Вирусы, как вылечить

@IgorKos · Регистрация: 19.09.2014

Author24 — интернет-сервис помощи студентам

Здравствуйте! Помогите пожалуйста, заразил комп вирусом, и скорее всего с флешки. Как вылечить комп и флешку? За ранее благодырю.

@Sandor · 19.09.2014, 12:23

Здравствуйте!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\d395~1\appdata\local\temp\kb01935254.exe');
 TerminateProcessByName('c:\users\d395~1\appdata\local\temp\oagvs.exe');
 QuarantineFile('c:\users\d395~1\appdata\local\temp\kb01935254.exe','');
 QuarantineFile('c:\users\d395~1\appdata\local\temp\oagvs.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16720180\bb804.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1820180\bb532504.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-182138180\bb53254.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18218180\bb581254.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1821880\bb58254.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18613910\bb595914.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861470\bb546584.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1863910\bb59594.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186413910\bb5954914.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18641550\bb5954.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18641880\bb5854.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186470\b546584.exe','');
 QuarantineFile('C:\Users\D395~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Users\Игорь\AppData\Roaming\Identities\Szaoag.exe','');
 QuarantineFile('C:\Users\Игорь\appdata\local\temp\adobe\reader_sl.exe','');
 QuarantineFile('C:\ProgramData\CreativeAudio\bjrwzmzis.exe','');
 QuarantineFile('C:\Users\Игорь\AppData\Roaming\Update\MSupdate.exe','');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\Update\MSupdate.exe');
 DeleteFile('C:\ProgramData\CreativeAudio\bjrwzmzis.exe');
 DeleteFile('c:\users\d395~1\appdata\local\temp\kb01935254.exe', '32');
 DeleteFile('c:\users\d395~1\appdata\local\temp\oagvs.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-16720180\bb804.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1820180\bb532504.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-182138180\bb53254.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18218180\bb581254.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1821880\bb58254.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18613910\bb595914.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1861470\bb546584.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1863910\bb59594.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186413910\bb5954914.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18641550\bb5954.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-18641880\bb5854.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-186470\b546584.exe', '32');
 DeleteFile('C:\Users\D395~1\AppData\Local\Temp\Adobe\Reader_sl.exe', '32');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\Identities\Szaoag.exe', '32');
 DeleteFile('C:\Users\Игорь\appdata\local\temp\adobe\reader_sl.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b58039');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b53152039');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5315239');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b58815239');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5885239');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5bx139');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5b48fv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5bx39');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5bx1439');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b5b5539');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b588539');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','b548fv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSfCnt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Szaoag');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
 QuarantineFileF('C:\Users\Игорь\AppData\Roaming\Update','*', true,'',0 ,0);
 DeleteFileMask('C:\Users\Игорь\AppData\Roaming\Update', '*', true);
 DeleteDirectory('C:\Users\Игорь\AppData\Roaming\Update');
 ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки выполните такой скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Подготовьте лог MBAM.

@IgorKos · 19.09.2014, 15:20 **[ТС]**

сделал как вы сказали

@Sandor · 19.09.2014, 15:32

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Ключи реестра: 4
PUP.Optional.Babylon.A, HKU\S-1-5-21-991567582-1542999131-3080480357-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}, , [641af2fdf883d165e3840c7c14ee21df],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\rstrui.exe, , [3d41c22dd9a20f271b749426a162ab55],
Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\rstrui.exe, , [582689662b50d0666f202b8fb152d32d],
PUP.Optional.InstallCore.A, HKU\S-1-5-21-991567582-1542999131-3080480357-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, , [f38b24cbe19acf6778c8b69850b4d52b],

Значения реестра: 3
Trojan.Ransom.ED, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN|1915244360, C:\PROGRA~3\msusbe.exe, , [6f0f7c7384f7a1951feec9f411f05fa1]
Trojan.Ransom.ED, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN |1915244360, C:\PROGRA~3\msusbe.exe, , [6f0f7c7384f7a1951feec9f411f05fa1]
PUP.Optional.InstallCore.A, HKU\S-1-5-21-991567582-1542999131-3080480357-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE|tb, 0I1N1MtGyEtH1N1L1Q1K1J, , [f38b24cbe19acf6778c8b69850b4d52b]

