Добрый день!
Не могу отправить информацию согласно правилам сайта, т.к. компьютер заблокирован и выдаёт вот такое сообщение .Перезапуск не помогает.
Спасибо.
Printable View
Добрый день!
Не могу отправить информацию согласно правилам сайта, т.к. компьютер заблокирован и выдаёт вот такое сообщение .Перезапуск не помогает.
Спасибо.
Уважаемый(ая) [B]Татьяна Д[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Сделайте такой лог [url]http://virusinfo.info/showthread.php?t=121985[/url]
В указанной инструкции написано, что все действия выполнять на НЕ зараженном компьютере.
Но, по-моему, начиная с п.3 надо выполнять именно на ЗАРАЖЕННОМ компьютере.
Я не права?
[QUOTE=Татьяна Д;1047052]В указанной инструкции написано, что все действия выполнять на НЕ зараженном компьютере.
Но, по-моему, начиная с п.3 надо выполнять именно на ЗАРАЖЕННОМ компьютере.
Я не права?[/QUOTE]
Да все верно. С созданного диска нужно грузиться на зараженном компьютере.
Вот полученный архив
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url]
[code]
;uVS v3.80.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
OFFSGNSAVE
breg
addsgn 9AE44EDA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC4937A50466193518AB87132158FBAEDD461649FA7DDFE97255DAB02C2D77A42F8363501C 8 1SYSCONF.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\1SYSCONF.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\1SYSCONF.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\НОВЫЙ ТЕКСТОВЫЙ ДОКУМЕНТ.TXT
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\НОВЫЙ ТЕКСТОВЫЙ ДОКУМЕНТ.TXT
delref HTTP://WWW.APEHA.RU
setdns Подключение по локальной сети\4\{9543148C-69F4-4A7C-808E-36F2E3EBDBA0}\8.8.8.8,8.8.4.4
chklst
delvir
deltmp
[/code]
Перезагрузите компьютер. После перезагрузки пробуйте грузиться в обычном режиме.
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата [B].ZIP[/B] с паролем [B]virus[/B] и отправьте этот файл по ссылке "[B]Прислать запрошенный карантин[/B]" над первым сообщением в теме.
А где будет расположена папка ZOO?
В папке с программой UVS.
Программа UVS была запущена с загрузочного диска. Я на нём не нашла папку ZOO
Тогда пока пропустите этот шаг.
ПК перегрузила в обычном режиме. Блокирующее сообщение пропало.
Сделайте логи по [url=http://virusinfo.info/pravila.html]правилам[/url] раздела. (AVZ, HiJackThis)
Не могу вложить файлы. В менеджере вложений у меня почему-то множество старых файлов. Новые не добавляются. Видимо выбран весь объем вложений. Как оттуда удалить старые файлы?
[URL="http://virusinfo.info/showthread.php?t=130567"]Как удалить старые вложения?[/URL]
Спасибо! Вот файлы.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
QuarantineFile('C:\Users\User\AppData\Roaming\Mediahit\Shadow\MediaHit.Update\Mediahit.Update.Process.exe','');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\User\AppData\Local\Temp\1sysconf.exe','32');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' ');
DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2012-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
После выполнения скриптов в AVZ
Жду лог MBAM
Выполняется сканирование. Как завершится, вышлю лог
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Высылаю лог
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
Подробнее читайте в [URL="http://safezone.cc/forum/showpost.php?p=134172&postcount=2"]руководстве[/URL]
[CODE]
Обнаруженные ключи в реестре: 17
HKCR\CLSID\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} (PUP.DealPly) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C87FC351-A80D-43E9-9A86-CF1E29DC443A} (PUP.Funmoods) -> Действие не было предпринято.
HKCU\SOFTWARE\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 1P1O1N1R1G1M1J -> Действие не было предпринято.
