Решена Vista Home Premium и, возможно, зловреды

Статус
В этой теме нельзя размещать новые ответы.

Razey

Опытный участник
Сообщения
729
Реакции
33
Здравствуйте! Имеется старый ноут Sony Vaio VGN-NR11SR с предустановленной Windows Vista Home Premium x32. Долгое время не был подключен к интернету, работал как рабочая станция, но каким-то образом (думаю, автозапуск) был заражен 2-3 разновидностями зловредов. Загрузившись с Live-USB Drweb'a пролечил его (было найдено 2-3 зловреда и все были удалены), но боюсь, что-то могло остаться и как хвосты, и как "рабочее тело". Просьба посмотреть логи.
 

Вложения

  • CollectionLog-2015.02.10-22.10.zip
    116.7 KB · Просмотры: 7
Просьба ответить что-либо, пожалуйста, тема создана ещё во вторник.
 
VAIO Registration Reminder - ваше?
Касперского антивирус - недоудалили или он у вас стоит?
Настройки сети ваши? 77.74.8.35,77.74.8.40
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Zpqkqj.exe','');
 DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Zpqkqj.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zpqkqj');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
VAIO Registration Reminder - ваше?
не знаю. В "программах и компонентах" ее не нашел.

Касперского антивирус - недоудалили или он у вас стоит?
Недоудалил. До выполнения скрипта скачал утилиту и 2 раза ею (Kaspersky 14 и kaspersky 6.0) "прошелся". После 2-го раза перезагрузился. Она должна была "добить"...


Настройки сети ваши? 77.74.8.35,77.74.8.40
нет


Скрипт выполнил.
Карантин выслал.
Новые логи сделал (во вложении).
Отчет AdwCleaner'a тоже во вложении.
 

Вложения

  • CollectionLog-2015.02.16-01.59.zip
    74.4 KB · Просмотры: 6
  • AdwCleaner[R0].txt
    1.3 KB · Просмотры: 3
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со строк содержащих упоминание mail.ru
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
Пофикситt в HijackThis следующие строчки
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB42B07-3418-40B0-B69A-ED2544C0D9F2}: NameServer = 77.74.8.35,77.74.8.40

Какие еще проблемы наблюдаются?
 
Все вышеуказанное выполнил.


Проблем в общем-то нет, но:
1. При загрузке появляется окошко с надписью: "Боковая панель Windows управляется системным администратором".
2. После введения пароля компьютер "подвисает" где-то на 1-2 минуты (невозможно ни свернуть окно, ни вызвать диспетчер задач, не работает ни одна кнопка ни клавиатуры, ни мыши. После этого все становится нормально, работает, как обычно...
 
Боковая панель Windows управляется системным администратором".
Исправьте в реестре:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Windows\Sidebar
Параметр TurnOffSidebar вместо "1" поставьте "0" ,панель должна начать запускаться.
Если нужно отключить панель,то по инструкции:
https://technet.microsoft.com/ru-ru/security/dn261332.aspx

После введения пароля компьютер "подвисает" где-то на 1-2 минуты (невозможно ни свернуть окно, ни вызвать диспетчер задач, не работает ни одна кнопка ни клавиатуры, ни мыши. После этого все становится нормально, работает, как обычно...
Проверьте повторится ли данная проблема в безопасном режиме.

Давайте еще сделаем контрольный лог autologger.
В смежных темах сегодня ответите или в другой раз?
+ добейте касперского по инструкции
https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
 
Koza Nozdri, спасибо.

1. Боковую панель оставлю в том виде, в котором она есть (на мой взгляд, это лучший вариант) - мнение сформировалось после прочтения вашей ссылки по отключению боковой панели.

2. По поводу "подвешивания" компьютера - дело оказалось в касперском, вернее, конкретно в версии 6.0 для Windows Workstation (на компьютере в разное время стояло 2 антивируса Касперского - сначала 6.0, потом 2014; 2014 нормально удалил утилитой, а вот версию 6.0 нет, т.к. неправильно указал ее разновидность в меню утилиты - сейчас исправился).

3. Ваши рекомендации (если можно) по обеспечению безопасности Vista в интернете и без него - имею ввиду настройки реестра, какие-либо настройки в оснастке, в групповой политике и т.д. Почему так?
Привык делать так, чтобы ко мне больше не обращались...
Киньте ссылку, не надо много - найду сам...

4. Постараюсь ответить еще в одной теме сегодня, а в другой (связанной с Adobe Flash) завтра, т.к. сегодня проблемный комп не включен, а человек, за ним работающий, будет только завтра (а кабинет закрыт).

5. Если ничего не наблюдаете - тему можно закрывать...
 
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.


Выполните рекомендации после лечения.
 
Выполняю рекомендации после лечения, "подвисон" все же остался. В логе SecurityCheck увидел, что на данном компе стоял и Norton 360. "Отработать" и по нему утилитой удаления?
 

Вложения

  • SecurityCheck.txt
    1.8 KB · Просмотры: 2
"подвисон" все же остался. В логе SecurityCheck увидел, что на данном компе стоял и Norton 360.
Да,по нортону пройдитесь утилитой удаления.
Если проблемы с подвисаниями не пройдут - лобро пожаловать в раздел по системам,с этой проблемой будем там разбираться.
 
Последнее редактирование:
Koza Nozdri, проблем нет, можно закрывать тему. "Подвисоны" тоже исчезли после отработки по нортону.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу