Подцепил вирус(создаёт файлы .scr и прячет папки)

@Xellb · Регистрация: 25.01.2018

Author24 — интернет-сервис помощи студентам

Приветствую сообщество!

Проверил компьютер с помощью CureIT и Anti-Malware.

Всё вроде по инструкции
Логи прикреплены

@Sandor · 25.01.2018, 12:46

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Xellb. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\sysadmin\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe');
 QuarantineFile('c:\users\sysadmin\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe', '');
 QuarantineFile('C:\Users\Sysadmin\Documents\Games.scr', '');
 DeleteFile('c:\users\sysadmin\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe', '32');
 DeleteFile('C:\Users\Sysadmin\Documents\Games.scr', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Control Panel\Desktop', 'scrnsave.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Xellb · 25.01.2018, 13:35 **[ТС]**

Прикрепляю новые логи

@Sandor · 25.01.2018, 13:56

Что с проблемой?

@Xellb · 25.01.2018, 14:01 **[ТС]**

Вирус остался, т.к. присутствуют файлы вида *.scr, а так же скрытые папки

@Sandor · 25.01.2018, 14:08

Сообщение от Xellb

присутствуют файлы вида *.scr

Какие именно?

Сообщение от Xellb

а так же скрытые папки

Тот же вопрос - какие?

@Xellb · 25.01.2018, 14:16 **[ТС]**

одну папку делает скрытой, в этом же каталоге создает файл *.scr с именем скрытой папки

@Sandor · 25.01.2018, 14:20

На каком диске это происходит? Удалить эту папку можете? Если да, после удаления вручную, она появляется заново?

@Xellb · 25.01.2018, 14:25 **[ТС]**

диск С - частично
диск D - в каждой папке, в которой есть папка. если внутри папки нет папки - не скрывает папку и не создает *.scr. В противном случае(есть папка) - папка оказывается скрыта и создан файл *.scr

@Sandor · 25.01.2018, 14:43

Сообщение от Sandor

после удаления вручную, она появляется заново?

Не ответили.

@Xellb · 25.01.2018, 16:28 **[ТС]**

Да, появляется заного. Также вновь создался файл, который был удален через скрипт выше "smss.exe"

@Sandor · 25.01.2018, 16:29

Подготовьте лог uVS.

@Xellb · 26.01.2018, 13:11 **[ТС]**

Прикрепил логи

@Sandor · 26.01.2018, 13:43

Radmin-ом пользуетесь? Если да, на всякий случай тоже смените пароль.

Выполните скрипт в UVS.

Код

;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
zoo %SystemDrive%\USERS\SYSADMIN\DOCUMENTS\GAMES.SCR
delall %SystemDrive%\USERS\SYSADMIN\DOCUMENTS\GAMES.SCR
zoo %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON
delall %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON
apply

zoo %SystemDrive%\USERS\SYSADMIN\DOWNLOADS\AVZ4\QUARANTINE\2018-01-25\AVZ00002.DTA
bl BEEAC7940965ADE773D01C4D78038804 142336
addsgn 9252770ADE6AC1CC0B541A4E334BDFFACEB06C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 BackDoor.WebDor 7

zoo %SystemDrive%\USERS\SYSADMIN\DOCUMENTS\MSFILES\BCKP.TRJ
chklst
delvir

regt 3
regt 28
regt 29
czoo

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Соберите и прикрепите контрольный лог uVS.

@Xellb · 26.01.2018, 14:36 **[ТС]**

прикрепляю контрольный лог

@Sandor · 26.01.2018, 14:40

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

@Xellb · 26.01.2018, 15:26 **[ТС]**

по поводу руководства - пишет "запрашиваемый ресурс не найден"

прикрепляю отчет

@Sandor · 26.01.2018, 15:53

Если уже закрыли, повторите сканирование и удалите все найденное (поместите в карантин).

@Xellb · 26.01.2018, 16:19 **[ТС]**

Повторил и удалил. Нужны какие либо еще действия?

