|
|
|
|
| Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Вредоносные программы, трояны, Служба фильрации - Проблемы |
|
|||||
|
|
[решено] Вредоносные программы, трояны, Служба фильрации - Проблемы
|
|
Новый участник Сообщения: 47 |
Здравствуйте. Windows установлен года 4 назад. Антивируса ни когда не использую. В тех редких случаях когда цеплял вируса, спасался dr web cureit, awgclear(по вашей рекомендации в последнее время), и TuneUp Utilities. этого всего хватало. Но последний случай из ряда вон выходящий. И как оказалось этого всего не достаточно. Даже тему сформулировать затрудняюсь... Вначале было все как обычно, mail устанавливал свои программы и браузер Ami... Ope... Сам Использую белку. На него установилось китайское модификация (далее КМ), поиск по принуждению стоял mail, более менее КМ сносил, устанавливал заного. на несколько часов помогало. затем снова он превращался в КМ. Устанавливались затем еще доп. программы, некоторые папки до сих пор не позволяет удалит (прошло недели 2 уже, чуть более), (їмС№ одна из папок в Pr/Failes - это просто китайский браузер, всплывающее окно). Боролся dr web, затем вирус понял что его калечит. И уже запрещал скачивание, и даже теперь как помню, не открывал офф. страницу загрузки dr web. Установил новый Tu.. up utilites. Маленько (на не долго) стихло. Через сутки снова в прежнем темпе. Удаление программ через панель управление, чистка папок, реестра, автозагурзузки, отключение служб, ощутимого спокойствия не приносило. Далее программой (которую на форуме так же рекомендуют) TDSSKiller делаю нокдаун. И что примечательно, вроде все становиться более менее стабильно (по крайне мере программы после этого уже сами не устанавливались, или запуска их setup не происходило), кроме одного. Перестал работать интернет. То есть у меня wi fi, телефон ловил, а на ноуте вроде и ошибки не было, а интернета не было. Эту проблему решил тем, что в интернете есть шаги руководствуясь каким, удалось запустить интернет. Как я понял, на 3 шаге через CMD я почистил (что то, каналы не помню). И там же (вроде и у вас она в качестве рекомендуемых есть), на одном из шагов рекомендуют установить Emsi soft Anti-Malware. Установил. теперь каждый день в карантине Gen.Variant.Zusy и gen.variant.adware.summi
Выходит ошибка Archerbox.dll (по несколько раз в час) и DuiLib.dll (написал по памяти). Теперь у меня установлено Advanced system Protector, CCleaner активно. Еще до всей этой выше описанной ситуации. у меня не работало обновление виндовс, и видимо этим самым и подцепил с интернета вирус. так как в очередной раз полез искать решение в интернет, как сделать обновление рабочим. Псле этого несколько раз чего то обновлялось. Вот и вопрос, как мне избавиться от этих ошибок dll. удалить подозрительные папки. потому что я их не могу удалить не охотником, ни TuneUp utilites. А самый главный вопрос такой, когда после более менее стабильного поведения решил поставить антивирус, то не ожиданый сюрприз в виде - Служба Базовой Фильтрации Windows отключена. И как стало ясно позже, в службах ее нет. И такая проблема еще, msconfig. Через выполнить найти не может (до того как вынес на рабочий стол. писало что не достаточно прав) и с рабочего стола не открывается. Тоже по какой то ошибке. Позже дополню, т.к. сейчас ни чего не выдает. Кстати логи TDSSKiller остались. Прикреплю также. Настойчивость поиска mail.ru позже нашел как снять. Оказывается он вшился в расширения браузера, и сделал себя поиском по умолчанию. Даже с настроек не получалось изменить поисковую систему. Пока с расширения не отключить его. Mail.ru вообще огромный минус. И так о нем знал как о вредном носителе. Но когда в службах увидал Updatesmail.ru (как то так). А в программах "автоматическое обновление программ" (хотя это не ново), слов нет. Разве такой корпорации подобает себя так навязывать с этим гремучим браузером Амиго. Будь они не ладны. Что на них ни кто в суд не подаст... |
|
|
Отправлено: 15:40, 14-02-2017 |
|
Новый участник Сообщения: 47
|
Профиль | Отправить PM | Цитировать Advanced System Protector - лог сканирования. Дополняю. (В архиве логи TDSSKiller; Emsi soft Anti Malware; Autologer; AdwCleaner )
|
|
Последний раз редактировалось Paje, 09-06-2017 в 15:45. Отправлено: 16:48, 14-02-2017 | #2 |
Старожил Сообщения: 387
|
Профиль | Отправить PM | Цитировать Paje, вам "поговорить" или помочь удалить вирусы, если таковые имеются?
