Решена Подозрение на вирусы на ноутбуке

Статус
В этой теме нельзя размещать новые ответы.

Razey

Опытный участник
Сообщения
729
Реакции
33
Здравствуйте!

Есть ноутбук, после запуска какого-то файла (непонятно кем (никто не признается)) система стала тормозить, выскакивать всплывающая реклама (типа Heroes of the Nordes) и т.д.. Пользователь просканировал систему MBAM'ом (было найдено около 250 вредоносов), послал все в карантин, по его словам "стало немного легче"... Логи во вложении, просьба посмотреть.
 

Вложения

  • CollectionLog-2015.08.25-20.44.zip
    80.3 KB · Просмотры: 6
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

В AVZ меню "Файл" -> "Выполнить скрипт", вставьте содержимое окна "код" ниже и нажмите "Запустить":
Код:
begin
TerminateProcessByName('c:\program files (x86)\gmsd_ru_025010067\gmsd_ru_025010067.exe');
TerminateProcessByName('c:\users\Алексей\appdata\local\kometa\application\kometa.exe');
TerminateProcessByName('c:\users\Алексей\appdata\local\kometa\kometaup.exe');
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe');
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe');
TerminateProcessByName('c:\users\Алексей\appdata\local\gmsd_ru_025010067\upgmsd_ru_025010067.exe');
QuarantineFile('c:\program files (x86)\gmsd_ru_025010067\gmsd_ru_025010067.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\kometa\application\kometa.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\kometa\kometaup.exe', '');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', '');
QuarantineFile('c:\users\Алексей\appdata\local\gmsd_ru_025010067\upgmsd_ru_025010067.exe', '');
QuarantineFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe', '');
QuarantineFile('C:\Users\Алексей\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\Updater.exe', '');
QuarantineFile('C:\Program Files\shopperz240820151333\Mitle.bat', '');
QuarantineFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\MaxDownload.exe', '');
DeleteFile('c:\program files (x86)\gmsd_ru_025010067\gmsd_ru_025010067.exe', '32');
DeleteFile('c:\users\Алексей\appdata\local\kometa\application\kometa.exe', '32');
DeleteFile('c:\users\Алексей\appdata\local\kometa\kometaup.exe', '32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', '32');
DeleteFile('c:\users\Алексей\appdata\local\gmsd_ru_025010067\upgmsd_ru_025010067.exe', '32');
DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\Application\amigo.exe', '32');
DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\Application\ok.exe', '32');
DeleteFile('C:\Users\Алексей\AppData\Local\Amigo\Application\vk.exe', '32');
DeleteFile('C:\Users\Алексей\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe', '32');
DeleteFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\Updater.exe', '32');
DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe', '32');
DeleteFile('C:\Users\Алексей\AppData\Roaming\MaxDownload\MaxDownload.exe', '32');
DeleteService('ReimageRealTimeProtector');
DeleteFileMask('C:\Users\Алексей\AppData\Roaming\MaxDownload', '*', true);
DeleteFileMask('C:\Program Files\shopperz240820151333', '*', true);
DeleteFileMask('C:\Program Files\Reimage\Reimage Repair', '*', true);
DeleteFileMask('c:\users\Алексей\appdata\local\gmsd_ru_025010067', '*', true);
DeleteDirectory('c:\users\Алексей\appdata\local\kometa');
DeleteDirectory('C:\Program Files\shopperz240820151333');
DeleteDirectory('C:\Program Files\Reimage\Reimage Repair');C:\Users\Алексей\AppData\Roaming\MaxDownload');
DeleteDirectory('c:\users\Алексей\appdata\local\gmsd_ru_025010067');
ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (Алексей)" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Reimage Reminder" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ReimageUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Teutqeug" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Обнови Софт');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MDS_Menu');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gmsd_ru_025010067');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KometaAutoLaunch_BB5F108B4A39836922D625A4EB2ED637');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'KometaLaunchPanel');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'kometaup');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'upgmsd_ru_025010067.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MaxDownload');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте его с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Спасибо! Логи во вложении. Карантин отправил. Кстати, ссылка на отправку карантина не рабочая (исправьте на будущее для других нуждающихся в лечении), а также в скрипте ошибка - взял и "сам удалил" неправильно указанную папку.
 

Вложения

  • ClearLNK-26.08.2015_21-44.log
    8.8 KB · Просмотры: 2
  • AdwCleaner[S5].txt
    7.4 KB · Просмотры: 1
Запустите повторно AdwCleaner (by Xplode) Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.

Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Сообщите, что с проблемами.
 
Проблемы вроде как (только 5 минут работаю пока) исчезли. Лог Adwcleaner'a во вложении...
 

Вложения

  • AdwCleaner[C3].txt
    8.1 KB · Просмотры: 1
AdwCleaner удалил, лог SecurityCheck by glax24 во вложении.
 

Вложения

  • SecurityCheck.txt
    11.6 KB · Просмотры: 1
Java 8 Update 40 (64-bit) v.8.0.400 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u60-windows-x64.exe)^
Java 8 Update 40 v.8.0.400 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^

Adobe Shockwave Player 11.6 v.11.6.4.634 Внимание! Скачать обновления
Adobe Reader X (10.1.15) MUI v.10.1.15 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Google Chrome v.37.0.2062.124 Внимание! Скачать обновления
Обновите этот софт, это важно для безопасности системы.
 
выполнено... По поводу продолжения - уже можно закрывать тему?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу