[решено] помощь в удалении вирусов - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] помощь в удалении вирусов (http://forum.oszone.net/showthread.php?t=288991)

Kinqui

05-10-2014 19:26 2411386

помощь в удалении вирусов

Прошу помочь с удалением вирусов. Все логи сделал и выложил. Похоже на компьютере много разных паразитов.

Sandor

06-10-2014 11:25 2411650

Здравствуйте!

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

AVG SafeGuard toolbar
Zaxar Games Browser

2. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 TerminateProcessByName('c:\users\4d88~1\appdata\local\temp\3582-490\s_inst.exe');

 QuarantineFile('c:\users\4d88~1\appdata\local\temp\3582-490\s_inst.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_20107\s_inst.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_2149\s_inst.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_4396\s_inst.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_832602\s_inst.exe','');

 QuarantineFile('C:\Windows\svchost.com','');

 DeleteFile('C:\Windows\system32\Tasks\newSI_20107', '64');

 DeleteFile('C:\Windows\system32\Tasks\newSI_2149', '64');

 DeleteFile('C:\Windows\system32\Tasks\newSI_4396', '64');

 DeleteFile('C:\Windows\system32\Tasks\newSI_832602', '64');

 DeleteFile('C:\Windows\system32\Tasks\{32659369-C0A5-4186-A243-9D2197218DC0}', '64');

 DeleteFile('c:\users\4d88~1\appdata\local\temp\3582-490\s_inst.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_20107\s_inst.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_2149\s_inst.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_4396\s_inst.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_832602\s_inst.exe', '32');

 DeleteFile('C:\Windows\svchost.com', '32');

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_20107\','*', true,'',0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_2149\','*', true,'',0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_4396\','*', true,'',0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_832602\','*', true,'',0 ,0);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_20107\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_2149\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_4396\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_832602\', '*', true);

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_20107\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_2149\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_4396\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_832602\');

ExecuteSysClean;

 ExecuteRepair(1);

 ExecuteWizard('SCU',2,3,true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

 RebootWindows(true);

end.

Компьютер перезагрузится.

3. После перезагрузки полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Kinqui

06-10-2014 12:50 2411690

Вложений: 1

Все сделал, архив quarantine.zip отправил через форму. Лог AdwCleaner прикрепил.

Sandor

06-10-2014 13:24 2411707

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

2. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Kinqui

06-10-2014 14:05 2411720

Вложений: 2

все сделал, прикрепил.

Sandor

06-10-2014 14:09 2411722

Вы заражены файловым вирусом! Пожалуйста, пролечитесь как указано в этой теме: Как вылечить систему от файлового вируса?, а после этого сделайте и прикрепите новые логи.

Kinqui

06-10-2014 15:47 2411773

зашел к другу, он мне записал drweb livecd на диск, запустил диск на своем компьютере, поставил в биосе диск на 1 место, выбрал сканирование всех дисков в dr.web cureit (то бишь полное сканирование я полагаю) и начал проверять. Правильно ли я все делаю?

Sandor

06-10-2014 15:54 2411777

Да, правильно.

Kinqui

06-10-2014 17:27 2411822

Вложений: 1

Все проверил, но когда пытаюсь снова собрать логи, вылезает ошибка . Как ее исправить?

Sandor

06-10-2014 17:35 2411826

Цитата:

Цитата Kinqui

drweb livecd »

Что-то пролечилось?

Цитата:

Цитата Kinqui

Как ее исправить? »

Скачайте заново Автологер.

Kinqui

06-10-2014 17:53 2411832

Вложений: 1

Проверил, файловый вирус вроде как удалился. Для примера взял любой файл. Результат: https://www.virustotal.com/ru/file/e...2bdf/analysis/

До лечения, любой скачанный файл заражался вирусом (не помню название) и вирустотал показывал 48/54 или около того.

Автологгер качал заново, ошибку выдает ту же. Также, все программы теперь нужно запускать от имени администратора, иначе он мне выдаст список программ, которыми нужно открывать этот файл:

regist

06-10-2014 23:34 2411945

Цитата:

Цитата Kinqui

Все проверил, но когда пытаюсь снова собрать логи, вылезает ошибка . Как ее исправить? »

просто удалите старую папку куда автологер распаковался, либо запустите его с другого места.

Kinqui

08-10-2014 15:45 2412669

Цитата:

Цитата regist

просто удалите старую папку куда автологер распаковался, либо запустите его с другого места. »

Я удалял папку с автологгером, запускал его с другого места, все также ошибка выходит.

