Компьютер (сеть) заражена. Помогите вылечить
Компьютер (сеть) заражена. Помогите вылечить
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) t.ite, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\userws\AppData\Roaming\Dashlane\ie\Dashlanei.dll',''); QuarantineFile('C:\Users\userws\AppData\Roaming\Dashlane\ie\KWIEBar.dll',''); QuarantineFile('C:\Users\userws\AppData\Roaming\NsCpuCNMiner\IMG002.exe',''); QuarantineFile('c:\users\userws\appdata\roaming\dashlane\dashlane.exe',''); QuarantineFile('c:\users\userws\appdata\roaming\dashlane\dashlaneplugin.exe',''); DeleteFile('C:\Users\userws\AppData\Roaming\NsCpuCNMiner\IMG002.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Все сделал
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
В смысле удалить найденные файлы после проверки? Там было штук 20 вроде при первой проверке..
Я несколько раз проверял и удалял то что нашел ADW, пока файлов не стало минимум. Прикрепляю картинку. Уже проверяю 3 раз. И мне выводится данная картинка. То бишь удаление с перезагрузкой не помогает. После сканирования у меня показывается эта картинка. Результаты прилагаю.
Последний раз редактировалось t.ite; 23.08.2017 в 05:27.
Ну так что?
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
два блокнота высвечилось
еще лог с утилиты JRT
Последний раз редактировалось t.ite; 24.08.2017 в 05:38.
вот еще лог Хитманпро
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: Toolbar: HKU\S-1-5-21-4194760205-143693422-965586513-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-4194760205-143693422-965586513-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File Toolbar: HKU\S-1-5-21-4194760205-143693422-965586513-1000 -> No Name - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] FF Plugin HKU\S-1-5-21-4194760205-143693422-965586513-1000: @mail.ru/GameCenter -> C:\Users\userws\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File] CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx File: C:\Windows\SysWOW64\msjetoledb40.dll 2017-08-10 09:22 - 2017-08-10 09:23 - 000000000 _____ C:\Users\userws\net Folder: C:\Users\userws\Downloads\Мюзblка Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
прикрепляю
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
прикрепляю
Выполните скрипт в uVS:
Код:;uVS v4.0.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c delref %SystemDrive%\USERS\USERWS\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE delref %SystemDrive%\USERS\USERWS\APPDATA\LOCAL\TEMP\SETUP-YABROWSER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT MALWARE FIGHTER\IMF.EXE delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT MALWARE FIGHTER\IMFSHELLEXT.DLL delref %SystemDrive%\USERS\USERWS\APPDATA\LOCAL\TEMP\{5E8BCE99-4BB1-46D7-8C66-D8F588DF6155} delref %SystemDrive%\USERS\USERWS\APPDATA\LOCAL\TEMP\CHROME_BITS_2644_2356\478_ALL_STHSET.CRX2 delref %SystemDrive%\USERS\USERWS\APPDATA\LOCAL\TEMP\CHROME_BITS_2712_25180\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2 delref %SystemDrive%\USERS\USERWS\APPDATA\LOCAL\TEMP\CHROME_BITS_2712_30428\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2 restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделал. Скажите что вы нашли в ОС, введите в курс дела
Нет, только мусор, т.е. сылки на несуществующие объекты или установочные приложения во временной папке.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) t.ite, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
