Лечение вируса PC Defender

[neonox]

Добрый день! На ноутбуке поймали вирус PC Defender, удалил его с помощью Virus Removal Tool, так же прогнал компьютер CureIt, anti-malware, все чисто. Решил еще проверить AVZ, при эвристическом анализе системы появилось несколько процессов подозрительных процессов. Просьба проверить чиста ли система на текущий момент.

p.s.: Нет возможности подключиться к интернету, поэтому не могу приложить virusinfo_syscheck, если он понадобится приложу чуть позже

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\07.exe','');
 QuarantineFile('C:\WINDOWS\system32\11.exe','');
 QuarantineFile('C:\WINDOWS\system32\16.exe','');
 QuarantineFile('C:\WINDOWS\system32\27.exe','');
 QuarantineFile('C:\WINDOWS\system32\28.exe','');
 QuarantineFile('C:\WINDOWS\system32\32.exe','');
 QuarantineFile('C:\WINDOWS\system32\33.exe','');
 QuarantineFile('C:\WINDOWS\system32\42.exe','');
 DeleteFile('C:\WINDOWS\system32\42.exe');
 DeleteFile('C:\WINDOWS\system32\33.exe');
 DeleteFile('C:\WINDOWS\system32\32.exe');
 DeleteFile('C:\WINDOWS\system32\28.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
 DeleteFile('C:\WINDOWS\system32\24.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\11.exe');
 DeleteFile('C:\WINDOWS\system32\07.exe');
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\02.exe');
 DeleteFile('C:\WINDOWS\system32\00.exe');
 DeleteFile('C:\WINDOWS\system32\87.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 DeleteFile('C:\WINDOWS\system32\55.exe');
 DeleteFile('C:\WINDOWS\system32\77.exe');
 DeleteFile('C:\WINDOWS\system32\67.exe');
 DeleteFile('C:\WINDOWS\system32\35.exe');
 DeleteFile('C:\WINDOWS\system32\26.exe');
 DeleteFile('C:\WINDOWS\system32\43.exe');
 DeleteFile('C:\WINDOWS\system32\70.exe');
 DeleteFile('C:\WINDOWS\system32\64.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');
 DeleteFile('C:\WINDOWS\system32\60.exe');
 DeleteFile('C:\WINDOWS\system32\14.exe');
 DeleteFile('C:\WINDOWS\system32\12.exe');
 DeleteFile('C:\WINDOWS\system32\78.exe');
 DeleteFile('C:\WINDOWS\system32\36.exe');
 DeleteFile('C:\WINDOWS\system32\21.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\23.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Обновите базы АВЗ

- Повторите логи

- Сделайте лог полного сканирования МВАМ

[neonox]

Сделано

[olejah]

Удалите в МВАМ всё найденное

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 DeleteFile('C:\WINDOWS\system32\88.exe');
 DeleteFile('C:\WINDOWS\system32\85.exe');
 DeleteFile('C:\WINDOWS\system32\84.exe');
 DeleteFile('C:\WINDOWS\system32\81.exe');
 DeleteFile('C:\WINDOWS\system32\76.exe');
 DeleteFile('C:\WINDOWS\system32\75.exe');
 DeleteFile('C:\WINDOWS\system32\74.exe');
 DeleteFile('C:\WINDOWS\system32\72.exe');
 DeleteFile('C:\WINDOWS\system32\63.exe');
 DeleteFile('C:\WINDOWS\system32\62.exe');
 DeleteFile('C:\WINDOWS\system32\61.exe');
 DeleteFile('C:\WINDOWS\system32\56.exe');
 DeleteFile('C:\WINDOWS\system32\54.exe');
 DeleteFile('C:\WINDOWS\system32\52.exe');
 DeleteFile('C:\WINDOWS\system32\51.exe');
 DeleteFile('C:\WINDOWS\system32\50.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\WINDOWS\system32\47.exe');
 DeleteFile('C:\WINDOWS\system32\45.exe');
 DeleteFile('C:\WINDOWS\system32\44.exe');
 DeleteFile('C:\WINDOWS\system32\40.exe');
 DeleteFile('C:\WINDOWS\system32\38.exe');
 DeleteFile('C:\WINDOWS\system32\37.exe');
 DeleteFile('C:\WINDOWS\system32\31.exe');
 DeleteFile('C:\WINDOWS\system32\30.exe');
 DeleteFile('C:\WINDOWS\system32\20.exe');
 DeleteFile('C:\WINDOWS\system32\17.exe');
 DeleteFile('C:\WINDOWS\system32\13.exe');
 DeleteFile('C:\WINDOWS\system32\08.exe');
 DeleteFile('C:\WINDOWS\system32\05.exe');
 DeleteFile('C:\WINDOWS\system32\01.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Повторите логи АВЗ

[neonox]

сделано

[olejah]

Что с проблемой?

[neonox]

Считаю проблему решенной. Большое спасибо за помощь

[olejah]

Наблюдайте за появлением зверья с цифровым именем в папке system32 (по типу тех, что я удалял в скриптах). Они обычно просто так не уходят и любят "воскрешаться".

[neonox]

Хорошо, если появяться можно в приницп апускать скрипт на подобие Вашего, только с указанием новых файлов?

[olejah]

По логике - да, но лучше к нам - поднимайте тему.

[neonox]

После лечения заметил такую проблему. при попытке расскрыть окно оно раскрывается не полностью (см. вложение). С чем может быть связано?

Все, спасибо! Сам разобрался

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 16
• В ходе лечения вредоносные программы в карантинах не обнаружены