Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Есть подозрения на вирусы (http://forum.oszone.net/showthread.php?t=273471)

svp 05-12-2013 15:46 2267453
Есть подозрения на вирусы
 
Добрый вечер уважаемые специалисты!
Есть подозрение на вирусы.
Прикрепил лог AutoLoggerа.
Посмотрите пожалуйста лог.
Если вирусы есть, то что посоветуете?

Sandor 05-12-2013 16:21 2267469
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт)(запускать правой кнопкой от имени администратора):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Windows\Temp\25784750FdOh','');
 DeleteFile('C:\Windows\Temp\25784750FdOh');
 DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','25786093');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Пофиксите в HijackThis (если останутся) следующие строчки (запускать правой кнопкой от имени администратора):
Код:
O4 - HKLM\..\Run: [25786093] cmd.exe /c copy C:\Windows\Temp\25784750FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
4. Сделайте повторный комплект логов (На первом диалоге нажмите ОК, удерживая клавишу Shift)

svp 05-12-2013 17:01 2267507
Не понял 4-ый пункт. Где сделать повторный комплект логов, в какой программе? И что делать с этим повторным комплектом?
Антивирусы надо отключать?

Sandor 05-12-2013 17:26 2267524
Тот же, что и в первом вашем сообщении - http://forum.oszone.net/thread-98169.html
Цитата:
Цитата svp
Антивирусы надо отключать? »
Желательно отключать.

svp 05-12-2013 18:28 2267546
Отправил quarantine.zip
Сканировал HijackThis, не фиксил (такой строки не было)
Выложил (добавил в первом сообщении) CollectionLog-2013.12.05-18.21.zip

Sandor 05-12-2013 18:53 2267553
Что с проблемой? Кстати, в чем проявлялась?

svp 05-12-2013 19:15 2267573
Дело в том, что сюда меня направили из темы (на этом форуме) по проблемам с dll.
У меня 5 дней назад, после знаменитых обновлений яндекс диска, 2 раза слетали активация системы, драйвер видео и исчезла часть системных длл. Все восстановил. Длл-ки восстанавливал по запросу программ. Только CorelDraw ни как не мог запустить. Снес его, решил установить заново, но при установке получаю сообщение "Error 1935. An error accurred during the installation of assembly component (9AFB3963-7637-4B5C-B612-0A8B5FA001D6). HRESULT: 0x8007007E." И на выход.
Подумал, что каких=то длл не хватает ему для установки (хотя скорее всего обновы ЯД затронули и Microsoft Visual C++).
Так я попал на этот форум, в тему по проблемам с dll, а уж оттуда они меня категорично направили к Вам.
Знаете, это как в поликлинике, хочешь пойти к какому-то врачу, а тебе говорят, что сначала надо пройти флюраграфию.
По Вашему ответу мне я все понял.
Извините, что отнял у Вас время.
Спасибо.

Sandor 06-12-2013 12:15 2267937
Вы не ответили:
Цитата:
Цитата Sandor
Что с проблемой? »

svp 06-12-2013 20:01 2268233
А проблема так и осталась - не устанавливается CorelDraw X6. Проявление ее я написал выше постом.
Скачал еще и портабельную версию КорелДро. И она не запускается, выдает окно из той же серии "Microsoft Visual C++ Runtime Library" c надписью "Runtime Erroe!", вернее запускается и виснет и странное сообщение в правом нижнем углу "Вы не вошли в сеть" и кнопка "Войти". Как только подвожу к ней курсор мыши пропадает. Какая еще сеть?
Все остальные программы работают нормально, как всегда, ни каких проблем. Пока по крайней мере. Сегодня инсталлировал Arcsoft TotalMedia Theatre - проверил, все показываетет и матроски и файлы mts (это я по поводу дл-лек всяких и драйверов видео).
Забыл. После этих обнов ЯД у меня, кроме выше описанного, пропало Аэро в системе и функции 3D в Фотошопе СС. Ну ясен пень - драйвер. Поставил драйвер видео заново, при установке выбрал не обновить, а чистую установку. Аэро восстановилось, а 3D в Фотошопе нет, ни то что не активны функции 3D, а их вообще нет, как-будно и не должно быть. Но по-скольбку я не использую 3D, то успокоился и забыл о нем.
Ну вот как-то так.

svp 07-12-2013 00:57 2268346
Разобрался. Проблемы больше нет.
Восстановил NET Framework и Корел установился с пол оброта. Запустил. Все открывает и все работает.
Хотя нет, проблемка еще осталась (хотя и не такая важная для меня) - 3D в Фотошопе.
Но это уже другая история.

Sandor Еще раз большое спасибо (за одно и систему проверил на вирусы)

Все. Тему можно закрывать

regist 08-12-2013 00:29 2268809
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.


Выполните рекомендации после лечения

svp 08-12-2013 10:26 2268891
Вот

Security Check by glax24 version 0.2.4.59 rc1
WebSite: www.safezone.cc
DateLog: 08.12.2013 10:18:25
Run directory: C:\Windows\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 6.4
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 07.03.2012 22:38:15
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [55.2 Гб] Занято: [28.8 Гб] Свободно: [26.4 Гб]
Браузер по умолчанию: C:\Program Files\Opera\Opera.exe
-------------Windows------------------------------
Internet Explorer 9.11.9600.16428
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-11-30 15:40:06
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2013 v.13.0.1.4190
-------------OtherUtilities-----------------------
Foxit Reader 5.1 v.5.1.4.104 Внимание! Скачать обновления
-------------Java---------------------------------
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u45-windows-i586.exe)^
Java Auto Updater v.2.0.7.1
-------------AppleProduction----------------------
QuickTime v.7.60.92.0 Внимание! Скачать обновления
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.8.800.175 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.9.900.152
-------------Browser------------------------------
Mozilla Firefox 24.0 (x86 ru) v.24.0 Внимание! Скачать обновления
Opera 12.16 v.12.16.1860
Google Chrome v.31.0.1650.63 [+]
-------------EmailClient--------------------------
The Bat! Professional
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.16.1860.0
-------------EndLog-------------------------------

regist 08-12-2013 15:00 2268993
Цитата:
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u45-windows-i586.exe)^
обязательно удалите старую Java и если она нужна для работы установите новую (JAva основная уязвимость для проникновения вирусов).

также обновите
Цитата:
QuickTime v.7.60.92.0 Внимание! Скачать обновления
Цитата:
Foxit Reader 5.1 v.5.1.4.104 Внимание! Скачать обновления
Цитата:
Mozilla Firefox 24.0 (x86 ru) v.24.0 Внимание! Скачать обновления
+ рекомендую
Цитата:
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

svp 08-12-2013 16:09 2269011
ВСЕ ПОНЯЛ.
Описали все по пунктам, да еще со ссылками для скачивания обновлений.
Большое Вам спасибо.


Время: 15:10.

Время: 15:10.
© OSzone.net 2001-