Решена Исчезает и появляется рабочий стол. И другие проблемы

Статус
В этой теме нельзя размещать новые ответы.

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
Здравствуйте .
Помогите пожалуйста решить проблему.
Стал исчезать и появляться рабочий стол.
Антивирус жалуется на кучу троянов .
таких как
JS/Agent.NNS троянская программа Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\explorer.exe

JS/TrojanDownloader.FakejQuery.B Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\explorer.exe

Обнаружен возможный ботнет Win32/Botnet.Other C:\Windows\explorer.exe

При сканирование антивирус не находит нечего.
 

Вложения

  • CollectionLog-2016.11.14-04.10.zip
    76.7 KB · Просмотры: 13

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
День добрый. Помогите пожалуйста решить эту проблему .
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   QuarantineFile('C:\Windows\System32\TiltWheelMouse.exe', '');
   QuarantineFile('WinRing0_1_2_0.sys', '');
   DeleteFile('WinRing0_1_2_0.sys', '32');
   DeleteService('WinRing0_1_2_0');
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = aab156caa86511e6be7934de1a15e905

Сделайте такой лог:
http://safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

После выполнения данного скрипта . Архив quarantine.zip пустой
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
Остальное делайте.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
- Удалите в AdwCleaner всё кроме папок от spyhunter - если программами от spyhunter не пользуетесь, то их тоже удалите(сначала через установку и удаление программ). Отчет после удаления прикрепите.
Сообщите что с проблемами.
 

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
отчет . не помогло остались проблемы
 

Вложения

  • AdwCleaner[C0].txt
    2 KB · Просмотры: 3

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
я так понял единственный способ переустановить windows
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
Malwarebytes' Anti-Malware. зависает после часа сканирования . пробовал несколько раз
всегда зависает именно на этом файле
 

Вложения

  • 3455.png
    3455.png
    28 KB · Просмотры: 27

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
зависает после часа сканирования
Зависает - это сколько без движения?
Минута,три,час?

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
Ясно,давайте попробуем UVS,инструкция выше.
 

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
uVS лог
 

Вложения

  • NATALIYA-PC_2016-11-16_18-49-05.7z
    696.9 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
Дочистим остатки аваста + вирусы:
(Внимание,не применять скрипт другим пользователям!)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.87.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.2
    v388c
    breg
    sreg
    delall %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWWEBREPIE64.DLL
    delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\11.1.0.955_0\AVAST ONLINE SECURITY
    delref %SystemDrive%\USERS\GAMESINTERNET\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\11.1.0.955_0\AVAST ONLINE SECURITY
    delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK\12.0.81_0\AVAST SAFEPRICE
    delref %SystemDrive%\USERS\GAMESINTERNET\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK\12.0.81_0\AVAST SAFEPRICE
    delall %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWWRCIEBROKER64.DLL
    dirzoo %SystemDrive%\PROGRAMDATA\MICROSOFT\PERFORMANCE\MONITOR
    ; C:\PROGRAMDATA\MICROSOFT\PERFORMANCE\MONITOR\PERFORMANCEMONITOR.DLL
    addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8CDB14C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 UDS:DangerousObject.Multi.Generic 
    
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\PERFORMANCE\MONITOR\PERFORMANCEMONITOR.DLL
    bl E386838DBC747F598074F166519E52D9 6028800
    deldir %SystemDrive%\PROGRAMDATA\MICROSOFT\PERFORMANCE\MONITOR
    
    czoo
    chklst
    delvir
    deltmp
    areg
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


Повторите свежий лог UVS , сообщите как проблемы.
 

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
архив отправил на почту.

через часик отпишусь исчезли проблемы или нет.
 

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
вроде бы все работает хорошо. большое спасибо за помощь. если есть куда отправить небольшую благодарность для проекта дайте сылочку .

все программы которые использовались можно удалять?
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,253
Реакции
6,284
большое спасибо за помощь. если есть куда отправить небольшую благодарность для проекта дайте сылочку .
http://safezone.cc/threads/zhelajuschim-podderzhat-proekt.1772/
http://safezone.cc/threads/kniga-otzyvov.23482/

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Файл - (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

MBAM деинсталлируйте.

Повторите свежий лог UVS

+

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

SergSpo

Новый пользователь
Сообщения
12
Реакции
0
лог UVS и лог SecurityCheck
 

Вложения

  • NATALIYA-PC_2016-11-18_03-00-47.7z
    699.4 KB · Просмотры: 1
  • SecurityCheck.txt
    8.8 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу