Добрый день!
На компьютере следующие симптомы:
-Заражаются флешки - вирус прячет "здаровые" файлы, вместо них подсовывает левые ярлыки
-нет доступа к антивирусным сайтам, в т.ч. к ViruInfo
Прилагаю логи по правилам.
Добрый день!
На компьютере следующие симптомы:
-Заражаются флешки - вирус прячет "здаровые" файлы, вместо них подсовывает левые ярлыки
-нет доступа к антивирусным сайтам, в т.ч. к ViruInfo
Прилагаю логи по правилам.
Уважаемый(ая) [B]Ilya2009[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы
Отключите
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Natalya\AppData\Roaming\Kkeqea.exe','');
QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\ccwzwaz.com','');
DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\ccwzwaz.com','32');
DeleteFile('C:\Users\Natalya\AppData\Roaming\Kkeqea.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','55401');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Kkeqea');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ExecuteRepair(3);
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - HKCU\..\Run: [Kkeqea] C:\Users\Natalya\AppData\Roaming\Kkeqea.exe
O4 - HKLM\..\Policies\Explorer\Run: [55401] C:\PROGRA~2\LOCALS~1\Temp\ccwzwaz.com
[/CODE]
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Карантин отправил. Лог MBAM приложу чуть позже, по окончанию сканирования.
Файл сохранён как 140225_190911_quarantine_530cea57ab3f7.zip
Размер файла 166625
MD5 2ba1fdc1368ff6e864eaf7ed55aefd15
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Лог MBAM
1) Папку
[CODE]C:\avz4\avz4\Quarantine\[/CODE]
удалите вручную
2) [CODE]C:\ATI\Catalyst.exe[/CODE]
Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
3) [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM [/url] всё кроме
[CODE]C:\ATI\Catalyst.exe (Trojan.Email.Bot) -> Действие не было предпринято.
C:\Program Files\ABBYY FineReader 11\11.0.102.583.CE.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Users\Natalya\YandexDisk\mini-KMS_Activator_v1.072_RU.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Soft\mini-KMS_Activator_v1.054_RUS.exe (Riskware.Crk) -> Действие не было предпринято.
D:\РУБИКОН\Tipa_TopFF_SETUP.exe (PUP.Optional.Conduit) -> Действие не было предпринято.[/CODE]
4) Просканируйте заново и прикрепите новый лог сканирования MBAM.
Закачал файл C:\ATI\Catalyst.exe.
Файл сохранён как 140226_174918_Catalyst_530e291e191f5.zip
Размер файла 173780
MD5 6612877eb151a17aa047972f95b87141
Файл в архиве, т.к. на машине с которой его отправлял Каспреский находит вирус.
пароль на архив - 111
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Новый лог MBAM
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Сайты антивирусных программ так же не грузятся.
[quote="Ilya2009;1094847"]Файл в архиве, т.к. на машине с которой его отправлял Каспреский находит вирус.
пароль на архив - 111[/quote]
если бы сделали так как написано в правилах, то он автоматически поместился бы в архив с паролем "virus", а так автоматический анализатор не смог его распаковать. [COLOR="#D3D3D3"]Пришлось перепаковывать.[/COLOR]
[CODE]C:\ATI\Catalyst.exe[/CODE]
удалите, можно вручную.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Прилагаю свежие логи по правилам.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ClearQuarantineEx(true);
DeleteFile('C:\ATI\Catalyst.exe ');
QuarantineFileF('C:\ATI\','*', true,'',0 ,0);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
end.
[/code]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
и отпишитесь, что с проблемой?
Проблема осталась. Выше вы писали удалить файл C:\ATI\Catalyst.exe. Он удален. Если надо я могу закачать его повторно.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Файл C:\ATI\Catalyst.exe загружен.
Файл сохранён как 140226_211827_Virus_530e5a23a4137.zip
Размер файла 179151
MD5 69ee6eb26b61da6231b2d0e67325b6ae
[quote="Ilya2009;1094905"]Проблема осталась. Выше вы писали удалить файл C:\ATI\Catalyst.exe. Он удален.[/quote]
в логе остался, поэтому решил продублировать скриптом.
В папке C:\ATI\ что-нибудь осталось? Она должна была скриптом заархивироваться в архив quarantine.zip нужно остальное содержимое этой папки.
Либо заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
+ Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
[QUOTE]в логе остался, поэтому решил продублировать скриптом.
В папке C:\ATI\ что-нибудь осталось? Она должна была скриптом заархивироваться в архив quarantine.zip нужно остальное содержимое этой папки.[/QUOTE]
Папка пуста. Файл Catalist.exe я удалил сразу после Вашего сообщения.
Лог Combofix прилагаю.
[quote="Ilya2009;1095175"]Папка пуста.[/quote]
папку тогда тоже удалите.
улучшения после Combofix-а есть ?
Антивирусные сайты в т.ч. virusinfo.info по прежнему не открываются. Других симптомов не наблюдаю.
Попробуйте переустановить сетевой драйвер.
[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=http://yadi.sk/d/3KwxKzRHJMq4U]отсюда[/url]
+ Скачайте [URL="http://www.opera-usb.com/"]отсюда[/URL] Оперу и проверьте будет ли в ней эта проблема.
Хорошо, проверю все варианты. И в воскресенье отпишу результат.
Все нормально. Проблема решена. Помог пункт 20 восстановление системы в AVZ удаление статических маршрутов.
Большое спасибо! Тему можно закрывать.
MBAM деинсталируйте.
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Спасибо! Я уже создал профиль с ограниченными возможностями. И теперь пользователь не работает под администратором.