Здравствуйте.
Подробно описываю ситуацию.
Система windows7 32bit. Никакого антивируса не было.
Была сильно заражена вирусами. Что я сделал:
1. Загрузился с kaspersky live cd, выполнил полную проверку - удалилось около 150 зараженных файлов.
2. Загрузился с dr.web live cd, выполнил полную проверку - удалилось ещё около 600 зараженных файлов.
3. Запустил adwcleaner - он удалил кучу всего.
Что происходит сейчас:
запуск adwcleaner каждый раз показывает появление 3х новых scheduled tasks.
Все утилиты лечения и livecd с обновлением баз непосредственно перед сканированием показывают полное отсутствие любых подозрительных объектов.
Проверяю уже около 5 дней - всегда одно и то же.
Компьютер держится не подключенным к сети. (Подключается на небольшое время для обновления баз, для выполнения инструкции по сбору данных о системе).
У меня всё-таки есть подозрение, что что-то всё-таки осталось где-то. Но не могу найти что и где.
Поэтому решил обратиться за помощью.
К сожалению выполнить пункт 1 (Запуск скрипта №3) инструкции я не смог.
AVZ умирает во время сканирования диска где-то минут через 5-10 после начала сканирования.
Два остальных пункта инструкции выполнил.
Результаты работы прилагаю во вложении.
Буду рад любой помощи.
Спасибо.
Последний раз редактировалось Sergey54321; 26.08.2015 в 14:06.
Причина: исправление замеченной опечатки
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sergey54321, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
К сожалению, отправить файл карантина не могу - говорит ошибка, что файл уже загружен. (Может потому, что там пусто? размер файла 22 байта)
Все скрипты выполнил.
Высылаю новые логи.
Спасибо.
Да. Adwcleaner запускал много раз самостоятельно. В первый раз он удалил много всего.
Прилагаю последний скрипт лечения. Там как раз те 3 scheduled tasks, которые мне очень не нравились.
По поводу симптомов:
Перестали после каждого лечения adwcleaner ом появляться 3 задания.
hijackthis больше не показывает странных процессов
Пропали блокировки с менеджера доступа к файлам.
Если множество пустых красный строчек в менеджре процессов AVZ при включенном AVZPM это нормально, тогда не осталось ничего, что бы меня беспокоило.
На всякий случай всё равно прикладываю к сообщению запрошенные файлы.
Спасибо за помощь.
Хочу уточнить: hijackthis обращает внимание, что сейчас файл hosts сильно защищён от записи (и атрибутом read-only, и разрешениями). Стоит оставить это как есть?
Если множество пустых красный строчек в менеджре процессов AVZ при включенном AVZPM это нормально, тогда не осталось ничего, что бы меня беспокоило.
AVZPM на 7-ке и более новых системах работает не совсем, как задумано, так скажем.
Сообщение от Sergey54321
Хочу уточнить: hijackthis обращает внимание, что сейчас файл hosts сильно защищён от записи (и атрибутом read-only, и разрешениями). Стоит оставить это как есть?
Это Вы HijackThis запустили не от имени администратора. Попробуйте через правую кнопку мыши Запуск от имени администратора) - не будет этого предупреждения.
Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Ещё один момент меня смущает,
который не заметил сразу.
В трее висит какое-то "Средство проверки памяти Windows",
которое не нажимается ни правой ни левой кнопкой мыши.
И не знаю, как это удалить. (и нужно ли это удалять).
Оно появляется не сразу, поэтому я его сначала и не заметил.
Спасибо за разъяснения по поводу AVZPM.
hijackthis я запускаю с правами администратора. То, что файл hosts защищен от записи я явно просмотрел через свойства файла в проводнике.
Там у него и read-only атрибут стоит, и прав на запись нет ни у одного пользователя. Но это совершенно не проблема. Я не знаю, кому и что может понадобиться туда писать. Если уж защищён от записи, пусть так и остается. Никаких плохих записей там нет.
Никакой подозрительной активности, за исключением этой странной программы "Средство проверки памяти Windows", сейчас не наблюдаю.
В логах программ SecurityCheck и uvs наблюдаю имена файлов и пути, которые уже были удалены до этого антивирусами. Но, видимо, они остались в списках "установка и удаление программ" - оттуда я их не удалял.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Установите Internet Explorer 11 даже если им не пользуетесь, это критически важный для безопасности компонент Windows.
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^
Adobe Flash Player 18 PPAPI v.18.0.0.209 Внимание! Скачать обновления
Adobe Reader XI MUI v.11.0.00 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^
Проделал все указанные действия.
Обновил программы.
После работы скрипта uVS, mdres.exe ("средство проверки памяти") продолжило сидеть в трее, но я нашёл его в планировщике задач на триггере "вход любого пользователя" и удалил полностью оттуда. Больше его в трее нет.
Кроме того, пока обновлял всё, заметил что opera открывает посторонние страницы примерно на каждом 3-4ом клике. Оказалось, там было расширение с именем похожим на CiPlus-4.5vV30.07 - удалил и такое поведение исчезло.
Огромное спасибо за помощь. Теперь я понимаю, что я, вероятнее всего, ошибался и никакого вируса у меня больше нет.
Всё что было и вызывало подозрение - остатки от того десятка вирусов, расположенных в той тысяче файлов, удаленных утилитами лечения в самом начале.
Без Вашей помощи, я не справился бы.
Я много итересного и полезного узнал в результате общения в этой теме.
Я полагаю, что мой вопрос полностью решен. (но запрошенный файл, всё-таки прикреплю: стараюсь следовать инструкциям).
Ещё раз спасибо.