Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Подозрения на вирус (http://forum.oszone.net/showthread.php?t=301301)

infernal_zmei 17-06-2015 17:13 2519559
Подозрения на вирус
 
Вложений: 3
Здравствуйте.
Перешел по ссылке, сразу скачались "Амиго", "Вконтакте", "Одноклассники" позже "Опера" и еще куча различных программок. Почистил как мог. Посмотрите, пожалуйста, логи, и подскажите остались ли инфецированые файлы на ноутбуке.

regist 17-06-2015 18:46 2519583
Здравствуйте!

ссылка откуда скачали эту заразу сохранилась?

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Код:
Skype Click to Call []-->MsiExec.exe /X{6D1221A9-17BF-4EC0-81F2-27D30EC30701}
деинсталируйте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\cpuminer-x86.exe');
 QuarantineFile('C:\Program Files\Google\chrome.bat', '');
 QuarantineFile('C:\Users\gorini4\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Users\gorini4\AppData\Roaming\cmpy1Tz30eMvyhGL.exe', '');
 QuarantineFileF('C:\Users\gorini4\AppData\Roaming\cpuminer\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 QuarantineFile('c:\windows\system32\cpuminer-x86.exe', '');
 DeleteFile('C:\Windows\Tasks\cmpy1Tz30eMvyhGL.job', '32');
 DeleteFile('C:\Windows\system32\Tasks\cmpy1Tz30eMvyhGL', '32');
 DeleteFile('C:\Program Files\Google\chrome.bat', '32');
 DeleteFile('C:\Users\gorini4\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Users\gorini4\AppData\Roaming\cmpy1Tz30eMvyhGL.exe', '32');
 DeleteFile('c:\windows\system32\cpuminer-x86.exe', '32');
 DeleteFileMask('C:\Users\gorini4\AppData\Roaming\cpuminer\', '*', true);
 DeleteDirectory('C:\Users\gorini4\AppData\Roaming\cpuminer\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gpuminer');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

infernal_zmei 17-06-2015 21:17 2519622
Вложений: 2
Ссылка, от куда скачал инфецированный файл, не сохранилась, так как я сразу удалил браузер. Скидываю логи, которые Вы просили. Спасибо за оперативность. Файл из AVZ почему-то не закачивается

infernal_zmei 17-06-2015 21:20 2519623
Вложений: 2
вот логи

infernal_zmei 17-06-2015 21:27 2519626
закачал файл от avz сюда http://rghost.ru/7lqQ2TKLy.
Сегодня заметил, что при открытии "вордовских" файлов начинается установка "ворда" (как пишет в окошке у становки), я ее прерываю. Это тоже троян?
Спасибо

regist 18-06-2015 09:13 2519718
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


и пару вордовских файлов заархивируйте и прикрепите.

infernal_zmei 18-06-2015 16:10 2519906
Вложений: 2
Отчет. Какие вордовские файлы надо было прикрепить?

Sandor 18-06-2015 16:33 2519914
Эти:
Цитата:
Цитата infernal_zmei
заметил, что при открытии "вордовских" файлов начинается установка "ворда" »

infernal_zmei 18-06-2015 17:19 2519922
залил сюда, http://rghost.ru/7L4m77LyY

regist 18-06-2015 17:48 2519940
Сделайте свежий лог сканировани AdwCleaner-а.

а вордовский файл отлично открывается. Попробуйте не отменят установку.

infernal_zmei 18-06-2015 18:08 2519952
Вложений: 1
Свежий лог

infernal_zmei 18-06-2015 18:12 2519953
видимо office удалился при чистке, придется переустанавливать. Спасибо за помощь.

regist 19-06-2015 16:40 2520229
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.


Время: 07:56.

Время: 07:56.
© OSzone.net 2001-