троян в компьютере

Sandor · Отправлено: **11:39, 11-09-2014** | #2

Здравствуйте!

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

etranslator
Greener Web

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\launcher.bat','');
 QuarantineFile('F:\OperaLauncher.bat','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Program Files\Google\chrome.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\launcher.bat', '32');
 DeleteFile('F:\OperaLauncher.bat', '32');
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','chrome5');
 RegKeyStrParamWrite('HKCU','Software\Microsoft\Windows\CurrentVersion\Internet Settings','ProxyServer','');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

3. После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

5. Пересоздайте ярлыки запуска всех браузеров.

simsa · Отправлено: **12:42, 11-09-2014** | #3

вот лог по 4 пункту. что делать дальше?

Sandor · Отправлено: **12:51, 11-09-2014** | #4

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

В первом сообщении вы выложили логи, сделанные по старым правилам. Скачайте Autologger и повторите логи по правилам. Для повторной диагностики запустите Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

simsa · Отправлено: **14:56, 11-09-2014** | #5

вот логи которые сделаны по правилам посмотрите пожалуйста

simsa · Отправлено: **14:59, 11-09-2014** | #6

еще раз

Sandor · Отправлено: **15:04, 11-09-2014** | #7

1. Файл

Цитата:

CheckBrowserLnk.log

из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

2. Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!):

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14167;https=127.0.0.1:14167
O24 - Desktop Component 0: (no name) - (no file)
O24 - Desktop Component 1: (no name) - (no file)

3. Покажите лог Hijackthis.

simsa · Отправлено: **15:45, 11-09-2014** | #8

первый пункт не выполнен. форум закрыт на обслуживание.2 и 3 пункт сделаны.

Sandor · Отправлено: **16:16, 11-09-2014** | #9

Цитата simsa:

форум закрыт на обслуживание »

Тогда пройдитесь по свойствам ярлыков из лога и удалите приписку. При необходимости снимите галочку Только чтение с вкладки Общая.

Что с проблемой?

simsa · Отправлено: **16:31, 11-09-2014** | #10

Тогда пройдитесь по свойствам ярлыков из лога и удалите приписку. это что такое?При необходимости снимите галочку Только чтение с вкладки Общая.и это где?

скачал браузер опера выключил все расширения проблемы пока больше не вижу но программа etranslator не удаляется.