DIMKA-vrn Posted November 23, 2015 Report Share Posted November 23, 2015 (edited) Всем привет. У меня такая проблема, на рабочем компьютере после распаковки не известного архива с документами, начали вылезать всплывающие окна, вирусные ехе файлы, и т.д. Как это победить ? Логи прикрепил. Заранее спасибо. <script> </script> CollectionLog-2015.11.23-18.25.zip CollectionLog-2015.11.23-18.25.zip Edited November 23, 2015 by DIMKA-vrn Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 23, 2015 Report Share Posted November 23, 2015 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: application extension version 1.5Software Version Updater Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);SearchRootkit(true, true);SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\concom\concom.exe'); TerminateProcessByName('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp'); StopService('Concom'); StopService('zehygiqo'); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json',''); QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe',''); QuarantineFile('C:\WINDOWS\system32\tssk.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys',''); QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys',''); QuarantineFile('c:\program files\concom\concom.exe',''); QuarantineFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', ''); DeleteFile('c:\program files\concom\concom.exe','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMUdisk.sys','32'); DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\TS888.sys','32'); DeleteFile('C:\WINDOWS\system32\tssk.sys','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\couponriser_stb.exe','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\couponriser\config.json','32'); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zitenop\UnoTom.dll','32'); DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\toolbar.exe','32'); DeleteFile('c:\program files\5373afc0-1444653926-11dd-b415-002354cb92fa\jnsv41d.tmp', '32'); DeleteService('TSSK'); DeleteService('TS888'); DeleteService('QMUdisk'); DeleteService('Concom'); DeleteService('zehygiqo'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','couponriser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');BC_ImportALL;ExecuteSysClean;BC_Activate; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true);RebootWindows(true);end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.Ярлык C:\Documents and Settings\User\Рабочий стол\Opera.lnk исправьте с помощью утилиты ClearLNK.Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Quote Link to comment Share on other sites More sharing options...
DIMKA-vrn Posted November 24, 2015 Author Report Share Posted November 24, 2015 Дошел до пункта выполнить скрипт в AVZ, и через несколько секунд работы вылезает синий экран смерти, с ошибками STOP- D1, 8E. Какие дальше действия делать ? что предпринять ? Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 24, 2015 Report Share Posted November 24, 2015 Выполните первый скрипт в безопасном режиме, остальное - в обычном. Quote Link to comment Share on other sites More sharing options...
DIMKA-vrn Posted November 25, 2015 Author Report Share Posted November 25, 2015 (edited) Все выполнил. Ярлык Оперы на рабочем столе не найден. AdwCleanerS1.txt AdwCleanerS1.txt Edited November 25, 2015 by DIMKA-vrn Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 25, 2015 Report Share Posted November 25, 2015 Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Quote Link to comment Share on other sites More sharing options...
DIMKA-vrn Posted November 25, 2015 Author Report Share Posted November 25, 2015 Все выполнил AdwCleanerC2.txt Addition.txt FRST.txt Shortcut.txt AdwCleanerC2.txt Addition.txt FRST.txt Shortcut.txt Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 25, 2015 Report Share Posted November 25, 2015 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: startCreateRestorePoint:CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONCHR HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTIONHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-0G2bd7OYjJL6NbyrAa2NdfBQ_qR6OjHy2zQgt_EicN7_L-th-Q4l4q6chnTCOtU9Y_yvDe_non8myvHKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}HKU\S-1-5-21-1220945662-1123561945-1177238915-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzeKFZrskuy4rRGZaNzqVb-QGo6ClWLNQ4NEX6UpXMC8cQsrPfP2mFi8ci0--8O6J-HWZ7NuuL3QIzoNBJ0b-CvcN2w4o6kUMA9EAOO7DJTChaK5KwRH9JpfrNddUsBj7VKF0Ek6OuAKbcHv&q={searchTerms}S2 Zitenop; C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.exe -f "C:\Documents and Settings\All Users\Application Data\\Zitenop\\Zitenop.dat" -l -aS1 {b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt; system32\drivers\{b666938f-73a7-45e6-be3c-578b46fc5b7e}Gt.sys [X]globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTIONTask: C:\WINDOWS\Tasks\UninstallMonitor.job => C:\Program Files\Innovative Solutions\Advanced Uninstaller PRO\uninstaller.exeDomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件DomainProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报DomainProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Enabled:????-???StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\Tencentdl.exe] => Enabled:腾讯产品下载组件StandardProfile\AuthorizedApplications: [C:\Program Files\Common Files\Tencent\QQDownload\130\bugreport_xf.exe] => Enabled:腾讯产品下载组件Crash上报StandardProfile\AuthorizedApplications: [C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe] => Disabled:????-???EmptyTemp:Reboot:end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Компьютер будет перезагружен автоматически.Подробнее читайте в этом руководстве. В перечне установленных программ появится globalupdate Helper удалите.Сообщите что с проблемой. Quote Link to comment Share on other sites More sharing options...
DIMKA-vrn Posted November 26, 2015 Author Report Share Posted November 26, 2015 Все выполнил. Проблема решена, пока ничего криминального не заметил. Спасибо большое. :clap: Fixlog_26-11-2015_15-22-41.txt Fixlog_26-11-2015_15-22-41.txt Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 26, 2015 Report Share Posted November 26, 2015 В завершение: Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Подробнее читайте в этом руководстве. Остальные утилиты и папки можно просто удалить. Выполните скрипт в AVZ при наличии доступа в интернет: varLogPath : string;ScriptPath : string;begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) elsebegin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).Перезагрузите компьютер.Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.