0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
1 | |
Огромное количество возобновляющихся зараженных файлов08.12.2014, 20:39. Показов 1429. Ответов 21
Метки нет (Все метки)
Доброго времени суток, господа! Столкнулся с такой проблемой:на компьютере постоянно появляются подозрительные файлы, которые при проверке распознаются как вирусы, примеры файлов на скриншотах. Появляются они спонтанно, компьютер находится в простое минут 15, а после того как к нему подходят, на нём уже куча файлов, которые взялись непонятно откуда. При полной проверке авастом находит от 1к до 32к зараженных файлов. Если запустить повторно, после исправления, то не находит ничего, а на следующий день опять всё сначала.
Заражаются обычные исполняемые файлы, аваст помечал .exe почти всех программ на D, как зараженные. Если нужен лог проверки антивируса, то добродушно его предоставлю. P.S. Меня смутило содержание архива и то, что скрытые файлы в очереди на запись стоят. Их там быть не должно. У всех самовоспроизводящихся архивов такие же файлы, если нужно, то тоже могу прикрепить.
0
|
08.12.2014, 20:39 | |
Ответы с готовыми решениями:
21
Огромное количество записей в БД Огромное количество рекламы Blockandsurf и огромное количество рекламы DataGridView и огромное количество колонок |
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
09.12.2014, 12:01 [ТС] | 2 |
Дополню. При последней проверке авастом "Полное сканирование" Нашлось 5793 зараженных файла. Сразу после этого была запущена проверка при старте ОС - нашлось 6112 зараженных файлов. Это вообще опасно или нет? Все вирусы помечаются как Win32:Chydo [Drp]
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
09.12.2014, 12:24 | 3 |
Здравствуйте!
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ 1. Закройте общий доступ на C:\ и на C:\Users 2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.rar', ''); QuarantineFile('C:\Users\Администратор\favorites\favorites.bat', ''); QuarantineFile('C:\Users\Администратор\music\music.scr', ''); QuarantineFile('C:\Users\Администратор\videos\videos.pif', ''); QuarantineFile('C:\Users\Администратор\администратор.exe', ''); QuarantineFile('C:\Users\Администратор\documents\documents.exe',''); DeleteFile('C:\Users\Администратор\documents\documents.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.rar', '32'); DeleteFile('C:\Users\Администратор\favorites\favorites.bat', '32'); DeleteFile('C:\Users\Администратор\music\music.scr', '32'); DeleteFile('C:\Users\Администратор\videos\videos.pif', '32'); DeleteFile('C:\Users\Администратор\администратор.exe', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После перезагрузки, выполните такой скрипт: Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 4. Подготовьте лог MBAM.
1
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
09.12.2014, 15:05 [ТС] | 4 |
Сделал всё по инструкции.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
09.12.2014, 15:12 | 5 |
Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
1
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
10.12.2014, 17:12 [ТС] | 6 |
Ох, беда... Появился батник, созданный вирусом. Хотел удалить, но промахнулся и вместо shift + del нажал shift + enter. *facepalm*
Батник напихал в автозапуск кучу всего и пытался перезагрузить комп, но я успел снять его в диспетчере, благо комп тупит. Сейчас выложу лог Malaware и лог, собранный AVZ. Все файлы, что нашел малавар - поместил в карантин(Все файлы - Backdoor.Bot). Порядок действий: 1) Запустил MBAM, начал сканирование. 2)Поместил файлы в карантин. 3) Сделал лог AVZ Написал это, так как не знаю, влияет ли МВАМ на лог AVZ. ПК боюсь перезагружать. Могут быть скрытые файлы в автозапуске? Что теперь делать, помимо того, что выпрямить руки? P.S. Лог малавара запихнул в архив. Никак не хотел загружаться в .txt на форум.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
10.12.2014, 17:24 | 7 |
1. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\ctqnhxsunddxxouaarolf.exe', ''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\gtmfvhywlxtjfsuws.exe', ''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\ndzvodxyqfexwmrwvlhd.exe', ''); QuarantineFile('C:\autorun.inf', ''); QuarantineFile('C:\zfrdmrbsaf.bat', ''); QuarantineFile('D:\autorun.inf', ''); QuarantineFile('D:\zfrdmrbsaf.bat', ''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\zldvkvliwhcrmyza.exe', ''); QuarantineFile('C:\Windows\system32\pdxrivnmcpmdaorurf.exe', ''); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\zldvkvliwhcrmyza.exe',''); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\zldvkvliwhcrmyza.exe','32'); DeleteFile('C:\Windows\system32\pdxrivnmcpmdaorurf.exe'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\ctqnhxsunddxxouaarolf.exe', '32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\gtmfvhywlxtjfsuws.exe', '32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\ndzvodxyqfexwmrwvlhd.exe', '32'); DeleteFile('C:\autorun.inf', '32'); DeleteFile('C:\zfrdmrbsaf.bat', '32'); DeleteFile('D:\autorun.inf', '32'); DeleteFile('D:\zfrdmrbsaf.bat', '32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\zldvkvliwhcrmyza.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pdxrivnmcpmdaorurf','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','qzodpxkepxpbt'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','gtmfvhywlxtjfsuws'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(8); ExecuteRepair(10); ExecuteRepair(17); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После перезагрузки, выполните такой скрипт: Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Еще раз повторите полное сканирование MBAM, лог приложите.
1
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
10.12.2014, 21:33 [ТС] | 8 |
quarantine.zip скинул на анализ. MBAM просканировал, но ругаться не стал. Вроде всё чисто.
Только вот архивы такого рода остались по всему ПК. Есть дальнейшие указания?
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
11.12.2014, 09:26 | 9 |
Закройте общий доступ на ресурсы:
Выполните скрипт в AVZ при наличии доступа в интернет: Код
var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО
1
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
11.12.2014, 14:03 [ТС] | 10 |
Дело в том, что у меня домашняя сеть - 3 ПК, общий доступ нужен для удобства пользования. Его нужно обязательно выключить? Понимаю что из-за этого могут быть проблемы, но штука довольно таки удобная.
Общий доступ на C убрал полностью. Со всего диска, на нём он не особо нужен. И что касается архивов - почти в каждой папке на компьютере есть архив с названием папки. Их выше крыши) По мере нахождения буду удалять их. "Часто используемые уязвимости не обнаружены." - Выдал мне AVZ Но, есть одно "но", которое на скриншоте. Проблемы не те, что были раньше, но всё же. Или это ничего страшного и антивирус сам справится?
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
11.12.2014, 14:13 | 11 |
Не используйте простой общий доступ. Задайте сложные пароли.
На скрине папка с установленными обновлениями. Скорее всего это ложное срабатывание Аваста. Прочтите эту статью.
1
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
11.12.2014, 14:31 [ТС] | 12 |
Пароль поставил, спасибо.
Прочитал статью - решил почистить по совету. Было предложено очистить 3 МБ. И ещё одно. Опять же на скриншоте. Напрягает немножечко.
0
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
11.12.2014, 15:03 [ТС] | 14 |
Похоже что пустые, сейчас залез в regedit посмотреть, там нет ничего на них указывающего. Использовал Advanced systemcare для ремонта реестра, но после перезагрузки они остались в автозапуске.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
11.12.2014, 15:21 | 15 |
В логе их не видно. Зато видно, что системные файлы изменены.
Если Ваша система оригинальная (не сборка):
1
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
11.12.2014, 15:49 [ТС] | 16 |
Перезагружать не требовал, но написал что некоторые поврежденные файлы не может восстановить.
Вот лог. P.S. Win 7 x32 Professional с флешки. В архив пихнул из-за того, что на форум не загружался. Весит много слишком.
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
11.12.2014, 15:52 | 17 |
На этом все. Удачи!
1
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
11.12.2014, 15:54 [ТС] | 18 |
Ну тогда огромное вам спасибо за проделанную работу! Очень сильно помогли, сам бы ни за что не справился. Как вас отблагодарить-то можно, кроме как "Спасибо" нажать?
0
|
21552 / 15504 / 2987
Регистрация: 08.10.2012
Сообщений: 63,031
|
|
11.12.2014, 16:10 | 19 |
Этого достаточно, т.к. помощь здесь оказывается бесплатно.
Если желаете поддержать проект, это можно сделать так.
0
|
0 / 0 / 2
Регистрация: 23.11.2014
Сообщений: 49
|
|
13.12.2014, 20:41 [ТС] | 20 |
Вот так дела, он опять за старое! Только архивы другого содержания теперь. И там, где нет общего доступа, там нет вирусных архивов. Выходит, что вирус в сети засел?
0
|
13.12.2014, 20:41 | |
13.12.2014, 20:41 | |
Помогаю со студенческими работами здесь
20
FireFox жрет огромное количество памяти Огромное количество процессов calc.exe Огромное количество таблиц, которые не создавал Огромное количество процессов calc.exe Огромное количество элементов управления на одной форме Динамически созданный график и огромное количество легенд Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |