[решено] вирус, сборщик логов не запускаеться после перезагрузки

vvvyg · Отправлено: **15:03, 09-09-2015** | #11

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.exe', '');
 QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.exe', '');
 QuarantineFile('C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10_user.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5_user.job', '32');
 DeleteFile('C:\WINDOWS\Tasks\jTbbjGoinxzGo.job', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.exe', '32');
 DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.exe', '32');
 DeleteFile('C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo.exe', '32');
 DeleteFileMask('C:\Program Files\CinemaPlus-4.5vV08.09', '*', true);
 DeleteDirectory('C:\Program Files\CinemaPlus-4.5vV08.09');
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-10_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-5_user" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "jTbbjGoinxzGo" /F', 0, 15000, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Najad · Отправлено: **19:20, 09-09-2015** | #12

карантин отправила.

vvvyg · Отправлено: **19:30, 09-09-2015** | #13

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите кэш и куки в браузерах и сообщите, что с проблемами.

Najad · Отправлено: **19:50, 09-09-2015** | #14

Все сделала. После того, как ноут перезагрузился, реклама появилась, хотя с момента создания темы я ее не видела. Почистила браузери, снова перезагрузилась. Пока баннера не видно

UPD: возможно ошибаюсь, но баннер появился повторно после инсталляции обновлений виндовс во время одной из перезагрузок ноута.

vvvyg · Отправлено: **12:22, 10-09-2015** | #15

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Najad · Отправлено: **12:33, 10-09-2015** | #16

сделано

vvvyg · Отправлено: **15:49, 10-09-2015** | #17

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text=
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo
Task: {3720B202-5F2F-4290-84BE-E4416B299A43} - \Update Service for Torrent Search -> No File <==== ATTENTION
Task: {B61BB1BD-41BE-4C09-B8E7-77940E176597} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
HKU\S-1-5-21-1042081177-3272775777-3223507534-1001\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
HKU\S-1-5-21-1042081177-3272775777-3223507534-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_147CE6BDE8B8738F81ABA3AC82DCD6AB"
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки все компоненты антивируса, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

Najad · Отправлено: **16:40, 10-09-2015** | #18

Спасибо за помощь. Реклама не появлялася, ноут вроде чуть быстрее соображает. Заметила один нюанс, при закачке ехе-файлов система меня не спрашивает что с ним делать, а сразу закачивает на диск. Это поправить можно?

Sandor · Отправлено: **16:53, 10-09-2015** | #19

Цитата Najad:

система меня не спрашивает что с ним делать, а сразу закачивает на диск »

Вероятно Вы подразумевали браузер, а не система, так? В настройках браузера как правило можно задать параметр - сразу закачивать в определенную папку или спрашивать место назначения.