Здравствуйте! Помогите, пожалуйста. Пользовательница ткнулась по какой-то ссылке в инете, подцепила вирус. Нагадила не только себе, но и куче коллег, т.к. имела доступ к сетевой папке.
Printable View
Здравствуйте! Помогите, пожалуйста. Пользовательница ткнулась по какой-то ссылке в инете, подцепила вирус. Нагадила не только себе, но и куче коллег, т.к. имела доступ к сетевой папке.
Уважаемый(ая) [B]Ihsahn[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте! Бекапы нужно делать, чтобы потом не пришлось платить деньги за расшифровку.
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp','');
QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\pricemeterw.exe','');
QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\MaxDownload\Updater.exe','');
DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\MaxDownload\Updater.exe','32');
DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Application Data\eTranslator\eTranslator.exe','32');
DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\pricemeterw.exe','32');
DeleteFile('C:\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp','32');
DeleteFile('C:\WINDOWS\Tasks\pricemetertask.job','32');
DeleteFile('C:\WINDOWS\Tasks\pricemeterwatcher.job','32');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Windows\CurrentVersion\Run','MaxDownload');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Windows\CurrentVersion\Run','PriceMeterW');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
[CODE]
O4 - S-1-5-21-1247955280-1618106126-315576832-1085 Startup: 36D.tmp (User 'Tenkovskaya_EV')
O4 - S-1-5-21-1247955280-1618106126-315576832-1085 Startup: foxmail.bmp (User 'Tenkovskaya_EV')
O4 - S-1-5-21-1247955280-1618106126-315576832-1085 User Startup: 36D.tmp (User 'Tenkovskaya_EV')
O4 - S-1-5-21-1247955280-1618106126-315576832-1085 User Startup: foxmail.bmp (User 'Tenkovskaya_EV')
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE]Пользовательница ткнулась по какой-то ссылке в инете, подцепила вирус[/QUOTE]
Ссылка сохранилась?
Здравствуйте!
[QUOTE]
Бекапы нужно делать, чтобы потом не пришлось платить деньги за расшифровку.[/QUOTE]
Эх, ваши б слова, да нашим преподавателям в уши. Я здесь, к сожалению, не отвечаю за сервера и бэкапы на них, так что ничего сказать по этому поводу не могу...
[QUOTE]
[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).[/QUOTE]
Вроде бы все сделал по инструкции, но эти строчки никуда не деваются...
Прикрепляю файлы
[QUOTE]
Ссылка сохранилась?[/QUOTE]
Мы тут порылись в истории установленного пользователем браузера Амиго (sic!). Высылаю текстовый файл со ссылками за период, предположительно в который и был заражён компьютер. Подозреваю, что последняя ссылка и есть та самая...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE][*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/QUOTE]
Первый раз при выполнении программа FRST вылетела с ошибкой где-то на середине сканирования. К сожалению, отчет об ошибке я не сохранил. Выключил браузер, антивирус, запустил во второй раз. Вроде бы все получилось:
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита:
[code]
HKU\S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms}
HKU\S-1-5-21-1247955280-1618106126-315576832-1085\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms}
URLSearchHook: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
SearchScopes: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1247955280-1618106126-315576832-1085 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=42920120fa5d54dbd0d6e6426868a916&text=
2014-11-21 11:53 - 2014-11-21 11:54 - 00000000 ____D () C:\Documents and Settings\Tenkovskaya_EV\Application Data\eTranslator
C:\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp
C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Приветствую!
[QUOTE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![/QUOTE]
Aye-aye, sir!
[QUOTE]C:\FRST\Quarantine\Documents and Settings\Tenkovskaya_EV\Главное меню\Программы\Автозагрузка\36D.tmp[/QUOTE]
Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
Приветствую!
К сожалению, не могу прислать карантин по инструкции:
[quote]
Приложение 1. Поиск файлов при помощи AVZ.
Запустите AVZ, выберите в меню "Файл" - "Добавление в карантин по списку".
В верхнем окне введите список файлов которые Вас просили прислать.
Нажмите на кнопку "Пуск" и дождитесь появления в нижнем окне надписи "Процесс добавления файлов завершен"
Закройте текущее окно "Добавление в карантин по списку"
Приложение 2. Как прислать запрошенные файлы.
Запустите AVZ, выберите в меню "Файл" -> "Просмотр карантина".
Справа в списке файлов отметьте те файлы, которые нужно выслать.
Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранен архив. Настоятельно рекомендуется принимать название файла по умолчанию, т.е. virus.zip.
Загрузите полученный архив, используя ссылку на страницу загрузки (Прислать запрошенный карантин) в шапке Вашей темы.[/quote]
В процессе добавления файла в карантин по списку AVZ пишет:
[quote]Ошибка карантина файла, попытка прямого чтения (C:\FRST\Quarantine\C\Documents and Settings\Tenkovskaya_EV\Главное)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (меню\Программы\Автозагрузка\36D.tmp.xBAD)
Карантин с использованием прямого чтения - ошибка[/quote]
AVZ запущен из-под учетки пользователя, поднятого в правах до администратора (временно).
Кроме того, сам файл имеет расширение .xBAD, а не .tmp. В принципе, я могу сам заархивировать этот файл 7-zip-ом с паролем virus и выслать по ссылке "прислать карантин". Сделать так?
Лог UVS высылаю:
[QUOTE]В принципе, я могу сам заархивировать этот файл 7-zip-ом с паролем virus и выслать по ссылке "прислать карантин". Сделать так?[/QUOTE]
Сделайте.
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
breg
delref HTTP:\\SEARCHAIM.RU
exec "C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\uninst.exe" /uninstall
exec C:\Documents and Settings\Tenkovskaya_EV\Application Data\PriceMeterUpdater\UpdateProc\UpdateTask.exe /Uninstall
uidel "C:\Documents and Settings\Tenkovskaya_EV\Local Settings\Application Data\PriceMeter\uninst.exe" /uninstall
uidel C:\Documents and Settings\Tenkovskaya_EV\Application Data\PriceMeterUpdater\UpdateProc\UpdateTask.exe /Uninstall
regt 29
restart
[/code]
Компьютер перезагрузится. На запросы удаления программ соглашайтесь.
Приветствую вас!
[QUOTE]Сделайте.[/quote]
Высылаю.
[quote]Выполните скрипт в uVS:
Компьютер перезагрузится. На запросы удаления программ соглашайтесь.[/QUOTE]
Эмм... Выполнил. Только никакие программы не удалялись в процессе. Или, по крайней мере, меня не уведомляли. И архив с именем ZOO* тоже не появился. Прикладываю лог, полученный после обработки скрипта:
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Кстати, а все, что мы с вами вот сейчас здесь делаем - ну, т.е., вы даёте инструкции, а я их выполняю и посылаю отчеты - это для расшифровки файлов или для удаления вредоносного кода с компа? Поскольку пользователей интересуют только их файлы, а систему мы, в общем-то, переустановить можем...:scratch_one-s_head:
Это ж обычная пользовательская машинка, не сервак какой-нибудь...
[QUOTE]Поскольку пользователей интересуют только их файлы[/QUOTE]
С расшифровкой помочь не сможем, т.к. версия у вас свеженькая для которой нет пока дешифраторов.
[QUOTE=mike 1;1203142]С расшифровкой помочь не сможем, т.к. версия у вас свеженькая для которой нет пока дешифраторов.[/QUOTE]
Ой, жалко. Ну, в любом случае, спасибо за потраченное на нас время... С наступающим Вас!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \36d.tmp.xbad - [B]Trojan.Win32.VB.ctqz[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]