Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 13.02.2016, 12:55   #1 (ссылка)
Новичок
 
Аватар для Hapuk
 
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
По умолчанию Подозрение на вирус

Добрый день. Купили ноут(не я))), решили скачать уторрент. И начали появляться проги и ярлыки. Посмотрите логи.

ТЫНЦ

ПЫСЫ. АВЗ запускаться не хочет
Hapuk вне форума  
Старый 13.02.2016, 15:13   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

перезалейте файл образа автозапуска на http//exfile.ru
safety вне форума  
Старый 13.02.2016, 16:09   #3 (ссылка)
Новичок
 
Аватар для Hapuk
 
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
По умолчанию

safety, готово http://exfile.ru/479746
Hapuk вне форума  
Старый 13.02.2016, 16:48   #4 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\8CD3B682-1455355835-F045-89C5-F24FD1C44C87\KNSJ7ACF.TMP
addsgn 1A180B9A5583C58CF42B627DA804DEC9E94677BAADFEE8B986C3C5BC24F2FB4DA0D6C2D3FE21D3BEEA83849F4663A6FF7DDFE872D87E942C2D77A4A263222273 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\SPACESOUNDPRO.EXE
addsgn 1A22EA9A5583C58CF42B95BC143F4A0550880F3560AF817885483AE9DB3AFA09374146974A141E342380F18CAE221CFA7DB5FE2CDCEA58EF8D77A4A401ED08F0 8 Win32/BubbleSound

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO

deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref D:\DOCUMENTS\SYSTEMFILE.EXE

delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU

; AnySend
exec  C:\Users\Джалал\AppData\Roaming\ASPackage\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 14.02.2016, 12:09   #5 (ссылка)
Новичок
 
Аватар для Hapuk
 
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
По умолчанию

вот новый лог увс http://exfile.ru/479753
Hapuk вне форума  
Старый 14.02.2016, 12:17   #6 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

новый образ не нужен пока.

далее,
выполните быстрое сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 14.02.2016, 12:25   #7 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

safety

Здесь как раз был нужен новый образ.


1) Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код:
     


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE
del %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE

deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\AMIGO\APPLICATION

delall %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\TEMP\NSU7A09.TMP\AD283761-FB8F-4C05-9482-B5F41C585F70.EXE

delall %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\TEMP\NSV9590.TMP\SYSTEM.DLL

deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MEDIAGET2

delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE

delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE

delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\HOSTINSTALLER\1015027577_MONSTER.EXE
del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\HOSTINSTALLER\1015027577_MONSTER.EXE

delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL

delref HTTP://MAIL.RU/CNT/10445?GP=801050
delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B5502EB4F-9E6D-4471-BC01-632CD027E0E8%7D&GP=801550
deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\APPLICATION\48.0.2564.82

delref HTTP://ASUS15.MSN.COM/?PC=ASTE
deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\PANEL

deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775

deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\STARTBUTTON

delref HTTP://LNK.DO/Y2FBO
delref HTTP://LNK.DO/PRNNU
delref HTTP://LNK.DO/KRCUH
;-------------------------------------------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL
delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ECLJAPGCEBEGHDGFJACLDOMHCNLEMKMK\0.0.0.7_0\BLACOUNT
delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ICEJAKKHEHFPPNGIIENINFFOKMLKHPIB\138.5.12.102\BOY UP
delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ICLEKBBJGPEHABPIDKPGNNJMOHLDMEDI\99.1\FAST VK OPEN
delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DJNFIKHIMIJFCOAOBLGANHLLMDJEJGG\1.4.4.79\INSTANT CHROME
deldir %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\PANEL
deldir %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\STARTBUTTON
deldir %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\APPLICATION\48.0.2564.82
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\MACROMED\FLASH PLAYER\F47E7FF6-3ABE-46D1-ABBA-3B1F9346B622\B8AB543B-EE16-4F15-ACD8-A87BDF63C6D7.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\MACROMED\FLASH PLAYER\F47E7FF6-3ABE-46D1-ABBA-3B1F9346B622\B8AB543B-EE16-4F15-ACD8-A87BDF63C6D7.EXE
delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\ZETAGAMESVIEWER\ZETAVIEWER.EXE
czoo
uidel  C:\Program Files (x86)\Kinoroom Browser\Uninstall.exe
uidel  C:\Program Files (x86)\VK OK AdBlock\uninstall.exe
uidel C:\Users\Джалал\AppData\Local\MediaGet2\mediaget-uninstaller.exe
uidel  "C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallDisplay.exe" uninstall_start
uidel C:\Users\Джалал\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
deltmp
delnfr
restart
-------------

2) Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту sendvirus2011@gmail.com ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected


3) Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://pchelpforum.ru/showpost.php?p=206554&postcount=6

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Отчёт залейте на: http://rghost.ru или http://exfile.ru
RP55.RP55 вне форума  
Старый 14.02.2016, 12:26   #8 (ссылка)
Новичок
 
Аватар для Hapuk
 
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
По умолчанию

safety, это образ после мбам"а всякая фигня осталась((
Hapuk вне форума  
Ads
Старый 14.02.2016, 12:33   #9 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

Hapuk

Выполните скрипт и инструкцию.
RP55.RP55 вне форума  
Старый 14.02.2016, 13:13   #10 (ссылка)
Новичок
 
Аватар для Hapuk
 
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
По умолчанию

http://exfile.ru/479755
Hapuk вне форума  
Старый 14.02.2016, 13:18   #11 (ссылка)
Специалист
 
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
По умолчанию

1) В Malwarebytes - Чисто.

2) Далее: Выполните лог в АdwСleaner
http://pchelpforum.ru/f26/t24207/2/#post1110672
после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html
RP55.RP55 вне форума  
Старый 14.02.2016, 13:45   #12 (ссылка)
Новичок
 
Аватар для Hapuk
 
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
По умолчанию

http://exfile.ru/479756
Hapuk вне форума  
Старый 14.02.2016, 14:58   #13 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Цитата:
Сообщение от Hapuk Посмотреть сообщение
safety, это образ после мбам"а всякая фигня осталась((
а образ мбам почему не выложили сразу после первого скрипта?
safety вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Подозрение на вирус Shadowmaster Безопасность 16 11.10.2013 12:31
подозрение на вирус Манаська Безопасность 3 03.04.2012 19:03
подозрение на вирус Jeneka Безопасность 8 04.11.2011 19:30
Подозрение на вирус Ветина Безопасность 19 22.01.2011 16:48
Подозрение на вирус Ragnazar Безопасность 48 19.01.2011 12:58


Текущее время: 05:03. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.