2gis Опубликовано 8 июня, 2015 Жалоба Поделиться Опубликовано 8 июня, 2015 Доброго времени суток! Подхватил что-то при скачке в интернете, теперь жутко лагает в приложениях и греется ноутбук. (cureit, avast, kasp, comodo) нашли несколько червей, но с этим не помогли CollectionLog-2015.06.09-03.39.zip CollectionLog-2015.06.09-03.39.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Оксана\appdata\roaming\c731200',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\write.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\winhlp32.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_32.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_16.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\splwow64.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\regedit.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\notepad.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\hh.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\explorer.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\bfsvc.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\KJ.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\HelpPane.exe',''); QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\Cpbgbi.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\MSupdate.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Windows Live\ieefpcyane.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Vpbgbb.exe',''); QuarantineFile('C:\ProgramData\CreativeAudio\safpdndnn.exe',''); QuarantineFile('C:\PROGRA~3\mszjt.exe',''); QuarantineFile('c:\users\оксана\appdata\roaming\windowsupdate\msupdate.exe', ''); QuarantineFile('C:\Windows\TEMP\Adobe\Reader_sl.exe', ''); DeleteFile('C:\PROGRA~3\mszjt.exe','32'); DeleteFile('C:\ProgramData\CreativeAudio\safpdndnn.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\Vpbgbb.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\Windows Live\ieefpcyane.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\MSupdate.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\Identities\Cpbgbi.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\HelpPane.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\KJ.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\bfsvc.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\explorer.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\hh.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\notepad.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\regedit.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\splwow64.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_16.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\twunk_32.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\winhlp32.exe','32'); DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\ОКСАНА-ПК\write.exe','32'); DeleteFile('C:\Users\Оксана\appdata\roaming\c731200','32'); DeleteFile('c:\users\оксана\appdata\roaming\windowsupdate\msupdate.exe', '32'); DeleteFile('C:\Windows\TEMP\Adobe\Reader_sl.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1585311079'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vpbgbb','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mpbgbs'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','Cpbgbi'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','Cpbgbi'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','HelpPane.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','HelpPane.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','KJ.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','KJ.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','hh.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','hh.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','notepad.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','notepad.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','splwow64.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','splwow64.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','twunk_16.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','winhlp32.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','winhlp32.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','write.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','write.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 Лог отправил через форму, после повторной диагностики все процессы calc.exe пропали, большое спасибо Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Свежий CollectionLog покажите. Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 прошу прощения CollectionLog-2015.06.09-15.14.zip CollectionLog-2015.06.09-15.14.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 (изменено) Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Оксана\appdata\roaming\update\explorer.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe',''); DeleteFile('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\Mpbgbs.exe','32'); DeleteFile('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\Updater.exe','32'); DeleteFile('C:\Users\Оксана\appdata\roaming\update\explorer.exe','32'); DeleteFileMask('C:\Users\Оксана\appdata\roaming\update\', '*', true); DeleteFileMask('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\', '*', true); DeleteFileMask('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\', '*', true); DeleteDirectory('C:\Users\Оксана\appdata\roaming\update\'); DeleteDirectory('C:\Users\Оксана\AppData\Roaming\WindowsUpdate\'); DeleteDirectory('C:\Users\Оксана\AppData\Roaming\Microsoft\Windows\themes\'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mpbgbs'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true);end. Компьютер перезагрузится. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Еще раз повторите логи. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Смените все важные пароли на веб-сервисах (могли быть украдены). Изменено 9 июня, 2015 пользователем Sandor 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 последний CollectionLog-2015.06.09-18.06.zip CollectionLog-2015.06.09-18.06.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Чисто. Напоследок - Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
2gis Опубликовано 9 июня, 2015 Автор Жалоба Поделиться Опубликовано 9 июня, 2015 спасибо за помощь Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 9 июня, 2015 Жалоба Поделиться Опубликовано 9 июня, 2015 Прочтите и выполните Рекомендации после лечения. Удачи! Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти