Подозрение на вирус

@GSSR · Регистрация: 21.04.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте.

Логи:

@shestale · 18.06.2013, 07:59

Кроме подозрений еще какие проблемы?
+
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
 QuarantineFile('C:\WINDOWS\system32\tmp1D.tmp','');
 DeleteFile('C:\WINDOWS\system32\tmp1D.tmp');
 DeleteFile('C:\WINDOWS\system32\linkdel.cmd');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
 RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Сделайте новые логи AVZ и Rsit(с подключенным интернетом).

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!

@GSSR · 18.06.2013, 18:37 **[ТС]**

При скачивании любых файлов, скорость падает до нуля и сообщение появляется, что ошибка при скачивании файла.

@shestale · 18.06.2013, 19:25

Сообщение от shestale

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

Не вижу?

Сообщение от shestale

Rsit(с подключенным интернетом).

???

@GSSR · 18.06.2013, 19:32 **[ТС]**

shestale, Всё сделал как Вы сказали.

@shestale · 18.06.2013, 19:34

Карантин теперь вижу.
Лог Rsit сделайте с подключенным интернетом или Как подготовить лог HijackThis

@GSSR · 18.06.2013, 19:41 **[ТС]**

Лог:

@shestale · 18.06.2013, 19:52

Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".

Код

O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')

В остальном чисто. Что с проблемой, решена?

@GSSR · 18.06.2013, 20:00 **[ТС]**

shestale, Спасибо всё хорошо.

@shestale · 18.06.2013, 20:03

Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.06.2013, 07:59	2
	Кроме подозрений еще какие проблемы? + Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО. 1. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\WINDOWS\system32\linkdel.cmd',''); QuarantineFile('C:\WINDOWS\system32\tmp1D.tmp',''); DeleteFile('C:\WINDOWS\system32\tmp1D.tmp'); DeleteFile('C:\WINDOWS\system32\linkdel.cmd'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','LinkDel'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); ExecuteRepair(6); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! 2. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. 3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. 4. Сделайте новые логи AVZ и Rsit(с подключенным интернетом). 5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Программу не закрывайте и самостоятельно ни чего не удаляйте! 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.06.2013, 19:25	4
	Сообщение от shestale 3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме. Не вижу? Сообщение от shestale Rsit(с подключенным интернетом). ??? 1

@GSSR 7 / 7 / 0 Регистрация: 21.04.2013 Сообщений: 44
	18.06.2013, 19:32 [ТС]	5
	shestale, Всё сделал как Вы сказали. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.06.2013, 19:34	6
	Карантин теперь вижу. Лог Rsit сделайте с подключенным интернетом или Как подготовить лог HijackThis 1

@GSSR 7 / 7 / 0 Регистрация: 21.04.2013 Сообщений: 44
	18.06.2013, 20:00 [ТС]	9
	shestale, Спасибо всё хорошо. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	18.06.2013, 20:03	10
	Для профилактики заражений и закрытии уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0