Технический форум - Очередная проблема: вирусы!

Технический форум (http://www.tehnari.ru/index.php)

- Форум по вирусам и антивирусам (http://www.tehnari.ru/forumdisplay.php?f=183)

- - Очередная проблема: вирусы! (http://www.tehnari.ru/showthread.php?t=101855)

Очередная проблема: вирусы!

К сожалению, приходится работать с чужими флешками и практически невозможно избежать заражения. Проблема: компьютер висит, открываются новые страницы, устанавливаются разные приложения. Подскажите, что делать? Прикрепляю лог uVS

Сканируем
этим
https://www.freedrweb.com/download+cureit+free/
потом этим
https://www.esetnod32.ru/support/scanner/
и напоследок этим
Скачать Kaspersky Virus Removal Tool бесплатно | Лаборатория Касперского
Думаю не выживет ни одна зараза.
На работе только так и чищу клиентские машины (ну и Host еще можно будет почистить в конце)

спасибо, сейчас возьмусь за проверку, поняла пока вроде бы все, кроме Host, подскажите?

Цитата:

Сообщение от Танечка (Сообщение 1118238)

поняла пока вроде бы все, кроме Host, подскажите?

Я обычно это делаю с помощью утилиты AVZ запускаете её, жмете сверху "файл", выбираете пункт "восстановление системы" и ставите галочку на против пункта "очистить host" и жмете выполнить. Вот и все.

Заходите C:\Windows\System32\drivers\etc\hosts открываете его блокнотом.

Пример моего

Цитата:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost

Все, что ниже последнего слова localhost (если что-то есть) - будет лишнее, можно удалять.
Как-то так

спасибо, как пройдусь по всем шагам, так отпишусь

Ребята, учимся читать и анализировать образ автозапуска в uVS.
это не сложно.
Татьяна,
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:



;uVS v3.85.14 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v385c

OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES\XTAB\PROTECTSERVICE.EXE

addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb]



zoo %SystemDrive%\PROGRAM FILES\QUICKREF_1.10.0.12\SERVICE\QRSVC.EXE

addsgn 1AC4129A5583378CF42B623A28EC1E52A043F3721BFA1F78D3904E65DBA25558D4D1C0573E5516350F90F19487FF4BF5F85AE872553197A62BF4622E4F01A1B4 8 Adware.Plugin.924 [DrWeb]



zoo %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE

addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect



zoo %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS



del %SystemDrive%\FIREFOX.BAT

del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\EXPLORER.EXE

del %SystemDrive%\IEXPLORE.BAT

addsgn 1A88939A5583338CF42BFB3A889E99702D0F0A8E8012889D85C3FE8C2CD199C2C617C3DC0EBD1CAC2B800F9BF648143928540424BD1AF32C2DFC54AA317325CB 8 Trojan.Crossrider1.24024 [DrWeb]



zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\NJZYDR.EXE

delall %Sys32%\DRIVERS\QRNFD_1_10_0_9.SYS

adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING

addsgn 1A23939A5583338CF42BFB3A889E99702D0F0A8E80121D9E85C3FE8C2CD199B5C617C3DC0EBD71AC2B800F9BF648143928540424BD43F32C2DFC54AA317325CB 8 Trojan.Crossrider1.24024 [DrWeb]



zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SYD.EXE

delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\97A236CD-1427965927-5180-80D4-ECBA8695E2D1\INSSAD61.TMP

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\97A236CD-1426979965-5180-80D4-ECBA8695E2D1\JNSG4B43.TMP

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\97A236CD-1426979965-5180-80D4-ECBA8695E2D1\NSZ20B4.TMP

;------------------------autoscript---------------------------



sreg



chklst

delvir



delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]

delref %Sys32%\DRIVERS\{61BC9620-8C15-4BF6-B992-006D0996A7BB}W.SYS

del %Sys32%\DRIVERS\{61BC9620-8C15-4BF6-B992-006D0996A7BB}W.SYS



delref %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS

del %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS

REGT 27

regt 28

regt 29

; Java(TM) 6 Update 16

exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet

; Time tasks

exec C:\ProgramData\TimeTasks\uninstall.exe



deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\ASPACKAGE



deltmp

delnfr

areg



;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

Цитата:

Сообщение от Счастье (Сообщение 1118242)

Заходите C:\Windows\System32\drivers\etc\hosts открываете его блокнотом.

Или так, но с прогой проще, а то может не быть прав на изменение файла после вирусняков, надо себе права получать - в общем много телодвижений :)
Но это тоже вариант!!!

Все, после быстрой проверки курейтом мой комп повис, страницы браузера не открываются и дальше я сделать уже ничего не смогла

перегрузите систему (принудительно) и продолжаем очистку системы по сообщение 7
-----------
удалите вручную ярлыки браузеров и заново создайте их. пробуйте еще раз зупустить браузеры.