Решена Combofix (лог)

[smile]

Добрый день!
Уже который день борюсь с компьютером -не могу понять что с ним. Что только не пробывал. На скрепке лог после использования Combofix -очень хотелось бы услышать от вас комментарии. Заранее спасибо всем кто откликнется и поможет. С уважением Ден

 

[Ботан]

Приветствую smile, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[smile]

Приветствую smile, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

Уточните пожалуйста лога Combofix не достаточно? Необходимо прикрепить 4 лога разных антивирусных программ?

 

[akok]

Combofix используется когда он действительно нужен. В остальных случаях вреда больше.

Готовьте необходимый комплект логов.

 

[smile]

Combofix используется когда он действительно нужен. В остальных случаях вреда больше.

Готовьте необходимый комплект логов.

Следуя вашим рекомендациям -прикрепляю необходимые логи.

 

[smile]

Логи во вложении

Очень жду ваших комментарий

 

[Sandor]

борюсь с компьютером -не могу понять что с ним.

Можете подробнее описать?

 

[smile]

Можете подробнее описать?

Жутко тормозит. Программы спорят друг с другом -некоторые работают некорректно.

 

[Sandor]

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Повторите логи AVZ.

 

[regist]

Ammyy Admin, TeamViewer - сами устанавливали ?

 

[smile]

Повторите логи AVZ.[/QUOTE

На скрепке обновленные логи AVZ

 

[smile]

Ammyy Admin, TeamViewer - сами устанавливали ?

TeamViewer -да . А вот Ammyy -не понимаю что такое

 

[smile]

Логи AVZ (обновленные)

На скрепке обновленные логи AVZ

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 StopService('Winwe38');
 StopService('Winrw84');
 StopService('Winot38');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winot38.sys','');
 QuarantineFile('H:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winot38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwe38.sys');
 DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
 DeleteService('Winwe38');
 DeleteService('Winrw84');
 DeleteService('Winot38');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Пофиксите в HijackThis (если останутся) следующие строчки:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)

Повторите логи AVZ и RSIT с подключенным интернетом.

Покажите лог Combofix, который вы запускали до обращения сюда.

Добавлено через 42 секунды
Файл H:\autorun.inf Вам знаком? Откройте его блокнотом и покажите содержимое.

 

[smile]

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы

Отправил!

Добавлено через 34 секунды

Файл H:\autorun.inf Вам знаком? Откройте его блокнотом и покажите содержимое.

[autorun]
open="start.exe"
label=Infocrypt HWDSSL
action=Run Infocrypt HWDSSL
shell\open=Run Infocrypt HWDSSL
shell\open\Command="start.exe"
UseAutoPlay=1

 

[smile]

Покажите лог Combofix, который вы запускали до обращения сюда.

На скрепке один единственный лог -которй я запускал сегодня .

 

[smile]

Повторите логи AVZ и RSIT с подключенным интернетом.

На скрепке

 

[smile]

Скрипты выполнили? Повторные логи делали?

Я все отправил -предедущее сообщение.

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 StopService('Winbh84');
 StopService('Winhm73');
 StopService('Winkp38');
 StopService('Winmr16');
 StopService('Winpu51');
 StopService('Winvb51');
 StopService('Winvb62');
 StopService('Winwd38');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbh84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winkp38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpu51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd38.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbh84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhm73.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winkp38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmr16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpu51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvb62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winwd38.sys');
 DeleteService('Winbh84');
 DeleteService('Winhm73');
 DeleteService('Winkp38');
 DeleteService('Winmr16');
 DeleteService('Winpu51');
 DeleteService('Winvb51');
 DeleteService('Winvb62');
 DeleteService('Winwd38');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

 

[smile]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
StopService('Winwe38');
StopService('Winrw84');
StopService('Winot38');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwe38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw84.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winot38.sys','');
QuarantineFile('H:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\cpadvai.dll','');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrw84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe38.sys');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DeleteService('Winwe38');
DeleteService('Winrw84');
DeleteService('Winot38');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Комп не до конца перезагрузился. Застыл на этом экране (фото прилагаю)
Что делать? Помогитеееееее