Файлы:
Trojan.Ransom.ED, C:\ProgramData\msusbe.exe, , [6f0f7c7384f7a1951feec9f411f05fa1],
Trojan.Agent.ED, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1ELB0XI4\api1[1].gif, , [2856b43b5c1fc4728b704b73e81919e7],
Extension.Mismatch, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3M6CXVDN\api7[1].gif, , [b9c51ed125565cda548593e9649ccb35],
Extension.Mismatch, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VRMXTRM4\api8[1].gif, , [4935e807d0abb97d4a8fbfbdea16a060],
Extension.Mismatch, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XDNGVJ8T\api9[1].gif, , [027cd619aad15adc29b0611b06fa817f],
Trojan.Ransom.ED, C:\Users\?˜????N?N?\AppData\Roaming\c731200, , [502e747b96e50a2c35d8932a39c8f40c], Trojan.Ransom.ED, J:\Udvyhbk.exe, , [0b7330bf5e1d51e50b02219c5da441bf],
Trojan.JobX, C:\Windows\System32\Tasks\Windows Update Check - 0x0E7302EC, , [b7c7cf20700bfe38ccca020fe122847c],

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@IgorKos · 19.09.2014, 20:48 **[ТС]**

сделал все как сказали.....

@IgorKos · 19.09.2014, 21:37 **[ТС]**

......

@Sandor · 22.09.2014, 09:05

Пофиксите в HijackThis следующую строчку (утилиту запускать правой кнопкой от имени Администратора!):

Код

O4 - HKCU\..\Run: [CreativeAudio] "C:\ProgramData\CreativeAudio\bjrwzmzis.exe"

В остальном - порядок. Что с проблемой?

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	19.09.2014, 15:32	4
	Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только: Ключи реестра: 4 PUP.Optional.Babylon.A, HKU\S-1-5-21-991567582-1542999131-3080480357-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}, , [641af2fdf883d165e3840c7c14ee21df], Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\rstrui.exe, , [3d41c22dd9a20f271b749426a162ab55], Security.Hijack, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\rstrui.exe, , [582689662b50d0666f202b8fb152d32d], PUP.Optional.InstallCore.A, HKU\S-1-5-21-991567582-1542999131-3080480357-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, , [f38b24cbe19acf6778c8b69850b4d52b], Значения реестра: 3 Trojan.Ransom.ED, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\|1915244360, C:\PROGRA~3\msusbe.exe, , [6f0f7c7384f7a1951feec9f411f05fa1] Trojan.Ransom.ED, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN \|1915244360, C:\PROGRA~3\msusbe.exe, , [6f0f7c7384f7a1951feec9f411f05fa1] PUP.Optional.InstallCore.A, HKU\S-1-5-21-991567582-1542999131-3080480357-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE\|tb, 0I1N1MtGyEtH1N1L1Q1K1J, , [f38b24cbe19acf6778c8b69850b4d52b] Файлы: Trojan.Ransom.ED, C:\ProgramData\msusbe.exe, , [6f0f7c7384f7a1951feec9f411f05fa1], Trojan.Agent.ED, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1ELB0XI4\api1[1].gif, , [2856b43b5c1fc4728b704b73e81919e7], Extension.Mismatch, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3M6CXVDN\api7[1].gif, , [b9c51ed125565cda548593e9649ccb35], Extension.Mismatch, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VRMXTRM4\api8[1].gif, , [4935e807d0abb97d4a8fbfbdea16a060], Extension.Mismatch, C:\Users\?˜????N?N?\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XDNGVJ8T\api9[1].gif, , [027cd619aad15adc29b0611b06fa817f], Trojan.Ransom.ED, C:\Users\?˜????N?N?\AppData\Roaming\c731200, , [502e747b96e50a2c35d8932a39c8f40c], Trojan.Ransom.ED, J:\Udvyhbk.exe, , [0b7330bf5e1d51e50b02219c5da441bf], Trojan.JobX, C:\Windows\System32\Tasks\Windows Update Check - 0x0E7302EC, , [b7c7cf20700bfe38ccca020fe122847c], Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	22.09.2014, 09:05	7
	Пофиксите в HijackThis следующую строчку (утилиту запускать правой кнопкой от имени Администратора!): Код O4 - HKCU\..\Run: [CreativeAudio] "C:\ProgramData\CreativeAudio\bjrwzmzis.exe" В остальном - порядок. Что с проблемой? 0