Решена Подозрительные файлы в профиле

Статус
В этой теме нельзя размещать новые ответы.

Guest

Постоянный участник
Сообщения
296
Реакции
375
Добрый день! В компьютере постоянно программы завершаются с ошибками, обнаружил в профиле пользователя файлы типа c.exe, 10.exe. Долго выключается ПК. Логи прикрепляю
 

Вложения

  • CollectionLog-2016.10.13-08.28.zip
    91.8 KB · Просмотры: 3
  • virus.JPG
    virus.JPG
    54.7 KB · Просмотры: 62
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\User\Application Data\winzipsoft\wzipstart.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\winzipsoft\wzipstart.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 
"при помощи формы над первым сообщением темы" а где? Отсылаю по почте
 
Новые логи
 

Вложения

  • CollectionLog-2016.10.19-11.39.zip
    91.3 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 
Новые логи
 

Вложения

  • Addition.txt
    39.6 KB · Просмотры: 1
  • FRST.txt
    50.2 KB · Просмотры: 2
  • Shortcut.txt
    97.1 KB · Просмотры: 0

Вложения

  • Безымянный.jpg
    Безымянный.jpg
    67.6 KB · Просмотры: 45
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
HKU\S-1-5-21-1229272821-602609370-1417001333-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.smaxxi.biz
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\pdf.dll => No File
CHR Plugin: (Kaspersky Anti-Virus) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jagncdcchgajhfhijbbhecadmaiegcmh\12.0.0.477_0\plugin/npVKPlugin.dll => No File
CHR Plugin: (Kaspersky Anti-Virus) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjldcfjmnllhmgjclecdnfampinooman\12.0.0.374_0\plugin/npABPlugin.dll => No File
CHR Plugin: (Kaspersky Anti-Virus) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dchlnpcodkpfdpacogkljefecpegganj\12.0.0.477_0\plugin/npUrlAdvisor.dll => No File
2010-11-30 09:42 - 2016-02-12 09:07 - 0005465 _____ () C:\Documents and Settings\User\Application Data\SmarThruOptions.xml
2012-02-13 15:13 - 2012-02-13 15:13 - 0013426 _____ () C:\Documents and Settings\User\Application Data\30.exe
2012-02-14 13:54 - 2012-02-14 13:54 - 0013350 _____ () C:\Documents and Settings\User\Application Data\C.exe
2012-02-20 10:58 - 2012-02-21 10:18 - 0013350 _____ () C:\Documents and Settings\User\Application Data\10.exe
2012-02-20 12:29 - 2012-02-20 12:29 - 0013464 _____ () C:\Documents and Settings\User\Application Data\27.exe
2012-02-20 12:29 - 2012-02-20 12:29 - 0013350 _____ () C:\Documents and Settings\User\Application Data\28.exe
C:\Documents and Settings\User\Application Data\winzipsoft
MSCONFIG\startupfolder: C:^Documents and Settings^User^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk => C:\WINDOWS\pss\ЎЎЎЎЎЎ.lnkStartup
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 
Сделал
 

Вложения

  • Fixlog.txt
    4.3 KB · Просмотры: 1
Сегодня ПК отказался грузиться, грузится только в безопасном режиме
 
Лечение к этому привести не могло.

Что происходит при попытке загрузиться в обычном режиме?
 
Загружался до фоновой картинки. Проверил диск на ошибки, восстанавливал реестр из резервных копий, результат не принесли. Заменил реестр файлами из C:\WINDOWS\repair, загрузился, потом вернул старый реестр, все заработало.
 
Спасибо! Все работает, тему можно закрыть.
 
Удалите папку c:\frst

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу