Добрый день. Происходит регулярный отлов вредоносных программ. Но не удаление. Help!
Printable View
Добрый день. Происходит регулярный отлов вредоносных программ. Но не удаление. Help!
Уважаемый(ая) [B]Dream-BY[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Users\denisov\AppData\Local\Temp\~isEBC5.tmp','');
QuarantineFile('C:\Users\denisov\AppData\Local\Temp\~isEB67.tmp','');
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
BC_ImportQuarantineList;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=audio&s={searchTerms}&f=4
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
[/CODE]
- Сделайте новый лог HiJackThis
- Сделайте лог полного сканирования MBAM ([URL]http://virusinfo.info/showthread.php?t=53070[/URL])
Итак, при первоначальной загрузке скриптов AVZ комп подвис. На второй раз первый скрипт выполнился. Затем прошел и второй скрипт. Карантина нет - поэтому и прислать нечего :-(. От Хай-джека лог отправляю. MBAM работает. Чуть позже пришлю его отчет. Конфикер засек Microsoft Security Essentials - Worm:Win32/Conficker.gen!F
Компьютер находится в локальной сети?
Да. Компьютер в локальной сети. Высылаю лог MBAM.
1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
Подробнее читайте в [URL="http://safezone.cc/forum/showpost.php?p=134172&postcount=2"]руководстве[/URL]
[CODE]
Обнаруженные ключи в реестре: 4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
2) Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('D:\Install\Звук\Acid 6.0\Sony.ACID.Pro.v6.0d.Incl.Keygen-VISTA-WinALL-NEUTEK\s-acid-pro-60d-vista-ntk\Install\Keygen\keygen.exe','');
QuarantineFile('D:\Install\Звук\SONY Sound Forge_v7.0b_301\damn_MP3Plugin_kg.exe','');
QuarantineFile('D:\Install\Звук\SONY Sound Forge_v7.0b_301\SF uni keygen.exe','');
QuarantineFile('D:\Install\Звук\SONY Vegas 6\DAMN_Sonic_Foundry_MP3_PlugIn_kg.exe','');
QuarantineFile('D:\Install\Звук\SONY Vegas 6\Vegas6.exe','');
QuarantineFile('D:\Install\Звук\Sony_Vegas_Pro_8.0c_Build260_Rus\Keygen.and.Patch\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Keygen.exe','');
QuarantineFile('D:\Install\Звук\SOUND FORGE 6\KEYGEN.EXE','');
QuarantineFile('D:\Install\Звук\SOUND FORGE 6\sf2\KEYGEN.EXE','');
QuarantineFile('D:\Install\Звук\Vegas 5.0a\Vegas5_Keygen.exe','');
QuarantineFile('D:\Копия диска C\Sony\Vegas Pro 8.0\Keygen.exe','');
QuarantineFile('D:\Музыка\Acid 6.0\Sony.ACID.Pro.v6.0d.Incl.Keygen-VISTA-WinALL-NEUTEK\s-acid-pro-60d-vista-ntk\Install\Keygen\keygen.exe','');
QuarantineFile('D:\Музыка\SONY Vegas 6\DAMN_Sonic_Foundry_MP3_PlugIn_kg.exe','');
QuarantineFile('D:\Музыка\SONY Vegas 6\Vegas6.exe','');
QuarantineFile('D:\Музыка\Sony_Vegas_Pro_8.0c_Build260_Rus\Keygen.and.Patch\Sony.Products.Keygen.and.Patch.Only.FIXED.READ.NFO-DI\Keygen.exe','');
QuarantineFile('D:\Музыка\Приблуды для Димы\DAMN_MainConceptMPEG_PlugIn10_kg.exe','');
QuarantineFile('D:\Музыка\Приблуды для Димы\SF8_Retail.exe','');
QuarantineFile('D:\Музыка\Приблуды для Димы\sonykg_ssg13.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
3) [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Search"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[R1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
4) Ищите зараженный компьютер в локальной сети, который гадит на остальные машины.
В MBAM удалил все еще при первом логе. Будем искать комп в локалке. Спасибо за помощь. В принципе наверное все. Worm будем отлавливать с сисадмином.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Вдогонку. Что нашли еще.
1) [LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST][B]Внимание: [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U]!!![/COLOR][/B]
2) Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Все сделал. Вроде чисто. Логи прикрепил. Перезагружаюсь.
Проведите эту [url]http://virusinfo.info/content.php?r=290-virus-detector[/url] процедуру. Ссылку результат анализа прикрепите в вашем следующем сообщении.
сканирование сделал. лог не прикрепляется. непонятно. будем разбираться.
[quote="Dream-BY;1021703"]лог не прикрепляется. непонятно.[/quote]
его не надо прикреплять. Загрузите его через форму и [B]скопируйте сюда ссылку[/B] на результат проверки. Всё подробно расписано тут: [url]http://virusinfo.info/content.php?r=290-virus-detector[/url]
Пишет следущее: К сожалению, во время загрузки карантина произошла ошибка.
Описание ошибки: Cбой при загрузке файла. Рекомендуется повторить попытку загрузки.
Код ошибки: 1 (3)
[quote="Dream-BY;1021839"]Cбой при загрузке файла. Рекомендуется повторить попытку загрузки.
Код ошибки: 1 (3)[/quote]
ну, так попробуйте загрузить снова :).