Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг: Рейтинг темы: голосов - 14, средняя оценка - 4.93
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
#1

C:\Users\Public вирус - Удаление вирусов

03.12.2014, 20:03. Просмотров 2162. Ответов 47
Метки нет (Все метки)

Добрый вечер!

Такая тема уже была. В папке C:\Users\Public создаются файлы, которые обнаруживает как вирус AVG, MSE.
На одном из форумов ничем не смогли мне помочь. Здесь на этом форуме есть ветка http://www.cyberforum.ru/viruses/thread1279488.html
в которой не понятно, то ли Avast вылечил, то ли здесь помогли.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
03.12.2014, 20:03
Я подобрал для вас темы с готовыми решениями и ответами на вопрос C:\Users\Public вирус (Удаление вирусов):

Вирус в папке C:\Users\Public
Антивирус Avast free пропустил в систему какой-то странный и хитрый вирус,...

Вирус. Last version for Google Chrome users
https://yadi.sk/d/Wle2hCDuqUdYR логи Спасибо)

Вирус Last Version for Google Chrome users
Регулярно вылазит окно блокирующее все с загрузкой каких то обновлений для...

Вирус в папке Public
Во всех папках которые находятся - C:\Users\Public ( \Общие изображения, \Общие...

Вирус "last version for google chrome users"
Добрый день. в Chrome (также при запуске некоторых приложений) периодически...

Last version for google chrome users
Доброго утра! Поймал какую то хрень, думаю это вирус, чистил и службы запуска...

47
shestale
Вирусоборец
8586 / 4159 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
04.12.2014, 08:03 #2
http://www.cyberforum.ru/viruses/thread49792.html
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 11:28  [ТС] #3
Добрый день!

Логи прикреплены.

Также картинка с логом Avg - сегодня вирус сработал.

Сейчас ПК физически не в сети (всего два компьютера), т.е. вирус не в сети.
С вероятностью 95 процентов вирус срабатываем при подключенном интернете. Сегодня при активации вируса точно был входящий трафик.

Удалось во время активизации вируса запустить программу ProcessMonitor. Имеются логи минут за 10-15 работы вируса. Он большой - после архивации будет 200-300 Мб. Приложен скан лога, где создается файл вируса.
0
Миниатюры
C:\Users\Public вирус   C:\Users\Public вирус  
Вложения
Тип файла: zip CollectionLog-2014.12.04-11.17.zip (78.7 Кб, 6 просмотров)
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 11:43 #4
Здравствуйте!

У вас установлена Malwarebytes Anti-Malware. Покажите ее лог полного сканирования.

Добавлено через 1 минуту
На C:\Users и D:\ у вас открыт общий доступ.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 13:22  [ТС] #5
Лог mbam приложен.
Ребята, я уже устал сканировать, ничего путного ни разу не нашел.
Daemon Tools Lite только вчера поставил, а вирус уже пару месяцев.
Диск Д я сам расшарил - туда доступ с другого ПК (он сейчас физически отключен).
Диск С на самом деле я вчера обнаружил, что расшарен, но пока не стал закрывать - пусть вирус уж в известном мне месте колбасит.
А логи ProcessMonitor вам ничем не помогут?
0
Вложения
Тип файла: txt mbamlog.txt (1.3 Кб, 4 просмотров)
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 13:27 #6
В этой системе чисто. Вероятно вредонос лезет через шару с другой системы.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 13:42  [ТС] #7
Что вы имеете ввиду под другой системой? Этот компьютер не в сети. Только выход в интернет
0
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 13:52 #8
Цитата Сообщение от natan247 Посмотреть сообщение
туда доступ с другого ПК
Это ваши слова?
0
shestale
Вирусоборец
8586 / 4159 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
04.12.2014, 13:58 #9
+
D:\Bs\copy.bat
файл вам знаком?
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 14:28  [ТС] #10
Пожалуйста, из контекста не выдирайте слова. "туда доступ с другого ПК (он сейчас физически отключен)".
Другой ПК физически отключен, а вирус активен.

