Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.80/5: Рейтинг темы: голосов - 5, средняя оценка - 4.80
0 / 0 / 0
Регистрация: 22.12.2016
Сообщений: 77
1

Подозрительные файлы на компьютере

29.04.2018, 17:30. Просмотров 847. Ответов 5
Метки нет (Все метки)

На этом компьютере я заметил подозрительные файлы, которые могут быть вирусами. Так-то никаких симптомов нет, это скорее простая профилактическая проверка. Спасибо.

CollectionLog-2018.04.29-17.26.zip
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
29.04.2018, 17:30
Ответы с готовыми решениями:

Подозрительные файлы в автозагрузке
Появились подозрительные файлы в автозагрузке. Есть не которые проблемы с загрузкой некоторых ...

Нехватка памяти. Подозрительные файлы
Здравствуйте. В последнее время системе, вдруг, стало не хватать оперативной памяти. Просит...

Создаются подозрительные исполняемые файлы
Здравствуйте, прошу помощи с лечением порядком надоевшего вируса, подхваченного после неосторожного...

В автозагрузку просятся подозрительные файлы
программа 2IPStatGurd постоянно ловит какие то объекты автозагрузки:...

5
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
01.05.2018, 19:39 2
Здравствуйте!

Создайте точку восстановления системы.

Внимание! Рекомендации написаны специально для пользователя Содрагон. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    {Исправление в службах в реестре, значения ImagePath.
    Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
    При публикации скрипта данный комментарий и ссылка на SafeZone.cc обязателена. }
    var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
     DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;  
     ImagePathStr, RootStr, SubRootStr, LangID: string;
     AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
     FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; 
     RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;
    
    procedure CheckAndRestoreSection(Root: String);
    begin
     Inc(AllRoots);
     if RegKeyExistsEx('HKLM', Root) then
       RegKeyResetSecurity('HKLM', Root)
     else
      begin
        Inc(RootsRestored);
        RegKeyCreate('HKLM', Root);
        AddToLog(RegSectMsg + Root + RestMsg);
       end;
    end;
    
    procedure CheckAndRestoreSubSection;
    begin
      CheckAndRestoreSection(SubRootStr);
    end;
    
    procedure RestoredMsg(Root, Param: String);
    begin
      AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
      Inc(KeysRestored);
    end;
    
    procedure FixedMsg(Root, Param: String);
    begin
      AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
      Inc(KeysFixed);
    end;
    
    procedure RestoreStrParam(Root, Param, Value: String);
    begin
      RegKeyStrParamWrite('HKLM', Root, Param, Value);
      RestoredMsg(Root, Param);
    end;
    
    procedure CheckAndRestoreStrParam(Root, Param, Value: String);
    begin
      Inc(AllKeys);
      if not RegKeyParamExists('HKLM', Root, Param) then
        RestoreStrParam(Root, Param, Value);
    end;
    
    procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', Root, Param) then 
      begin
        RegKeyIntParamWrite('HKLM', Root, Param, Value);
        RestoredMsg(Root, Param);
      end;
    end;
    
    procedure CheckAndRestoreMultiSZParam(Param, Value: String);
    begin
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, Param) then
      begin
        ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
        RestoredMsg(RootStr, Param);
      end;
    end;
    
    // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
    procedure ImagePathFix(Node, Srv: String);
    var RegStr: String;
    begin
     RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
     if RegKeyExistsEx('HKLM', RegStr) then
      begin
        Inc(AllKeys);
        RegKeyResetSecurity('HKLM', RegStr);
        RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
        FixedMsg(RegStr, 'ImagePath');
      end;
    end;
    
    { Выполнение исправление всех ключей в ветках -
       'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
    procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
    var FileServiceDll, CCSNumber: string;
         i : integer;
    begin
     if Srv = 'BITS' then
       FileServiceDll := FullPathSystem32 + 'qmgr.dll'
     else
       FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
     RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;
    
     CheckAndRestoreSection(RootStr);
    
     CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
     CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
     CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');
    
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
       RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
     else
      begin
        Dec(AllKeys);
        if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
          for i:= 0 to 999 do
           begin
             if i > 0 then
               CCSNumber := FormatFloat('ControlSet000', i)
             else
               CCSNumber := 'CurrentControlSet';
             ImagePathFix(CCSNumber, Srv);
          end;
       end;
    
     CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
     CheckAndRestoreIntParam(RootStr, 'Start', 2);
     CheckAndRestoreIntParam(RootStr, 'Type', 32);
    
     if Srv = 'BITS' then
      begin
        CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
        CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
      end;
    
     SubRootStr:= RootStr + '\Enum';
     CheckAndRestoreSubSection;
    
     CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
     CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
     CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);
    
     SubRootStr := RootStr + '\Security';
     CheckAndRestoreSubSection;
    
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
      begin
        RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
        RestoredMsg(SubRootStr, 'Security');
      end;
    
     SubRootStr:= RootStr + '\Parameters';
     CheckAndRestoreSubSection;
    
     Inc(AllKeys);
     if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
      begin
        RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
        RestoredMsg(SubRootStr, 'ServiceDll');
      end
     else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
      begin
        RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
        FixedMsg(SubRootStr, 'ServiceDll');
      end
    end;
    
    { Главное выполнение }
    begin
     ClearLog;
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
     ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
     LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); 
     if LangID = '0419' then
      begin
        DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
        DispayNameTextWuauServ := 'Автоматическое обновление';
        DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
        DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
        AddToLog('Операционная система - русская');
        FinishMsg := '–––– Восстановление завершено ––––';
        RestoreMsg := 'Восстановлено разделов\параметров: ';
        FixMsg := 'Исправлено параметров: ';
        CheckMsg := 'Проверено разделов\параметров: ';
        RegSectMsg := 'Раздел реестра HKLM\';
        ParamMsg := 'Параметр ';
        ParamValueMsg := 'Значение параметра ';
        InRegSectMsg := ' в разделе реестра HKLM\';
        CorrectMsg := ' исправлено на оригинальное.';
        RestMsg := 'восстановлен.';
      end
     else if LangID = '0409' then
      begin
        DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
        DispayNameTextWuauServ := 'Automatic Updates'; 
        DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
        DispayNameTextBITS := 'Background Intelligent Transfer Service';
        AddToLog('Operation system - english');
        FinishMsg := '–––– Restoration finished ––––';
        RestoreMsg := 'Sections\parameters restored: ';
        FixMsg := 'Parameters corrected: ';
        CheckMsg := 'Sections\parameters checked: ';
        RegSectMsg := 'Registry section HKLM\';
        ParamMsg := 'Parameter ';
        ParamValueMsg := 'Value of parameter ';
        InRegSectMsg := ' in registry section HKLM\';
        CorrectMsg := ' corrected on original.';
        RestMsg := ' restored.';
      end;
     AddToLog('');
    
    { Определение папки X:\Windows\System32\ }
     NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
     ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
     Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
     FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
     
     AllRoots := 0;
     AllKeys := 0;
     RootsRestored := 0;
     KeysRestored := 0;
     KeysFixed := 0;
    
     CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
     CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');
    
     AddToLog('');
     AddToLog(FinishMsg);
     AddToLog('');
     AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
     AddToLog(FixMsg + IntToStr(KeysFixed));
     AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
     SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
    RebootWindows(false);
    end.
    Компьютер перезагрузится.



  2. После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.


  3. Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
1
0 / 0 / 0
Регистрация: 22.12.2016
Сообщений: 77
04.05.2018, 15:43  [ТС] 3
При нажатии на ОК с зажатым Shift выскакивает новое окно браузера с выделенными в виде ссылки словами ВЫБЕРИТЕ ФАЙЛ ДЛЯ ОТПРАВКИ, однако при нажатии на них ничего не происходит. Извините, если что не так сделал, прикрепляю оба файла в следующем сообщении.

Correct_wuauserv&BITS.log

CollectionLog-2018.05.04-15.38.zip
0
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
04.05.2018, 15:47 4
Повреждения исправлены, больше в логах ничего плохого не видно.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
1
0 / 0 / 0
Регистрация: 22.12.2016
Сообщений: 77
06.05.2018, 13:01  [ТС] 5
SecurityCheck.txt
0
Вирусоборец
15671 / 13059 / 2289
Регистрация: 08.10.2012
Сообщений: 52,958
07.05.2018, 09:20 6
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-08-04 18:05:53
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба остановлена
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления


Рекомендации после удаления вредоносного ПО
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
07.05.2018, 09:20

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

После удаления червя win32.hllw.gavir.ini появились подозрительные файлы и папки
Ребята подскажите пожалуйста как бороться с этой заразой? Нечайно нажал на рекламу открылась...

Есть ли смысл проверять подозрительные файлы .exe на вирус?
Здравствуйте. Каждый раз, скачивая подозрительный файл задаюсь этим вопросом.

Подключение через прокси, подозрительные файлы, папка Сеть
подскажите пожалйуста, у меня Vista, я иногда подключаюсь через чужой прокси, который даёт один...

Как и куда можно отправить подозрительные файлы на анализ?
Если когда-нибудь вам &quot;повезет&quot; поймать какого-нибудь паразита, который еще не детектируется вашим...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.