Printable View
Компьютер начал сильно тормозить, появились рекламные баннеры в браузере, самостоятельно установилось несколько программ
Что сделали:
1. Проверили компьютер Cureit, было найдено 20 заражённых файлов трояном Trojan.LoadMoney, вылечили
2. Почистили временные файлы
3. Переустановили браузер chrome
4. Удалили лишние программы
Компьютер тормозить перестал, но баннеры остались.
ОС Windows XP SP3
Антивирус Avast
Далее выполнил рекомендации, журналы приложил.
Уважаемый(ая) [B]Shrek000[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
1) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
2) Amigo - деинсталируйте.
3) Скачайте, распакуйте и запустите TDSSKiller:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
4) [LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaninger\AdwCleaninger[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
1. Ссылка на результат [url]http://virusinfo.info/virusdetector/report.php?md5=D2FB9BA686D8F7EF38ACAE23B8F6C027[/url]
2. Amigo удаляли после проверки cureit, сейчас данной программы нет в списке на удаление, что-то осталось от неё?
3. лог прикрепил
4. лог прикрепил
Программы от Mail.Ru используете?
virusinfo_autoquarantine.zip загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
и [QUOTE]Компания: "Codewerks LLC"
Продукт: "Дом.ru"
Описание: "Codewerks LLC"
Версия: "0.0.7.0"
Ориг. имя: "Domru.exe"[/QUOTE] такая программа вам знакома? Сами ставили такое?
>Программы от Mail.Ru используете?
Нет
> такая программа вам знакома? Сами ставили такое?
Нет
Карантин смогу загрузить сегодня позже, сейчас проблемный компьютер недоступен.
ок, потом также
1) [LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaninger\AdwCleaninger[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
2) Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\documents and settings\user\local settings\application data\mail.ru\mailruupdater.exe');
TerminateProcessByName('c:\documents and settings\user\local settings\apps\2.0\rp8qzjy0.zj7\m08xzrnj.vhr\domr..tion_2edef5e10e1944ec_0000.0000_d0a1b8e1b413eb2d\domru.exe');
SetServiceStart('Guard.Mail.ru', 4);
StopService('Guard.Mail.ru');
QuarantineFile('C:\System Volume Information\_restore{277492D1-D3E0-481F-9E07-FBD7FC2ADE3E}\RP188\A0074059.dll', '');
QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', '');
QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', '');
QuarantineFile('c:\documents and settings\user\local settings\application data\mail.ru\mailruupdater.exe', '');
QuarantineFile('c:\documents and settings\user\local settings\apps\2.0\rp8qzjy0.zj7\m08xzrnj.vhr\domr..tion_2edef5e10e1944ec_0000.0000_d0a1b8e1b413eb2d\domru.exe', '');
QuarantineFileF('c:\documents and settings\user\local settings\apps\2.0\rp8qzjy0.zj7\m08xzrnj.vhr\', '*.exe', true, '', 0, 0);
DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe', '32');
DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk', '32');
DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk', '32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Amigo\Application\amigo.exe', '32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Amigo\Application\ok.exe', '32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Amigo\Application\vk.exe', '32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Kometa\Application\kometa.exe', '32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe', '32');
DeleteFile('C:\Documents and Settings\User\Local Settings\Apps\2.0\RP8QZJY0.ZJ7\M08XZRNJ.VHR\domr..tion_2edef5e10e1944ec_0000.0000_d0a1b8e1b413eb2d\Domru.exe', '32');
DeleteService('Guard.Mail.ru');
DeleteFileMask('C:\Documents and Settings\User\Local Settings\Application Data\Amigo\', '*', true);
DeleteDirectory('C:\Documents and Settings\User\Local Settings\Application Data\Amigo\');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Domru');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
virusinfo_autoquarantine загрузил
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
quarantine.zip загрузил
п.2 и 3 раздела Диагностика выполнил
В AdwCleaner я просил удалить элементы, а вы опять сделали только сканирование.
+ ярлык
[CODE]C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk[/CODE]
удалите вручную.
>В AdwCleaner я просил удалить элементы, а вы опять сделали только сканирование.
Не вижу, если честно....
После сканирования нажать "очистить"?
а точно, не тот шаблон скопировал. Да очистить. Вот подробней
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистить"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
готово
что с проблемой?
Баннеры пропали, комп не тормозит, похоже всё чисто!
Спасибо за помощь !!
[LIST][*]Пожалуйста, запустите adwCleaninger.exe[*]Нажмите [B]Uninstall[/B] ([B]Удалить[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]