• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена возможно вирус

Статус
В этой теме нельзя размещать новые ответы.

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#1
система официальная вин7 хом, отработала примерно год без глюков, последнее время стала шалить по полной, иногда во время открытия яндекса выдаёт 410 ошибка, на прошлой неделе в один день всего, на этой уже 3 дня подряд! Спасибо вам за помощь
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую GrekID, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


__________________________________________________
С уважением, администрация SafeZone.
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#3
Здравствуйте, сейчас посмотрю.
 

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#4
Здравствуйте, огромное Вам спасибо.
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#5
Файл C:\Users\GrekID\Desktop\AA_v3.exe Вам знаком?

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk','');
 QuarantineFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe','');
 QuarantineFile('C:\Windows\svcadmin.exe','');
 DeleteFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk');
 DeleteFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^GrekID^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.323412417690618.exe.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
  • После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
 

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#6
Файлы Вам отправил.
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
будьте так добры, если Вас не затруднит по подробнее расписать следующие задачи! заново всё отключить? если вас не затруднит то ссылку как отключить полностью антивирусник nod32 4 с системы win7 x64 home basic
я в это время выполняю ваш последний скрипт.
Спасибо.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#7
В карантин ничего не попало ждем следующего лога
 

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#8
Цитирую "Файл C:\Users\GrekID\Desktop\AA_v3.exe Вам знаком?" да, мне знаком, им пользуюсь для управления другими компьютерами. Правда только ингда, мне его порекомендовали в замен Тим Вивера! а пользовался в основном только им до этого!

Добавлено через 3 минуты 16 секунд
а вы думаете я не жду? я с очень большой опаской буду открывать WM ключи если есть подозрение на хоть какой нибудь вирус. спасибо ВАМ за помощь и за уделенное время!
 

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#9
вроде всё что просили, выполнил. ребята я прошу только сказать есть у меня вирусы или нет, могу ли я завтра, после вашего (согласия или опровержения) в дальнейшем использовать именно эту систему безопасно или мне лучше сменить систему. Спасибо Вам огромное!
 

Вложения

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,290
Симпатии
4,829
#10
Если МВАМ уже закрыли, то просканируйте заново и удалите эти строки
Обнаруженные ключи в реестре:

HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
Обнаруженные параметры в реестре:

HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT|SMTP server (PUP.Mailer.Blat) -> Параметры: smtp.yandex.ru -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.
Обнаруженные папки:

C:\ProgramData\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\ProgramData\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
Обнаруженные файлы:

C:\ProgramData\MPK\mpk.db (Refog.Keylogger) -> Действие не было предпринято.
остальные кряки и кейгены на ваше усмотрение, но тоже могут быть заражены.

Не сделали еще это
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#11
Да, на время создания логов/выполнения скриптов отключайте защитное ПО.

Кликните правой кнопкой мыши по значку нода в трее - Отключить защиту от вирусов и шпионский программ.



+ Запакуйте, пожалуйста, файл C:\Windows\svcadmin.exe в архив, залейте на файлообменник и пришлите ссылку мне в личные сообщения.
 

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#12
Вот всё заного провел полную проверку, антивирус выключен, браузеры открыты. Пока ничего не удалял.
 

Вложения

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#17
извините, не могу найти где именно в этой программе удалить эти строки, запустил сканирование на крайний случай вновь. Спасибо.
 

akok

Команда форума
Администратор
Сообщения
13,762
Симпатии
11,587
#18
GrekID, для этого необходимо повторить сканирование MBAM и отметить необходимые записи для удаления.
 

GrekID

Активный пользователь
Сообщения
21
Симпатии
0
#19
хотел бы узнать у Вас по поводу антивируса, есть ли смысл удалять его полностью с компьютера, в замен установить хороший файрвол? как например agnitum. Спасибо
 

S.R

Ассоциация VN
Сообщения
727
Симпатии
376
#20
GrekID, нет, антивирус удалять не следует.

Параметры реестра/файлы в MBAM удалили?

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk','');
 QuarantineFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe','');
 DeleteFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk');
 DeleteFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^GrekID^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.323412417690618.exe.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.