Cezurity не удаляется с компьютера

**webdesigner** · 07.02.2017, 15:10

Здравствуйте,
на рабочем компьютере один сотрудник установил этот псевдо-антивирусник, теперь его не удалить никак, реестр с файлами и папками Cezurity не зачищается.
Также не удаётся запустить MalwareBytes. Прошу помощи с удалением Cezurity и устранением проблем с запуском MalwareBytes.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.02.2017, 15:11

Уважаемый(ая) webdesigner, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 09.02.2017, 07:12

А через "Установку и удаление программ" пробовали?

Запустите HijackThis из папки Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: [AdobeBridge]  (2015/03/10) (no file)
O4 - MSConfig\startupreg: [Timestasks]  (2015/11/06) (no file)
O4 - MSConfig\startupreg: [eTranslator Update]  (2015/11/06) (no file)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [script][MASK] "C:\Documents and Settings\All Users\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\chrome.bat"] -> start "" /I /B /D "c:\PROGRA~2\google\chrome\APPLIC~1\" "c:\PROGRA~2\google\chrome\APPLIC~1\chrome.exe"  (cp: 20127) (MD5:2BEBC2145A45DBFABD3A37A1A6C4A199)
>>> [MASK] "C:\Documents and Settings\Administrator\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk"         -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"]
>>>  "C:\Documents and Settings\All Users\Start Menu\Programs\Accessories\System Tools\Miсrоsоft Uрdаtе.lnk"   -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"]
>>>  "C:\Documents and Settings\Administrator\Desktop\2015.lnk"        -> ["C:\2015.xls"]
>>>  "C:\Documents and Settings\All Users\Start Menu\Programs\ABBYY FineReader 6.0 Sprint\User's Guide.lnk"    -> ["C:\Program Files (x86)\ABBYY FineReader 6.0 Sprint\Sprint0.chm"]
>>>  "C:\Documents and Settings\Administrator\Application Data\IObit\Uninstall Programs.lnk"         -> ["C:\Program Files (x86)\IObit\IObit Uninstaller\Uninstaler_SkipUac.exe"]

Отчёт о работе прикрепите.

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('C:\Program Files\Cezurity\Antivirus\CzAvSvc.exe');
 TerminateProcessByName('CzAvSvc.exe');
 SetServiceStart('CezurityAntivirusService', 4);
 DeleteService('CezurityAntivirusService');
 DeleteFileMask('C:\Program Files\Cezurity', '*', true);
 DeleteFileMask('C:\Documents and Settings\Administrator\Application Data\Cezurity', '*', true);
 DeleteDirectory('C:\Program Files\Cezurity');
 DeleteDirectory('C:\Documents and Settings\Administrator\Application Data\Cezurity');
BC_ImportDeletedList;
 ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**webdesigner** · 09.02.2017, 12:27

Сообщение от Vvvyg

А через "Установку и удаление программ" пробовали?

В "Установке и удаление программ" её нет

Сообщение от Vvvyg

Запустите HijackThis из папки Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupreg: [AdobeBridge]  (2015/03/10) (no file)
O4 - MSConfig\startupreg: [Timestasks]  (2015/11/06) (no file)
O4 - MSConfig\startupreg: [eTranslator Update]  (2015/11/06) (no file)

Сделал.

Сообщение от Vvvyg

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [script][MASK] "C:\Documents and Settings\All Users\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk"   -> ["C:\Program Files (x86)\Google\Chrome\chrome.bat"] -> start "" /I /B /D "c:\PROGRA~2\google\chrome\APPLIC~1\" "c:\PROGRA~2\google\chrome\APPLIC~1\chrome.exe"  (cp: 20127) (MD5:2BEBC2145A45DBFABD3A37A1A6C4A199)
>>> [MASK] "C:\Documents and Settings\Administrator\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk"         -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"]
>>>  "C:\Documents and Settings\All Users\Start Menu\Programs\Accessories\System Tools\Miсrоsоft Uрdаtе.lnk"   -> ["C:\Program Files (x86)\Internet Explorer\iexplore.bat"]
>>>  "C:\Documents and Settings\Administrator\Desktop\2015.lnk"        -> ["C:\2015.xls"]
>>>  "C:\Documents and Settings\All Users\Start Menu\Programs\ABBYY FineReader 6.0 Sprint\User's Guide.lnk"    -> ["C:\Program Files (x86)\ABBYY FineReader 6.0 Sprint\Sprint0.chm"]
>>>  "C:\Documents and Settings\Administrator\Application Data\IObit\Uninstall Programs.lnk"         -> ["C:\Program Files (x86)\IObit\IObit Uninstaller\Uninstaler_SkipUac.exe"]

