Троян

[Rammus]

Походу поймал троян, появилась левая реклама  в браузерах и т.д. Пытался Dr.web просканировать и удалить вирус, но зависает полностью компьютер при сканировании.

CollectionLog-2015.03.24-22.42.zip

CollectionLog-2015.03.24-22.42.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Rammus]

Вот

AdwCleanerR0.txt

AdwCleanerR0.txt

[Sandor]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем сделайте свежий CollectionLog с помощью Автологера и тоже прикрепите к сообщению.

[Rammus]

 То есть то, что все что он предлагает удалить?)

[Sandor]

Да.

[Rammus]

Вот

AdwCleanerS0.txt

CollectionLog-2015.03.25-09.54.zip

AdwCleanerS0.txt

CollectionLog-2015.03.25-09.54.zip

[Sandor]

 Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\Users\qwerty\appdata\roaming\c731200','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('c:\users\qwerty\appdata\local\amigo\application\amigo.exe','');
 DeleteFile('c:\users\qwerty\appdata\local\amigo\application\amigo.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{4DF3A10C-5E98-4827-A7EA-AE01544FECBB}','64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Users\qwerty\appdata\roaming\c731200','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

 Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Еще раз для контроля повторите CollectionLog.

Изменено 25 марта, 2015 пользователем Sandor

[Rammus]

Скриншот вот так стали выглядит некоторые ярлыки, они работают но выглядят так)

CollectionLog-2015.03.25-10.47.zip

CollectionLog-2015.03.25-10.47.zip

[Sandor]

Ярлыки

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk

C:\Users\qwerty\Desktop\Программы\Gооglе Сhrоmе.lnk

 

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Ярлыки на Вашем скрине попробуйте удалить и создать снова.

 

Что с рекламой?

Изменено 25 марта, 2015 пользователем Sandor

[Rammus]

Реклама пропала. Я удалил ярлыки а как их заново создать? Каждый перетаскивать из папки куда установлено приложение?

ClearLNK-25.03.2015_10-56.log

ClearLNK-25.03.2015_10-56.log

[Sandor]

а как их заново создать? Каждый перетаскивать из папки куда установлено приложение?

На исполняемом файле правой кнопкой - Отправить ярлык на рабочий стол.

В завершение:

Выполните скрипт в AVZ при наличии доступа в интернет:

varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt';  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');       exit;      end;  end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

[Даниил Шишаев]

Здравствуйте. Мне нужна помощь эксперта. После того как я отключил защиту системы в режиме реального времени у меня появились проблемы. Не могу теперь пользоваться всеми программами панели управления, при каждом входе в пользователя исчезает картинка рабочего стола, что мне делать?

[Sandor]

@Даниил Шишаев, здравствуйте!

Создайте новую тему в этом разделе и попробуйте выполнить правила:

Правила подраздела