Если удалить, тогда Вам нужна помощь? Нам нужны ваши логи! Ну вы и запрятали автологер))) |
|
------- Отправлено: 10:53, 15-02-2017 | #3 |
|
Старожил Сообщения: 387
|
Профиль | Отправить PM | Цитировать Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код:
 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\program files\їмс№\x86', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\gubed', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\common files\services', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\program files (x86)\winarcher', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\аскомп\appdata\roaming\winsnare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('"c:\program files (x86)\mio', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFile('c:\program files\їмС№\x86\kuaizip.exe', '');
QuarantineFile('C:\Program Files (x86)\Gubed\GubedWinArcher.dll', '');
QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', '');
QuarantineFile('C:\Program Files (x86)\WinArcher\Archer.dll', '');
QuarantineFile('C:\Users\АсКомп\AppData\Roaming\WinSnare\WinSnare.dll', '');
QuarantineFile('C:\Windows\svchost.exe', '');
QuarantineFile('C:\Program Files (x86)\Mupagh Update\local64spl.dll', '');
QuarantineFile('C:\Users\АсКомп\AppData\Local\Microsoft\0023368478E7D5113383AC9E481E1A8C\7A1571A05E6B523EDFC6792B0A75FE36.exe', '');
QuarantineFile('C:\Users\АсКомп\AppData\Roaming\Adobe\Manager.exe', '');
QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe', '');
QuarantineFile('C:\$Recycle.Bin\S-1-5-21-3743092464-2926001724-4255650379-1000\$RGBS56R\cstrike\ucp.cmd', '');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\75FE36A0B2976CFDE325B6E50A7A1571" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\75FE36A0B2976CFDE325B6E50A7A1571SB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\75FE36A0B2976CFDE325B6E50A7A1571" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\75FE36A0B2976CFDE325B6E50A7A1571SB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\Manager" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
DeleteFile('c:\program files\їмС№\x86\kuaizip.exe', '32');
DeleteFile('C:\Program Files (x86)\Gubed\GubedWinArcher.dll', '32');
DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', '32');
DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll', '32');
DeleteFile('C:\Users\АсКомп\AppData\Roaming\WinSnare\WinSnare.dll', '32');
DeleteFile('C:\Windows\svchost.exe', '32');
DeleteFile('C:\Program Files (x86)\Mupagh Update\local64spl.dll', '32');
DeleteFile('C:\Users\АсКомп\AppData\Local\Microsoft\0023368478E7D5113383AC9E481E1A8C\7A1571A05E6B523EDFC6792B0A75FE36.exe', '32');
DeleteFile('C:\Users\АсКомп\AppData\Roaming\Adobe\Manager.exe', '32');
DeleteFile('C:\Program Files (x86)\MIO\MIO.exe', '32');
DeleteFile('C:\$Recycle.Bin\S-1-5-21-3743092464-2926001724-4255650379-1000\$RGBS56R\cstrike\ucp.cmd', '32');
DeleteFileMask('c:\program files\їмс№\x86', '*', true);
DeleteFileMask('c:\program files (x86)\gubed', '*', true);
DeleteFileMask('c:\program files (x86)\common files\services', '*', true);
DeleteFileMask('c:\program files (x86)\winarcher', '*', true);
DeleteFileMask('c:\users\аскомп\appdata\roaming\winsnare', '*', true);
DeleteFileMask('"c:\program files (x86)\mio', '*', true);
DeleteDirectory('c:\program files\їмс№\x86');
DeleteDirectory('c:\program files (x86)\gubed');
DeleteDirectory('c:\program files (x86)\common files\services');
DeleteDirectory('c:\program files (x86)\winarcher');
DeleteDirectory('c:\users\аскомп\appdata\roaming\winsnare');
DeleteDirectory('"c:\program files (x86)\mio');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WinSnare\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
DeleteService('GubedWinArcher');
DeleteService('iThemes5');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(9);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению. Подготовьте лог AdwCleaner. Подготовьте новый CollectionLog. |
|
------- Отправлено: 11:10, 15-02-2017 | #4 |
|
Новый участник Сообщения: 47
|
Профиль | Отправить PM | Цитировать Да, сам придерживаюсь краткость сестра таланта. Ну что то конкретно досадило. Спасибо форуму, вам.
С Collectionlog не совсем понял. |
|
|
Последний раз редактировалось Paje, 11-12-2018 в 05:18. Отправлено: 18:06, 15-02-2017 | #5 |
|
Новый участник Сообщения: 47
|
Профиль | Отправить PM | Цитировать Дополняю...
|
|
Последний раз редактировалось Paje, 09-06-2017 в 15:45. Отправлено: 18:09, 15-02-2017 | #6 |
|
Старожил Сообщения: 387
|
Профиль | Отправить PM | Цитировать 1. Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.
2. Цитата Paje:
Paje, выкладывайте те логи, которые мы запрашиваем. Потому что вот вы выложили логи FRST, так вам потом придется их заново переделывать. |
|
|
------- Отправлено: 18:09, 15-02-2017 | #7 |
|
Новый участник Сообщения: 47
|
Профиль | Отправить PM | Цитировать пардон за ожидания... не догадался(=
|
|
Последний раз редактировалось Paje, 09-06-2017 в 15:45. Отправлено: 18:19, 15-02-2017 | #8 |
|
Новый участник Сообщения: 47
|
Профиль | Отправить PM | Цитировать avz_log.txt
|
|
Последний раз редактировалось Paje, 09-06-2017 в 15:45. Отправлено: 18:42, 15-02-2017 | #9 |
|
Старожил Сообщения: 387
|
Профиль | Отправить PM | Цитировать Paje, нужен лог АВТОЛОГЕРА!!!
Цитата shestale:
|
|
|
------- Отправлено: 18:46, 15-02-2017 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Вредоносные программы в атаке! | eleazar | Лечение систем от вредоносных программ | 27 | 11-07-2013 17:27 | |
| Проверка на вредоносные программы | Vexor_26 | Лечение систем от вредоносных программ | 7 | 31-05-2013 10:04 | |
| [решено] вредоносные программы | sgg75111 | Лечение систем от вредоносных программ | 6 | 26-03-2013 09:09 | |
| [решено] вредоносные программы | fereman | Лечение систем от вредоносных программ | 10 | 03-09-2010 11:49 | |
| Зачем люди пишут вредоносные программы? | Why | Флейм | 20 | 08-01-2009 22:13 | |
|
|
Время: 10:43. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
