Явно словил заразу, поэтому не могу даже на проверку выслать результаты выполнения 8-го стандартного скрипта. При обычном сканировании ничего не вылетает, а так прога прекращает работу>:( Что делать?
Printable View
Явно словил заразу, поэтому не могу даже на проверку выслать результаты выполнения 8-го стандартного скрипта. При обычном сканировании ничего не вылетает, а так прога прекращает работу>:( Что делать?
Уважаемый(ая) [B]Станислав Борисов[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Система какая?
win 7 64 разряда
Запускаете от имени Администратора по правой кнопке мыши?
Да. Ощущение, что скрипты доходят до момента отправки в карантин, и АВЗ прекращает работу или виснет.
По умолчанию стоит Касперский, но он почему то не сработал, когда я скачал и запустил программу для редактирования пдф, подозреваю, что это и есть вирус (если нужно могу скинуть линк).
Сейчас еще скачал по местному совету Malwarebytes Anti-Malware, он ловит какие вредные файлы, но видимо они появляются вновь. И пишет про попытки доступа к вредоносному сайту.
Стандартный скрипт №2 тоже не можете выполнить?
Да, ни третий, ни седьмой, ни восьмой. Думал хотя бы в Касперский кабинет отправить, но тоже самое виснет или вылетает на последнем этапе.
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
+ попробуйте выполнить 2-й стандартный скрипт [url=http://z-oleg.com/avz.exe]такой версией AVZ[/url] и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Вот что получилось.
К сожалению log.txt не смог загрузить в оригинале, пришлось заархивировать.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\carbon\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
QuarantineFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.url','');
QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Program Files (x86)\Yandex\Punto Switcher\punto.url','32');
DeleteFile('C:\Users\carbon\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('SCU',2,32,true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
- [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Вроде бы все сделал.
- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок от mail.
пересоздайте ярлыки для запуска браузеров и пунтосвитчера. Что с проблемой?
Спасибо, вроде бы получилось всё. Но в хроме по прежнему при его вызове дополнительно открывается страница с рекламой. Как от нее избавиться?
проверьте в свойствах ярлыка для запуска Хрома что указано?
Изменил ссылку ярлыка (удалив файл с расширением url на который указывал ярлык) на файл chrome.exe. Теперь открывается чистая вкладка.
Спасибо за помощь и участие!
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
После выполнения скрипта появились сообщения :[QUOTE] Часто используемые уязвимости не обнаружены.Скрипт выполнен без ошибок.[/QUOTE] Так то вроде бы всё хорошо, единственное Malwarebytes выдает периодически сообщение:[ATTACH=CONFIG]461102[/ATTACH]
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Еще стал вылетать Word после этой атаки. Это может быть взаимосвязано с вирусом?
- Сделайте логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Сделал
- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
[URL="http://virusinfo.info/showthread.php?t=122524"]Сделайте лог MiniToolBox[/URL]
К сожалению по прежнему стандартная утилита AVZ вылетает, пришлось выполнить скрипт утилитой по ссылке выше.
[url]http://virusinfo.info/virusdetector/report.php?md5=EADE26BBCC42BBF5B0C2CA1680B354BC[/url]
[url]http://virusinfo.info/showthread.php?t=155042[/url]
К сожалению по прежнему стандартная утилита AVZ вылетает, пришлось выполнить скрипт утилитой по ссылке выше.
[url]http://virusinfo.info/virusdetector/report.php?md5=EADE26BBCC42BBF5B0C2CA1680B354BC[/url]
[url]http://virusinfo.info/showthread.php?t=155042[/url]
Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
Посмотрите
MBAM регулярно блокирует обращения сюда 5.149.255.132 ? Или на этот адрес больше не обращается?
Ага, по прежнему обращается этот avp.exe
[quote="Станислав Борисов;1090466"]Ага, по прежнему обращается этот avp.exe[/quote]
avz.exe - это ваш антивирус и то что он лезет в интернет это нормально. Я спрашивал на какой адрес лезет?
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
кстати базы антивируса когда последний раз обновлялись? Обновите их ещё раз вручную и сделайте полное сканирование.
Адрес, который вы выше указали 5.149.255.132. На него avp.exe и лезет, MBAM его туда не пускает. Надо установить может исключение, если это дружественная вылазка?!:)
Касперский обновлен, произведена очередная полная проверка. Угрозы отсутствуют!
В том то и дело, что адрес совсем не дружественный...
Откройте KIS - Мониторинг сети - посмотрите какая программа пытается обратиться на этот адрес.
Я реально не успеваю отследить, всё происходит за десятые доли секунды. Может как то можно сетевой лог записать?
Давайте тогда по другому. Если включить компьютер и ничего не запускать обращению будут? Может сможете отследить после запуска какой программы они появляются? Если будут, то попробуйте по максимуму убрать всё из автозагрузки и посмотреть.
Сложилось впечатление, что это происходит после включения Chrome. Причем вроде бы после ручного отключения интернета эти сообщения не появляются. У меня в хром встроены расширения Касперского. Может это как то взаимосвязано?
[quote="Станислав Борисов;1090588"]У меня в хром встроены расширения Касперского.[/quote]
посмотрите кроме касперского какие там расширения установлены. Есть ли среди них незнакомые вам. Скорее всего проблема в одном из "левых" расширений.
Угу, нашелся засранец, называется "Переводчик для Chrome", после отключения обращения прекратились. Только включаю, сразу начинаются. Удалить это расширение?
Еще надо провериться?
MBAM оставить на компе? Там какая то пробная версия. Почему Касперский не обнаруживает эти запросы?!!! Что, больше не оплачивать этот антивирус!?>:(
[quote="Станислав Борисов;1090654"]Угу, нашелся засранец, называется "Переводчик для Chrome", после отключения обращения прекратились. Только включаю, сразу начинаются. Удалить это расширение?[/quote]
конечно :).
[quote="Станислав Борисов;1090654"]MBAM оставить на компе?[/quote]
нет удалите, он конфликтует с другими программами и ложных срабатываний много.
[url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url]
-------------------
Выполните скрипт в AVZ при наличии доступа в интернет:
[CODE]var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
Все сделал согласно указаниям, ничего не обнаружено...но и в прошлый раз ничего не было обнаружено после похожего скрипта. Только с помощью МВАМ удалось понять, что не санкционировано приложение выходит в сеть.
В общем мне больше не о чем беспокоиться?!
[quote="Станислав Борисов;1090680"]В общем мне больше не о чем беспокоиться?![/quote]
да.
Ок, ребят спасибо. Денюжку я вам кинул на палку еще пару дней назад. Хорошо, что вы есть! Но плохо, что мы такие лохи:D