
 DeleteDirectory('C:\Windows\update.3');
 DeleteDirectory('C:\Windows\update.tray-14-0');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('srvbtcclient');
 BC_DeleteSvc('srviecheck');
 BC_DeleteSvc('wxpdrivers');
 BC_DeleteSvc('srvinstallvideodrv');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится!!!

После перезагрузки:

4. Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки АВЗ через эту форму.

5. Сделайте лог MBAM:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Полное сканирование", нажмите "Сканирование", после сканирования - Ok - "Показать результаты" - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

6. Повторите логи АВЗ и РСИТ.
 
Последнее редактирование:

Шевченко Иван

Активный пользователь
Сообщения
116
Симпатии
0
#8
удалил с C:\Windows\update.1, C:\Windows\update.2 (подобные папки скрытые 5.0,6.1) в них лежал svchost.exe и вирусы типа 1000642.exe (находил до этого около 180 вирусов доктором вебом куреит, вирусы в ввиде цифер 2004895.exe и пару svchost.exe)
 

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
#9
удалил с C:\Windows\update.1, C:\Windows\update.2 (подобные папки скрытые 5.0,6.1) в них лежал svchost.exe и вирусы типа 1000642.exe (находил до этого около 180 вирусов доктором вебом куреит, вирусы в ввиде цифер 2004895.exe и пару svchost.exe)
Вы в ручную удаляли?
Скрипт выполнили?
 

Шевченко Иван

Активный пользователь
Сообщения
116
Симпатии
0
#10
нажимаю выполнить скрипт в авз, пишет ошибка : ')' expected в позиции 26:17
сам не нашел где скопка или запятая не так.

Добавлено через 1 минуту 53 секунды
в ручную удалил пару папок пока ждал ответа.
 

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
#11
Последнее редактирование:

Techno

Ассоциация VN
Сообщения
876
Симпатии
403
#19
1. Выполните в АВЗ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Windows\btc_client_iplist.txt','');
 QuarantineFile('C:\Windows\w_distrib_iplist.txt','');
 QuarantineFile('C:\Windows\iecheck_iplist.txt','');
 QuarantineFile('C:\Windows\ddh_iplist.txt','');
 QuarantineFile('C:\Windows\iplist.txt','');
 QuarantineFile('C:\Windows\front_ip_list.txt','');
 QuarantineFile('C:\Windows\winlog-ids.txt','');
 QuarantineFile('C:\Windows\winlog-dirs.txt','');
 DeleteFile('C:\Windows\unrar.exe');
 DeleteFile('C:\Windows\myunrar2.exe');
 DeleteFile('C:\Windows\btc_client_iplist.txt');
 DeleteFile('C:\Windows\w_distrib_iplist.txt');
 DeleteFile('C:\Windows\iecheck_iplist.txt');
 DeleteFile('C:\Windows\ddh_iplist.txt');
 DeleteFile('C:\Windows\iplist.txt');
 DeleteFile('C:\Windows\front_ip_list.txt');
 DeleteFile('C:\Windows\winlog-ids.txt');
 DeleteFile('C:\Windows\winlog-dirs.txt');
 DeleteFile('C:\WINDOWS\SERVICES32.EXE');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico1');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico2');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico3');
 RegKeyParamDel ('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','tray_ico4');
 RegKeyParamWrite('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot','AlternateShell','REG_SZ', 'cmd.exe');
 DeleteFileMask('C:\Windows\rpcminer','*.*',true);
 DeleteFileMask('C:\Windows\av_ico','*.*',true);
 DeleteFileMask('c:\Users\user.comp\doctorweb\quarantine','*.*',true);
 DeleteDirectory('C:\Windows\rpcminer');
 DeleteDirectory('C:\Windows\av_ico');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.
Компьютер перезагрузится!!!

После перезагрузки:

2. Выполните в АВЗ:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Загрузите quarantine.zip из папки АВЗ через эту форму.

3. Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;vkontakte.ru;www.vkontakte.ru;vk.com;www.vk.com
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
Это Вам знакомо?
Код:
C:\Windows\Domino.exe
c:\astashellg\Shell\tools\internat.exe
4. Повторите логи АВЗ и РСИТ.
 
Последнее редактирование:

Шевченко Иван

Активный пользователь
Сообщения
116
Симпатии
0
#20
c:\astashellg\Shell\tools\internat.exe
начало c:\astashellg\Shell\
там находится программа для блокировки компьютера в игровом зале.
что такое tools\internat.exe не знаю завтра на работе гляну с утра и скажу.


C:\Windows\Domino.exe
это мне не знакомо.

с утра выполню и сделаю пункты все.
СПАСИБО ЗА ПОМОЩЬ!:)
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу