Вирус Galaxy.exe Логи от AVZ.

@sorrow_nomad · Регистрация: 20.11.2011

Author24 — интернет-сервис помощи студентам

Все сделал по плану, выложенному ранее на форуме. Помогите пожалуйста, последняя надежда - светлые умы этого форума!

@alivan · 20.11.2011, 15:51

Сделайте логи rsit.

@sorrow_nomad · 20.11.2011, 15:56 **[ТС]**

вот лог

@alivan · 20.11.2011, 16:00

Посмотрю логи.

@sorrow_nomad · 20.11.2011, 16:03 **[ТС]**

Заранее спасибо!!

@alivan · 20.11.2011, 16:45

Начинать лечение лучше со сканирования компьютера. Можно воспользоваться CureIt или LiveCD

AVZ, меню "Файл - Выполнить скрипт" -> Скопировать ниже написанный скрипт-> Нажать кнопку "Запустить"

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 50000, false);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\VPets\VPets.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\regsrv64.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\Lqiail.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\Hqiaih.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\Bqiaib.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\4DD4.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\9B58.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\933D.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\62BD.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\FC78.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\A464.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\2CA2.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\EB3.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\7B16.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\4FEB.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\4B9F.exe','');
 QuarantineFile('C:\Users\Женя\AppData\Roaming\A905.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\4F38.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\9209.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\3844.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\A795.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\BEB8.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\ACD6.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\CA0.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\C607.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\EC49.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\E6C9.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\E1A2.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\4C04.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\AFB2.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\B24E.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\9CBB.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\D07.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\9FC9.exe','');
QuarantineFile('C:\Windows\unin0419.exe','');
QuarantineFile('C:\Users\Женя\AppData\Roaming\AE1A.exe','');
DeleteFile('C:\Users\Женя\AppData\Roaming\4DD4.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\9B58.exe');
 DeleteFile('C:\Users\Женя\AppData\Roaming\933D.exe');
 DeleteFile('C:\Users\Женя\AppData\Roaming\62BD.exe');
 DeleteFile('C:\Users\Женя\AppData\Roaming\FC78.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\A464.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\2CA2.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\EB3.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\7B16.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\4FEB.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\4B9F.exe');
 DeleteFile('C:\Users\Женя\AppData\Roaming\A905.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\4F38.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\9209.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\3844.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\A795.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\BEB8.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\ACD6.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\CA0.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\C607.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\EC49.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\E6C9.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\E1A2.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\4C04.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\AFB2.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\B24E.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\9CBB.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\D07.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\9FC9.exe');
DeleteFile('C:\Windows\unin0419.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\AE1A.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\Bqiaib.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\Hqiaih.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\Lqiail.exe');
DeleteFile('C:\Users\Женя\AppData\Roaming\regsrv64.exe');
DeleteFile('C:\Program Files\VPets\VPets.exe');
DeleteFileMask('C:\Users\Женя\AppData\Roaming', '*.tmp', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Вышлите карантин через форму

Сделайте новые логи и пришлите.

Скачайте Malwarebytes' Anti-Malware (MBAM) или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@sorrow_nomad · 20.11.2011, 18:26 **[ТС]**

Вот лог от MBAM

@~~Katharsis~~ · 20.11.2011, 18:33

удалять всё найденное было не обязательно.

1. скачайте и установите все последние обновления для безопасности windows

2. повторите логи avz и rsit

@sorrow_nomad · 20.11.2011, 22:05 **[ТС]**

вот последние логи

@~~Katharsis~~ · 20.11.2011, 22:09

не вижу чтобы вы установили обновления. Почему?

@sorrow_nomad · 20.11.2011, 22:11 **[ТС]**

устанавливал.
возникали ошибки, пытался устранить стандартным мастером, написал, что устранил ошибки.
в итогу обновление свелось к одной только устоновке IExplorer 9. И то он его не установил, опять выдал ошибку, с которой мастер уже не справился

@~~Katharsis~~ · 20.11.2011, 22:18

В сведениях об ошибке что написано? Вообще функция обновления системы у вас работает? Автообновление отключено?

@sorrow_nomad · 20.11.2011, 22:22 **[ТС]**

оп, все обновилось.
снова выдал ошибку, не успел зайти в сведения - комп перезагрузился, установил сам все.

Логи надо заново делать, да?

@~~Katharsis~~ · 20.11.2011, 23:03

Сообщение от sorrow_nomad

Логи надо заново делать, да?

пока нет, подождите, вам всё скажут

@alivan · 21.11.2011, 08:17

А что с проблемой?

@sorrow_nomad · 21.11.2011, 16:12 **[ТС]**

кажется больше проблемы нет.
флешки не заражаются, NOD32 больше не находит троян в оперативке. Все отлично, спасибо большое, ребята!!!

@alivan · 21.11.2011, 19:00

Знакомы названия \validzip \xarchzip? Не устанавливали? Используете?

Добавлено через 2 часа 23 минуты
Рекомендую удалить папки:

Код

C:\Users\Женя\AppData\Roaming\validzip
C:\Users\Женя\AppData\Roaming\xarchzip

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f

Нажмите enter.

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

Добавлено через 12 минут
Не забудьте сменить пароли.

@sorrow_nomad · 29.11.2011, 17:43 **[ТС]**

Спасибо большое!

@~~Katharsis~~ Заблокирован
	20.11.2011, 22:09	10
	не вижу чтобы вы установили обновления. Почему? 1

@sorrow_nomad 1 / 1 / 0 Регистрация: 20.11.2011 Сообщений: 9
	20.11.2011, 22:22 [ТС]	13
	оп, все обновилось. снова выдал ошибку, не успел зайти в сведения - комп перезагрузился, установил сам все. Логи надо заново делать, да? 0

@~~Katharsis~~ Заблокирован
	20.11.2011, 23:03	14
	Сообщение от sorrow_nomad Логи надо заново делать, да? пока нет, подождите, вам всё скажут 1

@alivan 23 / 23 / 1 Регистрация: 09.11.2011 Сообщений: 35
	20.11.2011, 15:51	2
	Сделайте логи rsit. 0

@alivan 23 / 23 / 1 Регистрация: 09.11.2011 Сообщений: 35
	20.11.2011, 16:00	4
	Посмотрю логи. 1

@sorrow_nomad 1 / 1 / 0 Регистрация: 20.11.2011 Сообщений: 9
	20.11.2011, 16:03 [ТС]	5
	Заранее спасибо!! 0

@~~Katharsis~~ Заблокирован
	20.11.2011, 18:33	8
	удалять всё найденное было не обязательно. 1. скачайте и установите все последние обновления для безопасности windows 2. повторите логи avz и rsit 2

@sorrow_nomad 1 / 1 / 0 Регистрация: 20.11.2011 Сообщений: 9
	20.11.2011, 22:11 [ТС]	11
	устанавливал. возникали ошибки, пытался устранить стандартным мастером, написал, что устранил ошибки. в итогу обновление свелось к одной только устоновке IExplorer 9. И то он его не установил, опять выдал ошибку, с которой мастер уже не справился 0

@~~Katharsis~~ Заблокирован
	20.11.2011, 22:18	12
	В сведениях об ошибке что написано? Вообще функция обновления системы у вас работает? Автообновление отключено? 1

@alivan 23 / 23 / 1 Регистрация: 09.11.2011 Сообщений: 35
	21.11.2011, 08:17	15
	А что с проблемой? 1

@sorrow_nomad 1 / 1 / 0 Регистрация: 20.11.2011 Сообщений: 9
	21.11.2011, 16:12 [ТС]	16
	кажется больше проблемы нет. флешки не заражаются, NOD32 больше не находит троян в оперативке. Все отлично, спасибо большое, ребята!!! 0

@alivan 23 / 23 / 1 Регистрация: 09.11.2011 Сообщений: 35
	21.11.2011, 19:00	17
	Знакомы названия \validzip \xarchzip? Не устанавливали? Используете? Добавлено через 2 часа 23 минуты Рекомендую удалить папки: Код C:\Users\Женя\AppData\Roaming\validzip C:\Users\Женя\AppData\Roaming\xarchzip Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду: reg add HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221 /f Нажмите enter. Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск - Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool Добавлено через 12 минут Не забудьте сменить пароли. 1

@sorrow_nomad 1 / 1 / 0 Регистрация: 20.11.2011 Сообщений: 9
	29.11.2011, 17:43 [ТС]	18
	Спасибо большое! 0