Показано с 1 по 13 из 13.

Помогите почистить ноут от вирусов. [Hoax.Win32.ArchSMS.lxov, Trojan-Ransom.Win32.Cidox.jio ] (заявка № 143161)

  1. #1
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    12
    Вес репутации
    17

    Помогите почистить ноут от вирусов. [Hoax.Win32.ArchSMS.lxov, Trojan-Ransom.Win32.Cidox.jio ]

    Здравствуйте!

    Помогите почистить пк от зловредов. Все логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) akselwiil, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\Людмила\AppData\Roaming\WebaltaService\WebaltaService.exe','');
     QuarantineFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','');
     QuarantineFileF('C:\Users\Людмила\AppData\Roaming\WebaltaService', '*', true, ' ', 0, 0);
     DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
     DeleteFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','32');
     DeleteFile('C:\Windows\system32\Tasks\At1','32');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
    R3 - URLSearchHook: (no name) - - (no file)
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    12
    Вес репутации
    17
    все сделал
    Вложения Вложения

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1)
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

    2)
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','');
     QuarantineFile('C:\Users\Людмила\AppData\Roaming\WebaltaService\WebaltaService.exe','');
     DeleteFile('C:\Users\Людмила\AppData\Roaming\WebaltaService\WebaltaService.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
     DeleteFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','32');
     DeleteService('WebaltaService');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Сделайте лог полного сканирования MBAM (http://virusinfo.info/showthread.php?t=53070)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,410
    Вес репутации
    729
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true); 
     SetServiceStart('WebaltaService', 4);
     StopService('WebaltaService');
     QuarantineFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','');
     QuarantineFile('C:\Users\Людмила\AppData\Roaming\WebaltaService\WebaltaService.exe','');
     QuarantineFileF('C:\Users\Людмила\AppData\Roaming\WebaltaService','*', true,'',0 ,0);
     DeleteFile('C:\Users\Людмила\AppData\Roaming\WebaltaService\WebaltaService.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
     DeleteFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','32');
     DeleteService('WebaltaService');
     DeleteFileMask('C:\Users\Людмила\AppData\Roaming\WebaltaService', '*', true);
     DeleteDirectory('C:\Users\Людмила\AppData\Roaming\WebaltaService', '');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    ---------------------
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
    --------------------------

    - Сделайте лог полного сканирования МВАМ.

  9. #7
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    12
    Вес репутации
    17
    карантин отправлен, по этапам все сделал.
    Вложения Вложения

  10. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1) Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве

    Код:
    Обнаруженные ключи в реестре:  1
    HKCU\SOFTWARE\ADWare (Malware.Trace) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: њ°ґp.!*щБXп?$Nй„Вp’ґц1FР[^ўssВШЋ#ЕOQ*ќ`nзБъ)ї»–ў_Фu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iЄГВ -> Действие не было предпринято.
    Обнаруженные файлы:  4
    C:\Users\Людмила\AppData\Roaming\elro.exe (Backdoor.Bot) -> Действие не было предпринято.
    C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    2) Проверьте эти файлы на virustotal
    кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    Код:
    C:\Users\Людмила\Documents\фото акция\Fotoshop_na_russkom_yazike.zip.exe
    C:\Users\Людмила\Downloads\sonnik_kushat_ryibu.exe
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    3) Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Важно! AVZ нужно запустить через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','');
     DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
     DeleteFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','32');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

    4) Установите Пакет обновления 2 (SP2) для Windows Vista

    5) Обновите Internet Explorer (даже если не используете его)

    6) Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #9
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    12
    Вес репутации
    17
    1. выполнено
    2. первый файл - https://www.virustotal.com/ru/file/5...is/1375536870/
    второй файл - https://www.virustotal.com/ru/file/6...is/1375543524/
    3. выполнял скрипт, который рекомендовал ранее мне хелпер regist (куда его сообщение делось??? ) и получившийся карантин отправил по ссылке, а лог авз прикладываю.

    пока Ваш скрипт не выполнял, т.к. нужно будет закрыть МВАМ который у меня ну оочень долго сканирует. Можно ли те два файла удалить в нем, видимо они более чем небезопасные? А уже потом скрипт AVZ...

    Обновления ОС и ПО пока тоже не ставил.

    Да, и еще очень важно: в процессе срочно потребовался PhotoShop, поэтому появились новые подозрения в МВАМ, строки HJ. Он чистый в том числе и патчи.
    Вложения Вложения

  12. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     QuarantineFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','');
     QuarantineFile('C:\Users\Людмила\Documents\фото акция\Fotoshop_na_russkom_yazike.zip.exe','');
     QuarantineFile('C:\Users\Людмила\Downloads\sonnik_kushat_ryibu.exe','');
     DeleteFile('C:\Windows\system32\Tasks\At1.job','32');
     DeleteFile('C:\Users\610A~1\AppData\Local\Temp\898901504aq','32');
     DeleteFile('C:\Users\Людмила\Documents\фото акция\Fotoshop_na_russkom_yazike.zip.exe','32');
     DeleteFile('C:\Users\Людмила\Downloads\sonnik_kushat_ryibu.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Обновления для Windows Vista нужно установить. После этого сделайте новые логи AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #11
    Junior Member Репутация
    Регистрация
    21.07.2013
    Сообщений
    12
    Вес репутации
    17
    Файл сохранён как 130803_185713_quarantine_51fd5289a2fd3.zip

    Сейчас установлю все обновления, Вами указанные, и прикреплю логи

  14. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,347
    Вес репутации
    3019
    Файл C:\Windows\Tasks\At1.job удалите
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. Это понравилось:


  16. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 4
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\users\\людмила\\documents\\фото акция\\fotoshop_na_russkom_yazike.zip.exe - Hoax.Win32.ArchSMS.lxov ( DrWEB: Trojan.SMSSend.3434, BitDefender: Application.Generic.395670, AVAST4: Win32:SMSSend-KN [Trj] )
      2. c:\\users\\людмила\\downloads\\sonnik_kushat_ryibu .exe - Trojan-Ransom.Win32.Cidox.jio ( DrWEB: Trojan.Mayachok.1, BitDefender: Trojan.Generic.KDV.637538, AVAST4: Win32:Crypt-PRF [Trj] )


  • Уважаемый(ая) akselwiil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Помогите очистить ноут от Trojan.Mayachok.1
      От krest88 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.11.2011, 15:51
    2. Помогите излечить ноут (виста) от вирусов
      От akuma84 в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 20.01.2011, 21:46
    3. Помогите расчистить ноут
      От КульМан в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 30.03.2010, 09:14
    4. помогите почистить компьютер от вирусов
      От Людмила88 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 24.01.2010, 22:59
    5. помогите очистить ПК от вирусов
      От Yufmann в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.03.2008, 10:20

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00648 seconds with 17 queries