HKLM\SOFTWARE\DealPly|ChromeCrxPath (PUP.Optional.DealPly.A) -> Параметры: C:\Program Files (x86)\DealPly\DealPly.crx -> Действие не было предпринято.
Обнаруженные папки: 9
C:\Program Files (x86)\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.8.11.0 (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.8.11.0\bh (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files (x86)\DealPly\DealPlyIE.dll (PUP.DealPly) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdateRun.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
I:\обзоры Жеки\Alcohol 120\Plugins\Helper\trzED1B.tmp (Backdoor.Agent) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.crx (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.xpi (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdate.log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\icon.ico (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\uninst.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.8.11.0\Sqlite3.dll (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.8.11.0\uninst.dat (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files (x86)\Funmoods\1.8.11.0\uninstall.exe (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Это вам знакомо?
[QUOTE]
D:\Для работы\неразложенная\RLI май 2007\Разное.rar (Trojan.FakeAlert.RRE) -> Действие не было предпринято.
D:\Музыка\'.'.'moskitol'.'.'\AmpliTube\IK.Multimedia.AmpliTube.Fender.v1.0\KeyGen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Музыка\'.'.'moskitol'.'.'\AmpliTube\IK.Multimedia.AmpliTube.Fender.v1.0\IK.Multimedia.AmpliTube.Fender.v1.0.VST.RTAS\IK.Multimedia.AmpliTube.Fender.v1.0.VST.RTAS\KeyGen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Музыка\Битлз\The Beatles (G)\run.exe (Trojan.FakeAV) -> Действие не было предпринято.
E:\всякий трешняк\папка\battlefield_2_trainer_6.rar (Trojan.Downloader) -> Действие не было предпринято.
F:\Для компа\ACDSee v8.0 rus\Crack\ACDSee8.exe (Trojan.KillAV) -> Действие не было предпринято.
[/QUOTE]
MBAM не закрывала. Там в результатах сканирования кроме указанных Вами файлов есть ещё много уже помеченных галочками. С ними что делать? И что сделать с файлами из второго указанного Вами списка файлов? файлы мне знакомы :)
Удалите файлы только из первого списка. После этого сделайте новый лог MBAM.
Файлы из второго списка могут представлять опасность, но так как они вам знакомы, то их удаление на ваше усмотрение.
То есть галочки, которые поставил МВАМ мне надо снять?
[QUOTE=Татьяна Д;1047412]То есть галочки, которые поставил МВАМ мне надо снять?[/QUOTE]
Да, но только с тех пунктов, которые я не указал вам.
Вот новый лог
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Новые логи
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол ([URL]http://virusinfo.info/showthread.php?t=130828[/URL])
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] в АВЗ:
[CODE]
begin
DeleteFile('C:\Windows\system32\Tasks\DealPly','64');
DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\Funmoods','64');
DeleteFile('C:\Windows\Tasks\DealPly','64');
DeleteFile('C:\Windows\Tasks\DealPlyUpdate','64');
DeleteFile('C:\Windows\Tasks\Funmoods','64');
ExecuteSysClean;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера.
Сделайте новые логи AVZ
Новый лог AVZ
Всё ли в порядке в последней диагностике?
Эту [B][B]C:\Users\User\AppData\Roaming\Mediahit\MediaHitUpd[/B][/B] программу сами себе устанавливали?
Нет. Не знаю что это такое
В панели управления в списке установленных программ есть такая программа?
В списке программ есть только Mediahit Browser
Если она вам незнакома можете ее удалить через установка и удаление программ. Что нибудь еще беспокоит?
Программу Mediahit удалила. Но в папке Appdata\Roaming осталась папка Mediahit. А в ней MediaHitUpd и прочее. Может удалить её?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Уточняю. Через удаление программ удалила программу MediaHit Browser.
Удалите тогда ее. Что с проблемой?
Вроде больше нет проблем:D. А программу MBAM удалить или оставить?
1. MBAM удалите через установка и удаление программ.
2. Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
3. [url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]