Очередная проблема: вирусы!

[Танечка]

Очередная проблема: вирусы!

К сожалению, приходится работать с чужими флешками и практически невозможно избежать заражения. Проблема: компьютер висит, открываются новые страницы, устанавливаются разные приложения. Подскажите, что делать? Прикрепляю лог uVS

 

[DDREDD]

Сканируем
этим
https://www.freedrweb.com/download+cureit+free/
потом этим
https://www.esetnod32.ru/support/scanner/
и напоследок этим
Скачать Kaspersky Virus Removal Tool бесплатно | Лаборатория Касперского
Думаю не выживет ни одна зараза.
На работе только так и чищу клиентские машины (ну и Host еще можно будет почистить в конце)

 

[Танечка]

спасибо, сейчас возьмусь за проверку, поняла пока вроде бы все, кроме Host, подскажите?

 

[DDREDD]

поняла пока вроде бы все, кроме Host, подскажите?

Я обычно это делаю с помощью утилиты AVZ запускаете её, жмете сверху "файл", выбираете пункт "восстановление системы" и ставите галочку на против пункта "очистить host" и жмете выполнить. Вот и все.

 

[Счастье]

Заходите C:\Windows\System32\drivers\etc\hosts открываете его блокнотом.

Пример моего

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost

Все, что ниже последнего слова localhost (если что-то есть) - будет лишнее, можно удалять.
Как-то так

 

[Танечка]

спасибо, как пройдусь по всем шагам, так отпишусь

 

[safety]

Ребята, учимся читать и анализировать образ автозапуска в uVS.
это не сложно.
Татьяна,
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\XTAB\PROTECTSERVICE.EXE
addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\QUICKREF_1.10.0.12\SERVICE\QRSVC.EXE
addsgn 1AC4129A5583378CF42B623A28EC1E52A043F3721BFA1F78D3904E65DBA25558D4D1C0573E5516350F90F19487FF4BF5F85AE872553197A62BF4622E4F01A1B4 8 Adware.Plugin.924 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect

zoo %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS

del %SystemDrive%\FIREFOX.BAT
del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME.BAT
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
del %SystemDrive%\IEXPLORE.BAT
addsgn 1A88939A5583338CF42BFB3A889E99702D0F0A8E8012889D85C3FE8C2CD199C2C617C3DC0EBD1CAC2B800F9BF648143928540424BD1AF32C2DFC54AA317325CB 8 Trojan.Crossrider1.24024 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\NJZYDR.EXE
delall %Sys32%\DRIVERS\QRNFD_1_10_0_9.SYS
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
addsgn 1A23939A5583338CF42BFB3A889E99702D0F0A8E80121D9E85C3FE8C2CD199B5C617C3DC0EBD71AC2B800F9BF648143928540424BD43F32C2DFC54AA317325CB 8 Trojan.Crossrider1.24024 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SYD.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\97A236CD-1427965927-5180-80D4-ECBA8695E2D1\INSSAD61.TMP
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\97A236CD-1426979965-5180-80D4-ECBA8695E2D1\JNSG4B43.TMP
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\97A236CD-1426979965-5180-80D4-ECBA8695E2D1\NSZ20B4.TMP
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]
delref %Sys32%\DRIVERS\{61BC9620-8C15-4BF6-B992-006D0996A7BB}W.SYS
del %Sys32%\DRIVERS\{61BC9620-8C15-4BF6-B992-006D0996A7BB}W.SYS

delref %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS
del %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS
REGT 27
regt 28
regt 29
; Java(TM) 6 Update 16
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe

deldir %SystemDrive%\USERS\USER\APPDATA\ROAMING\ASPACKAGE

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

 

[DDREDD]

Заходите C:\Windows\System32\drivers\etc\hosts открываете его блокнотом.

Или так, но с прогой проще, а то может не быть прав на изменение файла после вирусняков, надо себе права получать - в общем много телодвижений
Но это тоже вариант!!!

 

[Танечка]

Все, после быстрой проверки курейтом мой комп повис, страницы браузера не открываются и дальше я сделать уже ничего не смогла

 

[safety]

перегрузите систему (принудительно) и продолжаем очистку системы по сообщение 7
-----------
удалите вручную ярлыки браузеров и заново создайте их. пробуйте еще раз зупустить браузеры.

 

[Танечка]

перегрузите систему (принудительно) и продолжаем очистку системы по сообщение 7
-----------
удалите вручную ярлыки браузеров и заново создайте их. пробуйте еще раз зупустить браузеры.

Перезагрузила, но выхода в инет так и нет... Так что не могу ничего сделать, там ведь надо скопировать код в буфер обмена (нужен хотя бы другой комп). Есть ли еще какой-нибудь выход?

 

[Танечка]

В общем, сейчас проблема такая: нет выхода в интернет, точнее пишет что доступ к интернет есть (пакеты идут), браузер открывается с поисковой страницей, но больше ничего не открывается.. Переустановливать систему совсем не хочу (тем более, что на компьютере их две: ws7 и Mac os.. Ближайший сервисный центр за 400 км, да и платить за чужое не хочется... Что же мне делать?

 

[safety]

ярлыки браузеров удалили? пересоздали по новой ярлыки? если не будет результата, перегрузите систему в безопасный режим с поддержкой сети, и проверьте как браузеры работают: открывают страницы или нет.

 

[Танечка]

Удаляла. Зашла в безопасном режиме, тоже не открывает страницы

 

[safety]

заходили просто в безопасный режим, или в безопасный режим с поддержкой сетевых драйверов?

 

[safety]

скачайте файл скрипа из вложения,
Посмотреть вложение script.txt
перенесите флэшкой на проблемную машину,
и далее, на проблемной машине выполните в uVS скрипт из файла.
(при выборе файла укажите на этот скрипт)

после перезагрузки машины загрузитесь в нормальный режим и проверьте доступ к сети и работу браузеров.
--------
пишем результат.

 

[DDREDD]

В общем, сейчас проблема такая: нет выхода в интернет, точнее пишет что доступ к интернет есть (пакеты идут), браузер открывается с поисковой страницей, но больше ничего не открывается..

Очистите Host
P.S. А продолжить чистить cureit-ом не пробовали?

тем более, что на компьютере их две: ws7 и Mac os..

Что то я не понял а проблема что в обеих ОС?

 

[Танечка]

заходили просто в безопасный режим, или в безопасный режим с поддержкой сетевых драйверов?

С поддержкой

 

[safety]

ок, далее, выполните скрипт из сообщения 16. (hosts кстати чистый, не надо его трогать.)

 

[Танечка]

скачайте файл скрипа из вложения,
Посмотреть вложение 220937
перенесите флэшкой на проблемную машину,
и далее, на проблемной машине выполните в uVS скрипт из файла.
(при выборе файла укажите на этот скрипт)

после перезагрузки машины загрузитесь в нормальный режим и проверьте доступ к сети и работу браузеров.
--------
пишем результат.

Это все надо проделать в безопасном режиме?