Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   троян в компьютере (http://forum.oszone.net/showthread.php?t=287788)

simsa 11-09-2014 11:16 2401227
троян в компьютере
 
добрый день. у меня тормозит компьютер очень сильно. прикрепляю логи посмотрите пожалуйста что можно сделать.

Sandor 11-09-2014 11:39 2401241
Здравствуйте!

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
etranslator
Greener Web
2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Program Files\Google\chrome.bat','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\launcher.bat','');
 QuarantineFile('F:\OperaLauncher.bat','');
 QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
 DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
 DeleteFile('C:\Program Files\Google\chrome.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\launcher.bat', '32');
 DeleteFile('F:\OperaLauncher.bat', '32');
 DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','chrome5');
 RegKeyStrParamWrite('HKCU','Software\Microsoft\Windows\CurrentVersion\Internet Settings','ProxyServer','');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится.

3. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

5. Пересоздайте ярлыки запуска всех браузеров.

simsa 11-09-2014 12:42 2401269
вот лог по 4 пункту. что делать дальше?

Sandor 11-09-2014 12:51 2401274
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

В первом сообщении вы выложили логи, сделанные по старым правилам. Скачайте Autologger и повторите логи по правилам. Для повторной диагностики запустите Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

simsa 11-09-2014 14:56 2401367
вот логи которые сделаны по правилам посмотрите пожалуйста

simsa 11-09-2014 14:59 2401370
еще раз

Sandor 11-09-2014 15:04 2401375
1. Файл
Цитата:
CheckBrowserLnk.log
из папки
Цитата:
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

2. Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!):
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:14167;https=127.0.0.1:14167
O24 - Desktop Component 0: (no name) - (no file)
O24 - Desktop Component 1: (no name) - (no file)
3. Покажите лог Hijackthis.

simsa 11-09-2014 15:45 2401409
первый пункт не выполнен. форум закрыт на обслуживание.2 и 3 пункт сделаны.

Sandor 11-09-2014 16:16 2401433
Цитата:
Цитата simsa
форум закрыт на обслуживание »
Тогда пройдитесь по свойствам ярлыков из лога и удалите приписку. При необходимости снимите галочку Только чтение с вкладки Общая.

Что с проблемой?

simsa 11-09-2014 16:31 2401441
Тогда пройдитесь по свойствам ярлыков из лога и удалите приписку. это что такое?При необходимости снимите галочку Только чтение с вкладки Общая.и это где?

скачал браузер опера выключил все расширения проблемы пока больше не вижу но программа etranslator не удаляется.

Sandor 11-09-2014 16:44 2401450
Сделайте дополнительно:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

simsa 11-09-2014 16:46 2401454
форум открыт могу сделать 1 пункт предыдущего сообщения.

Sandor 11-09-2014 16:59 2401460
Делайте. uVS тоже сделайте.

simsa 15-09-2014 11:26 2403018
исправленно

simsa 15-09-2014 11:30 2403019
вот лог uVS

simsa 15-09-2014 11:33 2403021
1. Файл
Цитата:
CheckBrowserLnk.log
из папки
Цитата:
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.это тоже сделано

simsa 15-09-2014 12:06 2403027
что дальше делать?

Sandor 15-09-2014 12:17 2403031
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.83 BETA 30 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1

    zoo %SystemDrive%\DOCUMENTS AND SETTINGS\RCDK\APPLICATION DATA\10447\A13996.EXE
    addsgn 1A9DCB9A5583C58CF42B627DA804DEC9E946303A4536942CA1CF4EF074D2F49E577EF097B411B941AF40F189C7ECC9FA7DDF9A7CD6E738F06577A45BC2EFEDCF 8 not-a-virus:HEUR:AdWare.Win32.Amonetize

    delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
    zoo D:\PROGRAM FILES\DIARY.BAT
    delall D:\PROGRAM FILES\DIARY.BAT
    del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\HELP.BAT
    delref HTTP://WEBALTA.RU
    delref HTTP://WEBALTA.RU/POISK
    delall %SystemDrive%\IEXPLORE.BAT
    delall %SystemDrive%\LAUNCHER.BAT
    zoo D:\PROGRAM FILES\LAYOUTS.BAT
    delall D:\PROGRAM FILES\LAYOUTS.BAT
    delref HTTP:\\ONETWO3.RU
    zoo D:\PROGRAM FILES\PS.BAT
    zoo D:\PROGRAM FILES\PUNTO.BAT
    zoo D:\PROGRAM FILES\UNINSTALL.BAT
    chklst
    delvir
    regt 28
    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

Повторите лог uVS.

simsa 15-09-2014 12:33 2403039
а как скопировать в буфер обмена где он находится?

Sandor 15-09-2014 12:37 2403040
Пройдите по ссылке из п.8, там есть видео-ролик.

simsa 15-09-2014 15:43 2403103
вот повторный лог uVS

simsa 15-09-2014 15:58 2403111
лог готов посмотрите пожалуйста

Sandor 15-09-2014 16:37 2403133
Один файл остался:
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.83 BETA 30 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1

    delall D:\PROGRAM FILES\WELCOMETOPUNTO.BAT
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  6. Подробнее читайте в этом руководстве.

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
TuneUp Utilities 2009
Что с проблемой?

simsa 16-09-2014 10:09 2403389
добрый день все сделано

etranslator Через Панель управления - Удаление программ не удаляется. что еще показать?

Sandor 16-09-2014 10:20 2403393
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFileF('C:\Documents and Settings\RCDK\Application Data\eTranslator','*', true,'',0 ,0);
 DeleteFileMask('C:\Documents and Settings\RCDK\Application Data\eTranslator', '*', true);
 DeleteDirectory('C:\Documents and Settings\RCDK\Application Data\eTranslator');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.


Время: 11:40.

Время: 11:40.
© OSzone.net 2001-