[решено] Остались ли опасные прцессы после лечения компьютера?

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Остались ли опасные прцессы после лечения компьютера?

Здравствуйте! На компьютере было обнаружено около 2-х тысяч угроз. Хотела узнать осталось ли еще что-либо зловредное после лечения системы? Логи прилагаю.

Временно отключите:
Антивирус/Файерволл

• Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\dsox5jxa.exe','');

 QuarantineFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\emi0e2re.exe','');

 DeleteFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\dsox5jxa.exe');

 DeleteFile('C:\WINDOWS\Temp\DAA167C0-E7B01318-29059650-B5F9CD98\emi0e2re.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile');

 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');

 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Цитата:

Цитата iskander-k

Нужно Пофиксить в эти строки в HiJackThis.
Код: »

Я не поняла - нужно что-то пофиксить или нет?

Цитата:

Цитата Selina

Я не поняла - нужно что-то пофиксить или нет? »

Извините - пока ничего.

iskander-k, я сделала все, что Вы посоветовали. Прилагаю очередные логи. Такое чувство, что вирусы постоянно возвращаются, т.к. я 2 раза сканировала с помощью Malwarebytes и оба раза он находил вирусы, а именно Trojan.Agent.

Цитата:

Цитата Selina

2-х тысяч угроз »

А что за угрозы и что за утилита их показала ?

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

 QuarantineFile('C:\Windows\system32\WLControl.dll','');

 QuarantineFile('F:\Игры\бесплат игры\data\1\22\26\communistMutantsFS.zip','');

QuarantineFile('C:\WINDOWS\system32\108.tmp','');

 QuarantineFile('C:\WINDOWS\system32\XDva394.sys','');

 QuarantineFile('C:\WINDOWS\system32\XDva391.sys','');

 QuarantineFile('C:\WINDOWS\system32\XDva390.sys','');

 QuarantineFile('C:\WINDOWS\system32\XDva389.sys','');

 QuarantineFile('C:\WINDOWS\system32\XDva388.sys','');

 QuarantineFile('C:\WINDOWS\system32\XDva386.sys','');

 DeleteFile('C:\WINDOWS\system32\XDva386.sys');

 DeleteFile('C:\WINDOWS\system32\XDva388.sys');

 DeleteFile('C:\WINDOWS\system32\XDva389.sys');

 DeleteFile('C:\WINDOWS\system32\XDva390.sys');

 DeleteFile('C:\WINDOWS\system32\XDva391.sys');

 DeleteFile('C:\WINDOWS\system32\XDva394.sys');

DeleteFile('C:\WINDOWS\system32\108.tmp');

 DeleteFile('F:\Игры\бесплат игры\data\1\22\26\communistMutantsFS.zip');

 DeleteFile('C:\Windows\system32\WLControl.dll');

DeleteService('XDva394');

 DeleteService('XDva391');

 DeleteService('XDva390');

 DeleteService('XDva389');

 DeleteService('XDva388');

 DeleteService('XDva386');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:



O20 - AppInit_DLLs: WLControl.dll

iskander-k, спасибо Вам большое за помощь!

Цитата:

Цитата iskander-k

А что за угрозы и что за утилита их показала ? »

Сначала я проверяла с помощью Malwarebytes и он обнаружил около тысячи вирусов, в основном Trojan.Agent. При этом были заражены им многие установочные (exe) файлы. Потом я проверяла ситему Drweb.CureIt и он обнаружил тоже около тысячи вирусов, в основном Win32.HLLP.Neshta. Думаю, что все это связано с ребенком, который играет по сети в Minecraft и постоянно скачивает для игры какие-то дополнительные программы и забывает проверять их перед установкой.

Цитата:

Цитата Selina

были заражены им многие установочные (exe) файлы »

Цитата:

Цитата Selina

в основном Win32.HLLP.Neshta »

Это указывает на то что у вас было файловое заражение и его сначала нужно лечить c LiveCD и потом уже всё остальное .

Для примера... на будущее, а можете проверить и сейчас , для контроля.

Скачайте на заведомо рабочем компьютере один из предоставленых загрузочных дисков Dr.Web LiveCD, Лаборатории Касперского, Live CD Vba32 Rescue, Avira GmbH, запишите образ на CD-диск, загрузитесь с него и проверьте компьютер из-под выбраного LiveCD. Если по каким-то причинам(маленькая скорость или лимитный интернет) у вас не будет возможности скачать загрузочные образы, можно скачать CureIT или Kaspersky Virus Removal Tool, также на здоровом компьютере и запишите на флешку, после записи, установите флешку в защиту от перезаписи и проверьте компьютер утилитами.

Цитата:

Цитата Selina

забывает проверять их перед установкой. »

под предлогом лечения закрыть ему доступ к компу на время ввиде наказания.

Если есть желание обучиться лечению компьютеров от вирусов можете пройти онлайн курсы , бесплатные. по ссылке

теперь ещё раз ..

логи повторите для контроля...

Перед тем как сделать логи еще раз проверила компьютер с помощью Kaspersky Rescue Disc. Были опять обнаружены кое-какие вирусы, в основном из карантина Dr.Web. Еще при сканировании AVZ вышло сообщение: "Файл или каталог C:\Documents and Settings\User\ntuser.tmp поврежден и не может быть прочитан. Запустите служебную программу CHKDSK". Что в данном случае делать?

Цитата:

Цитата Selina

Запустите служебную программу CHKDSK". Что в данном случае делать? »

Правой кнп мыши щелкнуть на диске С - Свойства - вкладка Сервис - кнопка Выполнить проверку- поставить галки в оба чек-бокса - Применить - и ОК - перезагрузить компьютер - ничего не делая подождать пока пройдет проверка (на синем фоне) - как закончится компьютер сам перезагрузится и запустится в рабочий режим.

если будут проблемы сообщить.