DIMKA-vrn Опубликовано 23 ноября, 2015 Жалоба Поделиться Опубликовано 23 ноября, 2015 (изменено) Всем привет. У меня такая проблема, на рабочем компьютере после распаковки не известного архива с документами, начали вылезать всплывающие окна, вирусные ехе файлы, и т.д. Как это победить ? Логи прикрепил. Заранее спасибо. <script> </script> CollectionLog-2015.11.23-18.25.zip CollectionLog-2015.11.23-18.25.zip Изменено 23 ноября, 2015 пользователем DIMKA-vrn Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 23 ноября, 2015 Жалоба Поделиться Опубликовано 23 ноября, 2015 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: application extension version 1.5Software Version Updater Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\concom\concom.exe'); TerminateProcessByName('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp'); StopService('Concom'); StopService('zehygiqo'); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe',''); QuarantineFile('C:\WINDOWS\system32\tssk.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys',''); QuarantineFile('c:\program files\concom\concom.exe',''); QuarantineFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', ''); DeleteFile('c:\program files\concom\concom.exe','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys','32'); DeleteFile('C:\WINDOWS\system32\tssk.sys','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json','32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','32'); DeleteFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', '32'); DeleteService('TSSK'); DeleteService('TS888'); DeleteService('QMUdisk'); DeleteService('Concom'); DeleteService('zehygiqo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','couponriser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');BC_ImportALL;ExecuteSysClean;BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.Ярлык C:\Documents and Settings\User\Рабочий стол\Opera.lnk исправьте с помощью утилиты ClearLNK.Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
DIMKA-vrn Опубликовано 24 ноября, 2015 Автор Жалоба Поделиться Опубликовано 24 ноября, 2015 Дошел до пункта выполнить скрипт в AVZ, и через несколько секунд работы вылезает синий экран смерти, с ошибками STOP- D1, 8E. Какие дальше действия делать ? что предпринять ? Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 24 ноября, 2015 Жалоба Поделиться Опубликовано 24 ноября, 2015 Выполните первый скрипт в безопасном режиме, остальное - в обычном. Ссылка на комментарий Поделиться на другие сайты Поделиться
DIMKA-vrn Опубликовано 25 ноября, 2015 Автор Жалоба Поделиться Опубликовано 25 ноября, 2015 (изменено) Все выполнил. Ярлык Оперы на рабочем столе не найден. AdwCleanerS1.txt AdwCleanerS1.txt Изменено 25 ноября, 2015 пользователем DIMKA-vrn Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 25 ноября, 2015 Жалоба Поделиться Опубликовано 25 ноября, 2015 Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
DIMKA-vrn Опубликовано 25 ноября, 2015 Автор Жалоба Поделиться Опубликовано 25 ноября, 2015 Все выполнил AdwCleanerC2.txt Addition.txt FRST.txt Shortcut.txt AdwCleanerC2.txt Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 25 ноября, 2015 Жалоба Поделиться Опубликовано 25 ноября, 2015 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: startCreateRestorePoint:CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONCHR HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTIONHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}S2 Zitenop; C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.exe -f "C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.dat" -l -aS1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt; system32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt.sys [X]globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTIONTask: C:\WINDOWS\Tasks\UninstallMonitor.job => C:\Program Files\Innovative Solutions\Advanced Uninstaller PRO\uninstaller.exeDomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Enabled:????-???StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Disabled:????-???EmptyTemp:Reboot:end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Компьютер будет перезагружен автоматически.Подробнее читайте в этом руководстве. В перечне установленных программ появится globalupdate Helper удалите.Сообщите что с проблемой. Ссылка на комментарий Поделиться на другие сайты Поделиться
DIMKA-vrn Опубликовано 26 ноября, 2015 Автор Жалоба Поделиться Опубликовано 26 ноября, 2015 Все выполнил. Проблема решена, пока ничего криминального не заметил. Спасибо большое. :clap: Fixlog_26-11-2015_15-22-41.txt Fixlog_26-11-2015_15-22-41.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 26 ноября, 2015 Жалоба Поделиться Опубликовано 26 ноября, 2015 В завершение: Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Подробнее читайте в этом руководстве. Остальные утилиты и папки можно просто удалить. Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) elsebegin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).Перезагрузите компьютер.Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти