Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   какой-то вирус (http://forum.oszone.net/showthread.php?t=295814)

Хмурый 20-02-2015 06:07 2473695
какой-то вирус
 
Вложений: 1
Здравствуйте. Мать на ноуте подхватила какой-то вирус. Говорит окна рекламные вылазили всякие в браузерах. Я когда к ней пришел в браузеры вообще ничего не грузило почемуто. Прогнал принесенные на флэшке cure it и kaspersky virus removal tool. Cure it удалил несколько файлов. После этого дома у себя еще погонял всякие антируткиты и антималвары. В итоге страницы в браузере начали грузится, но окошки от рекламы все равно появлялись (прозрачные такие с крестиком в углу, самой рекламы в них уже не грузило). И еще заметил что мышь тупит, то двойной щелчок сработает вместо одного, то наоборот не сработает и тп. Пока рыл по этим вирусам, натыкался на тему где у парня такие же грабли были с вирусом и мышью. 10 часов уже сижу с этим ноутом, реклама вроде как пропала уже, но проблемы с мышью остались, а значит зараза сидит где-то. и еще заметил что в папке C\user\1\appdata после запуска браузера появляются скрытые папки EmieBrowserModeList, EmieSiteList, EmieUserList. Их удаляеш, но после запуска браузера они снова появляются. В этих папках по файлу conteiner.dat весом 0 кб. Помню еще в Application Data\Browsers были файлы exe.erolpxei.bat, exe.xoferif.bat и exe.emorch.bat. В папке windows\system32 находились софтом файлы OptimizerMonitor.dll(3 штуки,один с маленькой буквы, а два с большой и вроде названия идентичные), при чем так их видно небыло, хоть и стоят галки показывать скрытые файлы и системные. Помогите вылечить, задолбался уже с этим ноутом. Логи с AutoLogger прилагаю.

Хмурый 20-02-2015 06:21 2473696
Мышь кстати сама по себе тупит. Ток ща доперло со своей из компа их местами поменять, голова уже не соображает. Батарейки видать садятся. Посмотрите логи всетаки, остался вирус или нету уже? папки то появляются после запуска браузера

Sandor 20-02-2015 11:32 2473770
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\1\AppData\Local\Temp\3261637FdOh', '');
 QuarantineFile('C:\Windows\Test.bat', '');
 DeleteFile('C:\Users\1\AppData\Local\Temp\3261637FdOh', '32');
 DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3261778','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Хмурый 20-02-2015 12:18 2473794
сперва выпал в синий экран смерти при выполнении скрипта, а после перезагрузки скрипт выполнил, но файл с карантином пустой. да и визуально я этих файлов в папках не вижу

Sandor 20-02-2015 12:33 2473801
Продолжайте.

Хмурый 20-02-2015 12:48 2473811
что продолжать? что именно делать то?
заметил сейчас еще папку пустую systemhost в корне С:, но там неизвестно когда вирус был, может давно уже. Еще в папке windows нашел батник s.bat с содержимым:
Код:
@echo off
if exist c:\prdv10\*.* goto testc
if exist d:\prdv10\*.* goto testd
if exist e:\prdv10\*.* goto teste

:testc
c:
cd c:\prdv10
if exist message.exe start message.exe
if exist script.exe start script.exe
exit
goto end

:testd
d:
cd d:\prdv10
if exist message.exe start message.exe
if exist script.exe start script.exe
exit
goto end

:teste
e:
cd e:\prdv10
if exist message.exe start message.exe
if exist script.exe start script.exe
exit
goto end

:end
удалять его? это от вируса какогото осталось?

Sandor 20-02-2015 13:02 2473815
Если Вы не знаете эти папки из скрипта, удалите.

Цитата:
Цитата Хмурый
что продолжать? »
Это:
Цитата:
Цитата Sandor
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению. »

Хмурый 20-02-2015 13:23 2473827
Вложений: 1
вот

Sandor 20-02-2015 13:52 2473844
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    ***** [ Services ] *****

    Service Found : Guard.Mail.ru

    ***** [ Files / Folders ] *****

    Folder Found : C:\Program Files (x86)\Mail.Ru
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Хмурый 20-02-2015 14:28 2473856
Я наоборот его удалял, а он остался зараза. ща везде уберу, а на майле оставлю. и в регистри Media Get LLC галку оставлю, я удалял Mediaget.
Тут наконец нарыл по папкам EmieBrowserModeList, EmieSiteList, EmieUserList, думаю с вирусами сам справился, эти папки не от вируса а от IE.
Вот статья https://social.technet.microsoft.com...tprocurrentver

Цитата:
Thses directories and dat files are used to store data for the IE11 EnterpriseMode.

It is not a: Virus, neither it is a Trojan, Hoax, KeyLogger or anything else bad.
Спасибо за помощ, извините что побеспокоил

regist 22-02-2015 18:03 2474559
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.


Время: 07:27.

Время: 07:27.
© OSzone.net 2001-