Sandor

08-10-2014 16:47 2412691

Покажите скрин ошибки.

Kinqui

08-10-2014 17:45 2412716

Цитата:

Цитата Sandor

Покажите скрин ошибки. »

http://forum.oszone.net/attachment.p...5&d=1412602010 (на первой странице)

regist

08-10-2014 18:42 2412749

Kinqui, на скрине отчётливо видно, что не может найти avz.exe и запустить его. Так что убедитесь, что он там есть и нормально запускается. Скорее всего антивирус его так пролечил, что он перестал запускаться. ;). После удаления старой папки автологер его должен перезаписать заного.

Kinqui

09-10-2014 13:44 2413044

Я вижу, что отчетливо видно. Я даже качал новый AVZ с сайта , распаковывал в папку с автологгером и переименовывал папку в название, которое дает ей автологгер - AVZ , но все равно ничего. Просто avz запускается нормально, а через автологгер нет.

regist

09-10-2014 14:07 2413059

Kinqui, давайте так.
1) Удаляйте и автологер и папку которую он создаёт.
2) Скачайте заново автологер и попробуйте запустить.
3) Если не получится, то на всякий случай перенесите в корень диска и попробуйте запустить оттуда.

А также убедитесь, что антивирус отключен и не блокирует его запуск.

зы.

Цитата:

Цитата Kinqui

Просто avz запускается нормально, »

Если написанное выше не поможет, то запустите AVZ - Файл выполнить скрипт - Загрузить - выполните скрипт "GeneralScript.txt" он будет лежать в папке с AVZ после того как автологер завершит распаковку файлов.

Kinqui

12-10-2014 00:37 2413994

Вложений: 1

Цитата:

Цитата regist

Исправил проблему путем перенесения .exe файла в папку. Все папки были созданы, но появлялась такая ошибка, которую я исправил способом выше. Сейчас прикреплю логи.

P.S Поподробней о решении проблемы. При перенесения *.exe файла на рабочий стол, он не создавал папки, которые нужны для сбора логов, соответственно, на этом все и заканчивалось. Проблема решена путем создания отдельной папки для автологгера, куда он и извлекал свой папки. Лог прикрепил.

regist

12-10-2014 14:53 2414227

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantineEx(true); 

 TerminateProcessByName('c:\program files (x86)\4game\3.2.0.228\4game-service.exe');

 QuarantineFile('C:\Users\4D88~1\AppData\Local\Temp\3582-490\uTorrent.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_20107\s_inst.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_2149\s_inst.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_4396\s_inst.exe','');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_832602\s_inst.exe','');

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_20107\','*', true,'',0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_2149\','*', true,'',0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_4396\','*', true,'',0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_832602\','*', true,'',0 ,0);

 QuarantineFile('c:\program files (x86)\anydesk\anydesk.exe','');

 QuarantineFile('c:\program files (x86)\4game\3.2.0.228\4game-servicesrv.exe','');

 QuarantineFile('c:\program files (x86)\microsoft\desktoplayer.exe','');

 QuarantineFile('c:\progra~2\notepa~1\notepa~1srv.exe','');

 QuarantineFile('c:\users\4d88~1\appdata\local\temp\3582-490\notepa~1srv.exe','');

 DeleteFile('C:\Users\4D88~1\AppData\Local\Temp\3582-490\uTorrent.exe', '32');

 DeleteFile('c:\program files (x86)\4game\3.2.0.228\4game-servicesrv.exe', '32');

 DeleteFile('c:\program files (x86)\microsoft\desktoplayer.exe', '32');

 DeleteFile('c:\progra~2\notepa~1\notepa~1srv.exe', '32');

 DeleteFile('c:\users\4d88~1\appdata\local\temp\3582-490\notepa~1srv.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_20107\s_inst.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_2149\s_inst.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_4396\s_inst.exe', '32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_832602\s_inst.exe', '32');

 DeleteFile('c:\users\4d88~1\appdata\local\temp\3582-490\notepa~1srv.exe','32');

 DeleteFile('c:\progra~2\notepa~1\notepa~1srv.exe','32');

 DeleteFile('c:\program files (x86)\microsoft\desktoplayer.exe','32');

 DeleteFile('c:\program files (x86)\4game\3.2.0.228\4game-servicesrv.exe','32');

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_20107\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_2149\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_4396\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_832602\', '*', true);

