Очередная проблема: вирусы!

Танечка · 03.04.2015, 18:06

К сожалению, приходится работать с чужими флешками и практически невозможно избежать заражения. Проблема: компьютер висит, открываются новые страницы, устанавливаются разные приложения. Подскажите, что делать? Прикрепляю лог uVS

DDREDD · 03.04.2015, 18:14

Сканируем
этим
https://www.freedrweb.com/download+cureit+free/
потом этим
https://www.esetnod32.ru/support/scanner/
и напоследок этим
Скачать Kaspersky Virus Removal Tool бесплатно | Лаборатория Касперского
Думаю не выживет ни одна зараза.
На работе только так и чищу клиентские машины (ну и Host еще можно будет почистить в конце)

Танечка · 03.04.2015, 18:33

спасибо, сейчас возьмусь за проверку, поняла пока вроде бы все, кроме Host, подскажите?

DDREDD · 03.04.2015, 18:42

Цитата:

Сообщение от Танечка

поняла пока вроде бы все, кроме Host, подскажите?

Я обычно это делаю с помощью утилиты AVZ запускаете её, жмете сверху "файл", выбираете пункт "восстановление системы" и ставите галочку на против пункта "очистить host" и жмете выполнить. Вот и все.

Счастье · 03.04.2015, 18:45

Заходите C:\Windows\System32\drivers\etc\hosts открываете его блокнотом.

Пример моего

Цитата:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost

Все, что ниже последнего слова localhost (если что-то есть) - будет лишнее, можно удалять.
Как-то так

Танечка · 03.04.2015, 19:05

спасибо, как пройдусь по всем шагам, так отпишусь

safety · 03.04.2015, 19:51

Ребята, учимся читать и анализировать образ автозапуска в uVS.
это не сложно.
Татьяна,
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\XTAB\PROTECTSERVICE.EXE
addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\QUICKREF_1.10.0.12\SERVICE\QRSVC.EXE
addsgn 1AC4129A5583378CF42B623A28EC1E52A043F3721BFA1F78D3904E65DBA25558D4D1C0573E5516350F90F19487FF4BF5F85AE872553197A62BF4622E4F01A1B4 8 Adware.Plugin.924 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect

zoo %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS

del %SystemDrive%\FIREFOX.BAT
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
del %SystemDrive%\IEXPLORE.BAT
addsgn 1A88939A5583338CF42BFB3A889E99702D0F0A8E8012889D85C3FE8C2CD199C2C617C3DC0EBD1CAC2B800F9BF648143928540424BD1AF32C2DFC54AA317325CB 8 Trojan.Crossrider1.24024 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\NJZYDR.EXE
delall %Sys32%\DRIVERS\QRNFD_1_10_0_9.SYS
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
addsgn 1A23939A5583338CF42BFB3A889E99702D0F0A8E80121D9E85C3FE8C2CD199B5C617C3DC0EBD71AC2B800F9BF648143928540424BD43F32C2DFC54AA317325CB 8 Trojan.Crossrider1.24024 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SYD.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\97A236CD-1427965927-5180-80D4-ECBA8695E2D1\INSSAD61.TMP
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\97A236CD-1426979965-5180-80D4-ECBA8695E2D1\JNSG4B43.TMP
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\97A236CD-1426979965-5180-80D4-ECBA8695E2D1\NSZ20B4.TMP
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]
delref %Sys32%\DRIVERS\{61BC9620-8C15-4BF6-B992-006D0996A7BB}W.SYS
del %Sys32%\DRIVERS\{61BC9620-8C15-4BF6-B992-006D0996A7BB}W.SYS

delref %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS
del %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS
REGT 27
regt 28
regt 29
; Java(TM) 6 Update 16
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe

deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\ASPACKAGE

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

DDREDD · 03.04.2015, 19:59

Цитата:

Сообщение от Счастье

Заходите C:\Windows\System32\drivers\etc\hosts открываете его блокнотом.

Или так, но с прогой проще, а то может не быть прав на изменение файла после вирусняков, надо себе права получать - в общем много телодвижений

Но это тоже вариант!!!

Танечка · 04.04.2015, 05:33

Все, после быстрой проверки курейтом мой комп повис, страницы браузера не открываются и дальше я сделать уже ничего не смогла

safety · 04.04.2015, 05:59

перегрузите систему (принудительно) и продолжаем очистку системы по сообщение 7
-----------
удалите вручную ярлыки браузеров и заново создайте их. пробуйте еще раз зупустить браузеры.

03.04.2015, 18:14	#2 (permalink)
DDREDD Member Регистрация: 15.10.2010 Сообщений: 9,817 Записей в дневнике: 1 Сказал(а) спасибо: 32 Поблагодарили 45 раз(а) в 8 сообщениях Репутация: 54920	Сканируем этим https://www.freedrweb.com/download+cureit+free/ потом этим https://www.esetnod32.ru/support/scanner/ и напоследок этим Скачать Kaspersky Virus Removal Tool бесплатно \| Лаборатория Касперского Думаю не выживет ни одна зараза. На работе только так и чищу клиентские машины (ну и Host еще можно будет почистить в конце) __________________ Там, откуда я родом, безумцы правят народом...

03.04.2015, 18:33	#3 (permalink)
Танечка Member Регистрация: 31.10.2009 Сообщений: 542 Сказал(а) спасибо: 0 Поблагодарили 1 раз в 1 сообщении Репутация: 287	спасибо, сейчас возьмусь за проверку, поняла пока вроде бы все, кроме Host, подскажите?

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

03.04.2015, 19:05	#6 (permalink)
Танечка Member Регистрация: 31.10.2009 Сообщений: 542 Сказал(а) спасибо: 0 Поблагодарили 1 раз в 1 сообщении Репутация: 287	спасибо, как пройдусь по всем шагам, так отпишусь

04.04.2015, 05:33	#9 (permalink)
Танечка Member Регистрация: 31.10.2009 Сообщений: 542 Сказал(а) спасибо: 0 Поблагодарили 1 раз в 1 сообщении Репутация: 287	Все, после быстрой проверки курейтом мой комп повис, страницы браузера не открываются и дальше я сделать уже ничего не смогла

04.04.2015, 05:59	#10 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	перегрузите систему (принудительно) и продолжаем очистку системы по сообщение 7 ----------- удалите вручную ярлыки браузеров и заново создайте их. пробуйте еще раз зупустить браузеры.