2gis Опубликовано 8 июня, 2015 Жалоба Поделиться Опубликовано 8 июня, 2015 Доброго времени суток! Подхватил что-то при скачке в интернете, теперь жутко лагает в приложениях и греется ноутбук. (cureit, avast, kasp, comodo) нашли несколько червей, но с этим не помогли CollectionLog-2015.06.09-03.39.zip CollectionLog-2015.06.09-03.39.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Оксана\appdata\roaming\c731200',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\write.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\winhlp32.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_32.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_16.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\splwow64.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\regedit.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\notepad.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\hh.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\explorer.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\bfsvc.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\KJ.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\HelpPane.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\Cpbgbi.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Windows Live\ieefpcyane.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Vpbgbb.exe',''); QuarantineFile('C:\ProgramData\CreativeAudio\safpdndnn.exe',''); QuarantineFile('C:\PROGRA~3\mszjt.exe',''); QuarantineFile('c:\users\оксана\appdata\roaming\windowsupdate\msupdate.exe', ''); QuarantineFile('C:\Windows\TEMP\Adobe\Reader_sl.exe', ''); DeleteFile('C:\PROGRA~3\mszjt.exe','32'); DeleteFile('C:\ProgramData\CreativeAudio\safpdndnn.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Vpbgbb.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Windows Live\ieefpcyane.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\Cpbgbi.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\HelpPane.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\KJ.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\bfsvc.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\explorer.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\hh.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\notepad.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\regedit.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\splwow64.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_16.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_32.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\winhlp32.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\write.exe','32'); DeleteFile('C:\Users\Оксана\appdata\roaming\c731200','32'); DeleteFile('c:\users\оксана\appdata\roaming\windowsupdate\msupdate.exe', '32'); DeleteFile('C:\Windows\TEMP\Adobe\Reader_sl.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1585311079'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vpbgbb','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mpbgbs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Cpbgbi'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Cpbgbi'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','HelpPane.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','HelpPane.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','KJ.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KJ.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','hh.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','hh.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','notepad.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','notepad.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','splwow64.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','splwow64.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','winhlp32.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','winhlp32.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','write.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','write.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 Лог отправил через форму, после повторной диагностики все процессы calc.exe пропали, большое спасибо Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Свежий CollectionLog покажите. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 прошу прощения CollectionLog-2015.06.09-15.14.zip CollectionLog-2015.06.09-15.14.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 (изменено) Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Оксана\appdata\roaming\update\explorer.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe',''); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Оксана\appdata\roaming\update\explorer.exe','32'); DeleteFileMask('C:\Users\Оксана\appdata\roaming\update\', '*', true); DeleteFileMask('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\', '*', true); DeleteFileMask('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\', '*', true); DeleteDirectory('C:\Users\Оксана\appdata\roaming\update\'); DeleteDirectory('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\'); DeleteDirectory('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mpbgbs'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true);end. Компьютер перезагрузится. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Еще раз повторите логи. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Смените все важные пароли на веб-сервисах (могли быть украдены). Изменено 9 июня, 2015 пользователем Sandor 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 последний CollectionLog-2015.06.09-18.06.zip CollectionLog-2015.06.09-18.06.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Чисто. Напоследок - Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 спасибо за помощь Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Прочтите и выполните Рекомендации после лечения. Удачи! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.