Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Подозрение на вирусы (http://forum.oszone.net/showthread.php?t=274039)

Your_Teacher 15-12-2013 16:08 2272679
Подозрение на вирусы
 
День добрый!

У дочки на лэптопе (ASUS K40IN Series, Pentium Dual-Core CPU T4200 @ 2.00GHz, RAM 2 Gb, NVidia GeForce G102M, MS Windows Vista Ultimate) закончилось действие
McAfee Total Protection, и она очень быстро сумела нахватать вирусов... :( по крайней мере подозрение на их присутствие в системе: не отображаются иконки приложений в
меню Пуск, не отображается левая сторона Проводника, не отображаются гаджеты, клавиатура не переключается на русский... Да и McAfee с новой лицензией не
желает устанавливаться... :o

Сгрузил автоматический сборщик логов, всё распаковал, несколько раз запускал AutoLogger.exe и... никакого эффекта - сбор логов вроде бы идёт до определённого
момента (как раз до появления окошка о необходимости перезагрузки), но после этого автоматического продолжения работы утилиты не наблюдается, впрочем, как
и требуемого файла CollectionLog... :no: К слову, все эти предупреждающие окошки выскакивали с кракозябрами...

Пож. посоветуйте как продолжить бороться с возникшими неприятностями? Запускать вручную все требуемые утилиты и предоставлять полученные логи по отдельности?
Заранее благодарен! :bow:

Katharsis 15-12-2013 16:21 2272688
запускали от администратора?

если не работает, можно и по отдельности

Your_Teacher 15-12-2013 16:26 2272693
Да, естественно от администратора... :yes: Попробуем сейчас...

Katharsis 15-12-2013 16:53 2272709
хотя если проверка остановилась на этапе перезагрузки, достаточно было наверное перезагрузиться вручную

Your_Teacher 15-12-2013 23:05 2272937
Вложений: 1
Логи по отдельности...

regist 15-12-2013 23:49 2272960
Your_Teacher, выполните пожалуйста в AVZ (..\AutoLogger\AVZ\avz.exe) следующий скрипт

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog(PathAutoLogger);
SaveLog(PathAutoLogger+'report4.log');
CMDLine := 'a "' + PathAutoLogger + '\Report.zip" "' + PathAutoLogger + '\report*.log"';
ExecuteFile('7z.exe', CMDLine, 0, 15000, true);
ExecuteScript(GetAVZDirectory+'Script2.txt');   
end.
После этого прикрепите архив с логами Report.zip и CollectionLog

Цитата:
Цитата Your_Teacher
К слову, все эти предупреждающие окошки выскакивали с кракозябрами... »
у вас проблемы с языковыми настройками. Можно поправить в Панель управления - Язык и языковые настройки - язык для программ не поддерживающих юникод русский.

Либо запускать AutoLogger.exe с ключом
Код:
-! lang=en
можете либо с командной строки запустить с таким параметром, либо создать ярлык для запуска и в свойствах ярлыка в конце его дописать.

должно получиться примерно так
Код:
"C:\путь к автологеру\AutoLogger.exe" -! lang=en

Your_Teacher 16-12-2013 09:49 2273057
Скрипт выполнен, лог в приложении...

В момент запуска HiJackThis выскочило окошко AutoIt Error:

Line 7153 (File "D:\AutoLogger\RSIT\RSIT.exe"):
Error: Subscript used with non-Array variable

Ничего не оставалось сделать как кликнуть ОК... и вроде бы процесс успешно завершился...

Your_Teacher 16-12-2013 09:55 2273061
Упс... Report.zip же ещё нужен - сей момент! :yes:

Your_Teacher 16-12-2013 09:57 2273063
Report.zip attached...

Sandor 16-12-2013 16:14 2273263
Your_Teacher, кроме:
Цитата:
Цитата Your_Teacher
Подозрение на вирусы »
как-то еще проявляются проблемы? Опишите.

Your_Teacher 17-12-2013 08:59 2273651
Я правильно понимаю, что угроз больше нет и всё успешно почистилось?

Тем не менее... по-прежнему не работает переключение клавиатуры (присутствует только английский), в панели управления -> язык, часы и регион вкладка языка и региона попросту отсутствует... :o Боковая панель не настраивается - вроде бы ссылки в панели управления есть, но не реагируют никак... :( В принципе остались те же самые проблемы... Думаю, что реестр каким-то образом покоцан (вирусом, кривыми ручками) так, что ключи либо отсутствуют, либо прописаны не так как требуется...

Drongo 17-12-2013 14:21 2273809
Your_Teacher, Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Your_Teacher 17-12-2013 22:21 2274024
Требуемый лог...

regist 18-12-2013 00:15 2274090
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe','');
 QuarantineFile('C:\Windows\System32\drivers\etc\hоsts','');
 QuarantineFileF('C:\Program Files\Compa0\','*', true,'',0 ,0);
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.exe ');
 DeleteFile('C:\Windows\System32\drivers\etc\hоsts');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New00 1.04');
 DeleteFileMask('C:\Program Files\Compa0\New00\', '*', true);
 DeleteDirectory('C:\Program Files\Compa0\New00\',' ');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новый лог сканирования MBAM.

Your_Teacher 18-12-2013 08:27 2274190
Вложений: 1
Скрипты выполнены, файл отправлен...

В приложении новый лог сканирования МВАМ... Программа оповестила, что вредоносных программ не обнаружено...

regist 18-12-2013 19:31 2274528
что с проблемой?

Your_Teacher 20-12-2013 23:25 2275944
Прошу прощения за длительное молчание: последние 2 дня не было времени даже подойти к проблемному лэптопу... Итак, по порядку...

- Персонализация: фоновый рисунок рабочего стола не меняется на любой выбранный, кроме как загружаемый стандартный MS Windows

- Свойства боковой панели Windows: мини-приложений при загрузке лэптопа нет и загрузить их не представляется возможным

Меню "Пуск": кроме Google Chrome и MS Office Outlook никаких других иконок не отображается

- Свойства папки: указание открытия одним щелчком не желает устанавливаться, выбираешь Открывать одним щелчком, Применить, ОК и всё возвращается на круги своя...

- Часы, язык и регион: часы есть, язык и регион отсутствуют как класс... соответственно, не работает переключение клавиатуры: только английский...

Пишу, к слову, на виртуальной клавиатуре на проблемном лэптопе... Каким образом возможно восстановить указанные свойства?
Спасибо за вашу неоценимую помощь! С уважением! :oszone:

regist 21-12-2013 14:46 2276166
1) Для теста скачайте свежую версию AutoLogger.exe и проверьте продолжит ли он свою работу после перезагрузки. Если нет, то пожалуйста снова его репорты его работы прикрепите.

2) выполните скрипт в AVZ

Код:
begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteWizard('TSW', 2, 2, true);
 RebootWindows(false);
end.
после перезагрузки проверьте улучшения есть?

Your_Teacher 21-12-2013 22:11 2276448
Скачал свежую версию AutoLogger.exe, запустил сканирование - после перезагрузки автоматического продолжения выполнения скриптов не произошло...


Выполнение маленького скрипта улучшений не показало... :(

regist 22-12-2013 00:28 2276536
oobefldr.dll поищите у себя этот файл и
Проверьте его на virustotal
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

+ в безопасном режиме тоже самое?

Your_Teacher 22-12-2013 01:12 2276551
В обычном режиме... В безопасном режиме через некоторое время... К слову... первый раз когда проверял файл, такая надпись появилась: данный файл уже был проверен на VirusTotal 2013-09-25 16:02:44 Показатель выявления: 0/47 - ежели честно, я что-то не припоминаю, чтобы в сентябре что-то проверял на этом лэптопе...

В безопасном режиме...

Your_Teacher 22-12-2013 01:51 2276563
В дополнение к этой проверке - в безопасном режиме удалось поменять картинку рабочего стола... настроить указание открытия одним щелчком... после перезагрузки вроде бы ничего не исчезло... :clapping: Также в безопасном режиме в меню Пуск отображались иконки различных приложений - сейчас их опять нет... Боковая панель и Язык и региональные настройки не желают появляться...

Your_Teacher 22-12-2013 02:18 2276572
Сейчас внимательно (в который раз!) просмотрел панель управления и нашёл иконку драйверов Guardant... Кто такие и зачем они? На других домашних устройствах не присутствуют! :yes:

regist 22-12-2013 13:20 2276697
воспользуйтесь этой рекомендацией https://www.outsidethebox.ms/10368/


Время: 04:04.

Время: 04:04.
© OSzone.net 2001-