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_20107\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_2149\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_4396\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_832602\');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent');

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

ExecuteSysClean;

 ExecuteRepair(1);

 ExecuteWizard('SCU', 2, 3, true);

 ExecuteWizard('TSW',2,2,true);

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Kinqui

18-10-2014 01:14 2416896

Вложений: 1

Все сделал. Новые логи приложил.

regist

18-10-2014 19:51 2417108

Код:

begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantineEx(true); 

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_20107\', '*', true, '', 0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_2149\', '*', true, '', 0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_4396\', '*', true, '', 0 ,0);

 QuarantineFileF('C:\Users\Макс\AppData\Roaming\newSI_832602\', '*', true, '', 0 ,0);

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_20107\s_inst.exe', '');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_2149\s_inst.exe', '');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_4396\s_inst.exe', '');

 QuarantineFile('C:\Users\Макс\AppData\Roaming\newSI_832602\s_inst.exe', '');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_20107\s_inst.exe','32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_2149\s_inst.exe','32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_4396\s_inst.exe','32');

 DeleteFile('C:\Users\Макс\AppData\Roaming\newSI_832602\s_inst.exe','32');

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_20107\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_2149\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_4396\', '*', true);

 DeleteFileMask('C:\Users\Макс\AppData\Roaming\newSI_832602\', '*', true);

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_20107\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_2149\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_4396\');

 DeleteDirectory('C:\Users\Макс\AppData\Roaming\newSI_832602\');

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

---------------

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

--------------------

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
- Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
- Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
Введите sfc /scannow и нажмите Энтер.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
После того как закончится проверка в командной строке введите команду:

Код:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

---------------
+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Kinqui

19-10-2014 05:11 2417269

Вложений: 3

Файл quarantine.zip отправил по форме. Логи:

AdwCleaner;
autologger;
sfcdetails.txt;

прикрепил.

При проверке командой sfc /scannow система не выявила проблем;

Архив virusinfo_files_<имя_ПК>.zip отправил по форме.

regist

19-10-2014 13:39 2417374

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

AVZ при выполнение скрипта вы от имени админа запускали? Если нет, то выполните скрипт ещё раз запустив от имени админа.

+

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

Kinqui

19-10-2014 22:57 2417696

Цитата:

Цитата regist

AVZ при выполнение скрипта вы от имени админа запускали? Если нет, то выполните скрипт ещё раз запустив от имени админа. »

Все запускал от имени администратора. Какой именно скрипт необходимо выполнить?

Sandor

20-10-2014 11:34 2417848

Цитата:

Цитата Kinqui

Какой именно скрипт необходимо выполнить? »

Этот.

Ждем лог uVS.

Kinqui

23-10-2014 06:11 2419149

Вложений: 2

Повторил выполнение скрипта:

Sandor

23-10-2014 09:13 2419172

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.84.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v384c BREG deldir %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_832602 deldir %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_2149 deldir %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_4396 deldir %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_20107 delall %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR GAMES BROWSER.LNK delall %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXAR GAMES BROWSER\ZAXAR UPDATE.LNK zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-164805254-2159373754-2404850241-1000\$I6OPUZ0.DLL bl 91506F5F0ABF671E93D91A3E70AF3318 544 delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-164805254-2159373754-2404850241-1000\$I6OPUZ0.DLL zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-164805254-2159373754-2404850241-1000\$IT577OO.DLL bl 9F5000A5405ADE7FD11A3745209ADDF1 544 delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-164805254-2159373754-2404850241-1000\$IT577OO.DLL deltmp czoo restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Повторите лог uVS.

Kinqui

23-10-2014 10:22 2419203

архив отправил по почте, логи повторил:

http://rghost.ru/58668430 пароль: log

P.S недостаточно места, чтобы загрузить их сюда, поэтому воспользовался rghost.

Sandor

23-10-2014 11:27 2419229

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v3.84.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v384c BREG delall %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_832602\S_INST.EXE delall %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_4396\S_INST.EXE delall %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_2149\S_INST.EXE delall %SystemDrive%\USERS\МАКС\APPDATA\ROAMING\NEWSI_20107\S_INST.EXE restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

Что с проблемой?

Kinqui

24-10-2014 12:01 2419762

Компьютер вылечен от файлового вируса. Вроде как все работает хорошо. Спасибо :)

Sandor

24-10-2014 12:19 2419774

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Kinqui

25-10-2014 08:50 2420222

Спасибо за помощь! :)

Время: 09:36.