Этот файл мне отлично знаком. Ко второму ПК он не имеет совершенно никакого отношения.
Еще раз спрошу -
Что вы имеете ввиду под другой системой?
И еще раз уточню -
Этот компьютер не в сети. Только выход в интернет.
Вирус активен.
0
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 14:33 #11
О том, что второй ПК отключен вы написали после того, как выложили скрины. Вот я и предположил, что в это время он (второй ПК) был подключен. Это не так?

Цитата Сообщение от natan247 Посмотреть сообщение
программу ProcessMonitor
Выложите на rghost.ru и дайте ссылку на скачивание.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 14:46  [ТС] #12
Не совсем так. Я выложил скрины, указав в этом же посту, что второй пк "Сейчас ПК физически не в сети".
Логи ProcessMonitor буду закачивать (интернет не быстрый), ссылку выложу.
0
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 14:49 #13
Хорошо. После этого дополнительно подготовьте лог uVS.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 14:54  [ТС] #14
rghost.ru похоже не позволит такой объем закачать 200-300 мб.
mail.ru файлообменник могу залить. Годится?
0
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 14:56 #15
Годится.
Общий доступ все же закройте и понаблюдайте.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 16:35  [ТС] #16
Ссылка на логи ProcessMonitor. 150 Мб.
https://cloud.mail.ru/public/4e4d54b0273f/ProcessMonitor_Logfile.7z

Программу ProcessMonitor запустил после того как вирус активировался.
Минут 10-15 антивирусник убивал образующиеся файлы, при этом был довольно активный интернет-трафик. Затем интернет я отключил.

Лог uVS прикреплен.

Общий доступ c:\Users\ закрыл.
0
Вложения
Тип файла: 7z Z1_2014-12-04_15-29-58.7z (473.5 Кб, 2 просмотров)
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 16:44 #17
Цитата Сообщение от natan247 Посмотреть сообщение
Общий доступ c:\Users\ закрыл.
После этого ваш антивирус находит что-нибудь?
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 17:03  [ТС] #18
Вирус активируется нечасто. 2 раза в день по-моему никогда не было. 1 раз в 1-2 дня (несколько дней.) Интернет подключен целый день каждый день. И узнать, пришибли вирус или нет, я никак не могу. И спровоцировать активацию вируса я никак не могу. И нет никаких событий, привязанных к активации вируса. Часто бывает, что он активируется, когда никакой активности совершенно нет, н-р, я ушел куда-нибудь на час-два, прихожу - антивирусник ругается.
0
Sandor
Вирусоборец
12794 / 11079 / 1672
Регистрация: 08.10.2012
Сообщений: 44,736
04.12.2014, 17:06 #19
Сделаем так. Проверьте и закройте потенциальные уязвимости (скрипт ниже), сделайте полную проверку системы антивирусом и понаблюдайте.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

http://www.cyberforum.ru/viruses-faq/thread430326.html
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
05.12.2014, 14:54  [ТС] #20
Лог AVZ

Поиск критических уязвимостей
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
http://download.microsoft.com/downlo...718704-x86.msu

Обнаружено уязвимостей: 1


При попытке установить это обновление система выдает сообщение, что "данное обновление не применимо к этому компьютеру".

Ранее после работы AVZ я уже установил обновления, поэтому Avz сейчас ничего не выдал. После этого вирус все равно активность проявлял.

Антивирусник запущу на полную проверку. В случае обнаружения чего-либо отпишусь.

Добавлено через 21 час 3 минуты
Sandor, добрый день!

Хотел уточнить, по моей теме что-нибудь делается?
0
05.12.2014, 14:54
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
05.12.2014, 14:54
Привет! Вот еще темы с решениями:

Last version for google chrome users + целый мартовский букет
Добрый день. Исходя из название темы, в общем-то понятно - довольно часто...

Svchost32.exe в папке C:\Documents and Settings\All Users\Application Data
Обнаружил svchost32.exe в папке C:\Documents and Settings\All Users\Application...

Как удалить вирус? Вирус в автозагрузке, из-за этого появляется ярлыки в флешке
Также продолжает копировать на флешке Copy of Shortcut to (1,2,3,4).lnk,...

Баннер вирус!!! (autorun, вирус блокирует даже без.режим!) (ВАЖНО)
Доброго времени суток!!! Недавно друг подхватил баннер, который блокирует всю...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru