[решено] Лечение вируса Attrib.exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Лечение вируса Attrib.exe (http://forum.oszone.net/showthread.php?t=350486)

Лечение вируса Attrib.exe

Здравствуйте, помогите с лечением вируса Attrib.exe

webcompanion деинсталлируйте

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

 begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

 QuarantineFile('C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Helper.exe','');

 QuarantineFile('C:\Users\Данил\appdata\roaming\microsoft\windows\helper.exe','');

 DeleteFile('C:\Users\Данил\appdata\roaming\microsoft\windows\helper.exe','32');

 DeleteFile('C:\Users\Данил\AppData\Roaming\Microsoft\Windows\Helper.exe','64');

 DeleteSchedulerTask('System\SystemCheck');

   BC_Activate;

  ExecuteSysClean;

  ExecuteWizard('SCU', 2, 3, true);

 BC_ImportALL;

RebootWindows(true);

end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin

DeleteFile(GetAVZDirectory+'quarantine.7z');

ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);

end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://mypoisk.su/

O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (file missing)

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Файл 166001

Добрый вечер, web companion давно удалён, не имею представление почему он оказался в логах...
Quarantine.7z отправил по форме, также прикрепляю свежие логи к этому сообщению. Спасибо!

Файл 166002

Также прикрепляю логи AdwCleaner:Файл 166003

Не крепите вредосное ПО на форуме.

Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку"), а по окончании сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Добрый день, AdwCleaner[Cxx].txt не создается, судя по всему потому, что карантин я очистил после проверки по случайности еще вчера, всё из него удалено и при повторной проверки вирусы не найдены. Также прикрепляю FRST.txt и Addition.txt. И также прикрепляю AdwCleaner[Sxx].txt. А так фактически проблема решена. Как я понял, дело было в WebCompanion, появился он у меня после установки торрента, торрент я тоже удалил так что все хорошо. Благодарю за помощь. Что то ёще нужно сделать?

Файл 166004
Файл 166005
Файл 166006

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: SystemRestore: On CreateRestorePoint: GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\Users\Данил\NTUSER.pol: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo] CHR StartupUrls: Default -> "hxxp://rusearch.co" FirewallRules: [{35B28BC2-0379-4FF0-824D-00A646AEDEBF}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла FirewallRules: [{AF8DD9F2-4265-40CE-A506-CE52CAB1096A}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла FirewallRules: [{5718748B-5850-426D-9926-6D00B7A15463}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла FirewallRules: [{A6C81453-76FE-4392-9A38-F7C435B5FB67}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => Нет файла FirewallRules: [TCP Query User{5F51A20F-B219-4218-A480-4364D116318B}C:\users\данил\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\данил\appdata\roaming\utorrent\utorrent.exe => Нет файла FirewallRules: [UDP Query User{45AC1C7D-1E22-4651-B583-E440F51BDADB}C:\users\данил\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\данил\appdata\roaming\utorrent\utorrent.exe => Нет файла FirewallRules: [{1EC38333-6845-440E-8948-C3E5F3E08307}] => (Allow) C:\Users\Данил\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{95988D70-8FAE-4153-BAA5-BBBF981C4A7A}] => (Allow) C:\Users\Данил\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{46F3D62E-3AAA-4681-8082-91F297120B0F}] => (Allow) C:\Users\Данил\AppData\Local\Mail.Ru\Atom\Application\atom.exe => Нет файла EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После проверяйте проблему.

Доброго времени суток, прикрепляю логи фикса. Проблема решена, спасибо вам огромное:) И кстати, она была решена сразу после работы adwcleaner.
Файл 166020

В завершение и на будущее:

1.

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.