Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] вирус antivirus security pro (http://forum.oszone.net/showthread.php?t=269543)

numezmat 08-10-2013 14:05 2230750
вирус antivirus security pro
 
Вложений: 3
на компьютер попал этот чудо вирус, я его удалил, но вот теперь с интернета не могу скачивать файлы появляется сообщение "файл <имя> содержал вирус и был удален. во всех браузерах и любого разрешения.

Katharsis 08-10-2013 14:08 2230753
Цитата:
Database was last updated 12.07.2013
обновите базы авз и повторите логи

numezmat 08-10-2013 14:36 2230767
Вложений: 2
Обновил базу и повторно выкладываю логи

Katharsis 08-10-2013 18:44 2230900
1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:C:\ProgramData\ViXrArag', '*', true, '', 0, 0);
 QuarantineFile('C:\ProgramData\ViXrArag\ViXrArag.exe','');
 DeleteFile('C:\ProgramData\ViXrArag\ViXrArag.exe','32');
 DeleteFileMask('C:\ProgramData\ViXrArag', '*', true);
 DeleteDirectory('C:\ProgramData\ViXrArag');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ (ст скрипт 2) и RSIT

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

numezmat 09-10-2013 11:13 2231220
Вложений: 1
Результат сканирования МВАМ

Katharsis 09-10-2013 12:42 2231274
1. удалите это:

Цитата:
Обнаруженные папки: 2
C:\Users\Иван Хандожко\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Иван Хандожко\AppData\Roaming\OpenCandy\9CF92BE0C17C4B8AA432496492691787 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы: 6
C:\Program Files\4shared Desktop\desktop.exe (PUP.Optional.4Squared) -> Действие не было предпринято.
c:\program files\google\desktop\install\{ee42bf05-7134-9148-9c08-2ede70b496b0}\ \...\*ﯹ๛\{ee42bf05-7134-9148-9c08-2ede70b496b0}\u\80000000.@ (Rootkit.0Access) -> Действие не было предпринято.
c:\program files\google\desktop\install\{ee42bf05-7134-9148-9c08-2ede70b496b0}\ \...\*ﯹ๛\{ee42bf05-7134-9148-9c08-2ede70b496b0}\u\800000cb.@ (Rootkit.0Access) -> Действие не было предпринято.

C:\Users\Иван Хандожко\AppData\Roaming\OpenCandy\9CF92BE0C17C4B8AA432496492691787\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
2. сделайте новый лог сканирования только диска С

3. Скачайте TDSSKiller, распакуйте, запустите. нажмите "изменить параметры проверки" и отметьте все пункты. перезагрузитесь и сделайте проверку, лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда он находится в корне диска С.

numezmat 09-10-2013 13:26 2231291
Вложений: 1
Проблема осталась. Выкладываю лог TDSSKiller

Katharsis 09-10-2013 13:39 2231299
Цитата:
Цитата Katharsis
2. сделайте новый лог сканирования только диска С »
это тоже

Еще раз запустите TDSSkiller таким образом: Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.

Потом еще раз просканируйтесь. при обнаружении этого:
Цитата:
detected Rootkit.Win32.BackBoot.gen
нужно выбрать опцию удалить. лог выложите.

numezmat 09-10-2013 14:32 2231325
Вложений: 2
Прикрепил лог TDSSkiller и МВАМ

Katharsis 09-10-2013 14:59 2231351
ок, еще лог после удаления Rootkit.Win32.BackBoot.gen выложите

и насчет вот этого -
Цитата:
C:\Users\Иван Хандожко\AppData\Roaming\hymole\dizitTmp404.exe (Trojan.Bitcoin.SFX) -> Действие не было предпринято.
тоже может оказаться тем, чем написано. если знаете этот файл - оставьте себе, нет - лучше избавиться. но теперешнюю проблему вызывает не он

numezmat 09-10-2013 15:26 2231382
Вложений: 1
Почистил и
Цитата:
Цитата Katharsis
C:\Users\Иван Хандожко\AppData\Roaming\hymole\dizitTmp404.exe (Trojan.Bitcoin.SFX) -> Действие не было предпринято. »
и
Цитата:
Цитата Katharsis
Rootkit.Win32.BackBoot.gen »
прикрепил лог


Проблема осталась

Katharsis 09-10-2013 16:23 2231427
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." Использование ComboFix без рекомендации специалиста может привести к повреждению операционной системы и потере пользовательских данных

numezmat 09-10-2013 17:37 2231490
Вложений: 1
Лог ComboFix

Katharsis 09-10-2013 17:44 2231495
изменения есть?

Цитата:
Цитата numezmat
файл <имя> содержал вирус и был удален »
когда вы утилиты скачивали, тоже такое же сообщение получали?

numezmat 09-10-2013 17:49 2231500
Да когда пытался скачивать то выдавало это сообщение. Я с другого компа сижу. А теперь после ComboFix все работает. Спасибо

Katharsis 09-10-2013 17:59 2231506
1. Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

2. для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

потом - http://forum.oszone.net/post-1838507-9.html

numezmat 09-10-2013 18:16 2231511
Все сделал большое спасибо

Katharsis 09-10-2013 18:21 2231515
лог SecurityCheck by glax24 нужно вставить в пост и отсюда уже скачивать обновления.

regist 09-10-2013 18:22 2231516
http://virusinfo.info/showthread.php?t=147082 на скольких ресурсах ещё лечились? Вам повезло, вы осознаете, что искажали картину заражения на обоих ресурсах и ставили под угрозу свою систему так как рекомендации могли быть несовместимые между собой ;)!

Katharsis 09-10-2013 18:48 2231532
Цитата:
Цитата regist
Вам повезло, вы осознаете »
кроме того, если в следующий раз вы снова решите размножиться на нескольких ресурсах, вам может быть отказано в помощи и на одном, и на другом. Никто не захочет брать на себя ответственность за вашу самодеятельность.

numezmat 10-10-2013 11:10 2231873
Я прошу прощения, что создал на нескольких ресурсах, я как то не подумал о том что может случится.

Цитата:
Цитата Katharsis
лог SecurityCheck by glax24 нужно вставить в пост и отсюда уже скачивать обновления. »
Я так и сделал только воспользовался предварительным просмотром для того чтобы скачать обновления.


Время: 10:21.

Время: 10:21.
© OSzone.net 2001-