Отчёт о работе прикрепите.

Сделал. Прикрепил.

Сообщение от Vvvyg

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('C:\Program Files\Cezurity\Antivirus\CzAvSvc.exe');
 TerminateProcessByName('CzAvSvc.exe');
 SetServiceStart('CezurityAntivirusService', 4);
 DeleteService('CezurityAntivirusService');
 DeleteFileMask('C:\Program Files\Cezurity', '*', true);
 DeleteFileMask('C:\Documents and Settings\Administrator\Application Data\Cezurity', '*', true);
 DeleteDirectory('C:\Program Files\Cezurity');
 DeleteDirectory('C:\Documents and Settings\Administrator\Application Data\Cezurity');
BC_ImportDeletedList;
 ExecuteWizard('TSW', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выдало ошибку:
Вложение 654766

Сообщение от Vvvyg

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Выполнил. Прикрепил.

**Vvvyg** · 09.02.2017, 22:20

Точку после end в скрипте тоже надо копировать.
После выполнения скрипта в AVZ - новые логи FRST сделайте.

**webdesigner** · 13.02.2017, 12:31

Выполнил скрипт в AVZ. Логи прилагаю. Кстати, папка C:\Program Files\Cezurity так и не удалилась и вручную не удаляется.

**Vvvyg** · 13.02.2017, 21:33

Проделайте рекомендации ниже в безопасном режиме системы.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Closeprocesses:
R2 CezurityAntivirusService; C:\Program Files\Cezurity\Antivirus\CzAvSvc.exe [7829240 2016-09-21] (Cezurity)
R0 cz_antvr; C:\WINDOWS\System32\Drivers\cz_antvr.sys [3296368 2016-09-21] (Cezurity)
R1 cz_ddall; C:\WINDOWS\system32\Drivers\cz_ddall.sys [2215024 2016-09-21] (Cezurity)
2017-02-07 13:38 - 2017-02-07 13:38 - 00000000 ____D C:\WINDOWS\Minidump\Cezurity
Task: C:\WINDOWS\Tasks\Запуск Cezurity Antivirus Scanner во время простоя компьютера.job => C:\Program Files\Cezurity\Antivirus\Cezurity_Antivirus.exe
2017-02-03 15:58 - 2017-02-03 15:58 - 00000016 _____ C:\Documents and Settings\All Users\Application Data\mntemp
2017-02-03 15:58 - 2017-02-03 15:58 - 00000000 ____D C:\Program Files\Cezurity
2017-02-03 15:58 - 2017-02-03 15:58 - 00000000 ____D C:\Documents and Settings\Default User\Application Data\Cezurity
2017-02-03 15:58 - 2017-02-03 15:58 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Cezurity
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
IE trusted site: HKU\S-1-5-21-3729766785-710988955-3115345369-500\...\cezurity.com -> hxxps://vk-local-server.cezurity.com
MSCONFIG\startupreg: ISUSScheduler => "C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe" -start
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**webdesigner** · 16.02.2017, 12:22

Здравствуйте!
Выполнил задание. Лог прикрепляю. Кстати, значка Cezurity уже не стало в углу справа и папка application data удалилась без проблем. Спасибо за помощь!

**Vvvyg** · 16.02.2017, 18:51

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Cezurity не удаляется с компьютера (заявка № 209093)

Опции темы