@Sandor · 26.01.2018, 16:23

Если проблема сохраняется, повторите CollectionLog (соберите свежий).

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	25.01.2018, 12:46	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Xellb. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\sysadmin\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe'); QuarantineFile('c:\users\sysadmin\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe', ''); QuarantineFile('C:\Users\Sysadmin\Documents\Games.scr', ''); DeleteFile('c:\users\sysadmin\appdata\roaming\microsoft\windows\start menu\programs\startup\smss.exe', '32'); DeleteFile('C:\Users\Sysadmin\Documents\Games.scr', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Control Panel\Desktop', 'scrnsave.exe'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	25.01.2018, 13:56	4
	Что с проблемой? 0

@Xellb 0 / 0 / 0 Регистрация: 25.01.2018 Сообщений: 12
	25.01.2018, 14:01 [ТС]	5
	Вирус остался, т.к. присутствуют файлы вида *.scr, а так же скрытые папки 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	25.01.2018, 14:08	6
	Сообщение от Xellb присутствуют файлы вида .scr Какие именно? Сообщение от Xellb* а так же скрытые папки Тот же вопрос - какие? 0

@Xellb 0 / 0 / 0 Регистрация: 25.01.2018 Сообщений: 12
	25.01.2018, 14:16 [ТС]	7
	одну папку делает скрытой, в этом же каталоге создает файл *.scr с именем скрытой папки 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	25.01.2018, 14:20	8
	На каком диске это происходит? Удалить эту папку можете? Если да, после удаления вручную, она появляется заново? 0

@Xellb 0 / 0 / 0 Регистрация: 25.01.2018 Сообщений: 12
	25.01.2018, 14:25 [ТС]	9
	диск С - частично диск D - в каждой папке, в которой есть папка. если внутри папки нет папки - не скрывает папку и не создает .scr. В противном случае(есть папка) - папка оказывается скрыта и создан файл .scr 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	25.01.2018, 14:43	10
	Сообщение от Sandor после удаления вручную, она появляется заново? Не ответили. 0

@Xellb 0 / 0 / 0 Регистрация: 25.01.2018 Сообщений: 12
	25.01.2018, 16:28 [ТС]	11
	Да, появляется заного. Также вновь создался файл, который был удален через скрипт выше "smss.exe" 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	25.01.2018, 16:29	12
	Подготовьте лог uVS. 0

	26.01.2018, 16:23

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	26.01.2018, 13:43	14
	Radmin-ом пользуетесь? Если да, на всякий случай тоже смените пароль. Выполните скрипт в UVS. Код ;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- zoo %SystemDrive%\USERS\SYSADMIN\DOCUMENTS\GAMES.SCR delall %SystemDrive%\USERS\SYSADMIN\DOCUMENTS\GAMES.SCR zoo %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON delall %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON apply zoo %SystemDrive%\USERS\SYSADMIN\DOWNLOADS\AVZ4\QUARANTINE\2018-01-25\AVZ00002.DTA bl BEEAC7940965ADE773D01C4D78038804 142336 addsgn 9252770ADE6AC1CC0B541A4E334BDFFACEB06C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 BackDoor.WebDor 7 zoo %SystemDrive%\USERS\SYSADMIN\DOCUMENTS\MSFILES\BCKP.TRJ chklst delvir regt 3 regt 28 regt 29 czoo В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перезагрузите компьютер вручную. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Соберите и прикрепите контрольный лог uVS. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	26.01.2018, 14:40	16
	Скачайте Malwarebytes' Anti-Malware. Установите. На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию". На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки. Самостоятельно ничего не удаляйте!!! Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	26.01.2018, 15:53	18
	Если уже закрыли, повторите сканирование и удалите все найденное (поместите в карантин). 0

@Xellb 0 / 0 / 0 Регистрация: 25.01.2018 Сообщений: 12
	26.01.2018, 16:19 [ТС]	19
	Повторил и удалил. Нужны какие либо еще действия? 0