После лечения вирус возвращается

@add-speed · Регистрация: 06.02.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте уважаемые вирусоборцы, помогите почистить компьютер. При сканировании Dr.Web CureIt находит два троянца, после удаления они появляются через некоторое время, также создается запись в реестре на автостарт одного из этих троянцов, после удаления записи с реестра и перезагрузки ПК она снова там появляется. Также в папке автозагрузки создался ярлык с ссылкой на самого себя при удалении которого система ругается на то что файл занят проводником виндовс.

@thyrex · 21.11.2018, 18:11

Выполните скрипт в AVZ из папки Autologger

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\VIta\AppData\Roaming\Microsoft\Windows\adahaggj\sthwcfrc.exe','');
 QuarantineFile('C:\Users\VIta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\adahaggj.lnk','');
 DeleteFile('C:\Users\VIta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\adahaggj.lnk','64');
 DeleteFile('C:\Users\VIta\AppData\Roaming\Microsoft\Windows\adahaggj\sthwcfrc.exe','64');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1765637818');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@add-speed · 22.11.2018, 10:20 **[ТС]**

Спасибо все почистилось. Карантин отправил в форме.

@add-speed · 22.11.2018, 10:35 **[ТС]**

забыл лог прикрепить

@thyrex · 22.11.2018, 19:33

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@add-speed · 23.11.2018, 09:55 **[ТС]**

Если можно вопрос? Как понять что нужны еще действия? Или это просто чтобы почистить записи в реестре?

@thyrex · 23.11.2018, 18:03

1. Выделите следующий код:

Код

Start::
CreateRestorePoint:
HKU\S-1-5-21-1470827789-3523378260-1291882634-1000\...\Policies\Explorer: [Run] "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe"
HKU\S-1-5-21-1470827789-3523378260-1291882634-1000\...\Command Processor: "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe" <==== ATTENTION
HKU\S-1-5-21-1470827789-3523378260-1291882634-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe
HKU\S-1-5-18\...\Run: [TapiUnattend] => "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\TapiUnattend.exe"
HKU\S-1-5-18\...\Run: [vssadmin] => "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe"
HKU\S-1-5-18\...\RunOnce: [TapiUnattend] => "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\TapiUnattend.exe"
HKU\S-1-5-18\...\RunOnce: [vssadmin] => "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe"
HKU\S-1-5-18\...\Policies\Explorer: [Run] "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe"
HKU\S-1-5-18\...\Command Processor: "C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe" <==== ATTENTION
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TapiUnattend.lnk [2018-11-20]
ShortcutTarget: TapiUnattend.lnk -> C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\TapiUnattend.exe (No File)
Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vssadmin.lnk [2018-11-21]
ShortcutTarget: vssadmin.lnk -> C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe (No File)
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TapiUnattend.lnk [2018-11-20]
ShortcutTarget: TapiUnattend.lnk -> C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\TapiUnattend.exe (No File)
Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vssadmin.lnk [2018-11-21]
ShortcutTarget: vssadmin.lnk -> C:\Users\VIta\AppData\Roaming\Microsoft\Windows\dllcache\vssadmin.exe (No File)
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@add-speed · 26.11.2018, 10:03 **[ТС]**

log

@thyrex · 26.11.2018, 22:49

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

@add-speed · 27.11.2018, 09:40 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 27.11.2018 08:32:40
Path starting: C:\Users\VIta\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: VIta
VersionXML: 5.69is-21.11.2018
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 17.07.2017 15:25:41
Статус лицензии: Windows(R) 7, Professional edition Срок истечения многопользовательской активации: 231960 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Users\VIta\AppData\Local\Programs\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [111.7 Гб] Занято: [43.2 Гб] Свободно: [68.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2017-07-26 11:08:52
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4467107 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
Microsoft Office 2010 x86 v.14.0.7015.1000
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
TeamViewer 10 v.10.0.93450 Внимание! Скачать обновления
TeamViewer 10 (TeamViewer) - Служба работает
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.15.010.20056 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera Stable 56.0.3051.104 v.56.0.3051.104
Google Chrome v.70.0.3538.110
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.70.0.3538.110
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба работает
----------------------------- [ End of Log ] ------------------------------

@thyrex · 28.11.2018, 22:04

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@add-speed 0 / 0 / 0 Регистрация: 06.02.2015 Сообщений: 91
	22.11.2018, 10:20 [ТС]	3
	Спасибо все почистилось. Карантин отправил в форме. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	22.11.2018, 19:33	5
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив**) и прикрепите к сообщению. 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	26.11.2018, 22:49	9
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 1

@add-speed 0 / 0 / 0 Регистрация: 06.02.2015 Сообщений: 91
	27.11.2018, 09:40 [ТС]	10
	SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 27.11.2018 08:32:40 Path starting: C:\Users\VIta\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: VIta VersionXML: 5.69is-21.11.2018 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419) Дата установки ОС: 17.07.2017 15:25:41 Статус лицензии: Windows(R) 7, Professional edition Срок истечения многопользовательской активации: 231960 мин. Режим загрузки: Normal Браузер по умолчанию: C:\Users\VIta\AppData\Local\Programs\Opera\Launcher.exe Системный диск: C: ФС: [NTFS] Емкость: [111.7 Гб] Занято: [43.2 Гб] Свободно: [68.5 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2017-07-26 11:08:52 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB3140735 Внимание! Скачать обновления HotFix KB3138962 Внимание! Скачать обновления HotFix KB3145739 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3153171 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления HotFix KB4015546 Внимание! Скачать обновления HotFix KB4025337 Внимание! Скачать обновления HotFix KB4034679 Внимание! Скачать обновления HotFix KB4041678 Внимание! Скачать обновления HotFix KB4056894 Внимание! Скачать обновления HotFix KB4056897 Внимание! Скачать обновления HotFix KB4074587 Внимание! Скачать обновления HotFix KB4103712 Внимание! Скачать обновления HotFix KB4343899 Внимание! Скачать обновления HotFix KB4457145 Внимание! Скачать обновления HotFix KB4462923 Внимание! Скачать обновления HotFix KB4467107 Внимание! Скачать обновления ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2007 v.12.0.6612.1000 Microsoft Office 2010 x86 v.14.0.7015.1000 --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления TeamViewer 10 v.10.0.93450 Внимание! Скачать обновления TeamViewer 10 (TeamViewer) - Служба работает -------------------------------- [ Java ] --------------------------------- Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^ Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat Reader DC MUI v.15.010.20056 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Opera Stable 56.0.3051.104 v.56.0.3051.104 Google Chrome v.70.0.3538.110 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.70.0.3538.110 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Защитник Windows (WinDefend) - Служба работает ----------------------------- [ End of Log ] ------------------------------ 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	28.11.2018, 22:04	11
	Исправляйте указанное + Рекомендации после удаления вредоносного ПО 1