В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик
после заражения не могу очистить систему
здравствуйте. не получается полностью очистить компьютер от заражения после того как скачала крякнутую программу.проверяла разными антивирусами и тд.. что то нашлось,удаляла,но не все. нортон нашел вирус в реестре,а удалить не смог и ту же самую инфекцию постоянно находит Rkill! удалить это не получается,перепробовала многое.так же, случайно увидила при просмотре диспетчера задач,в процессах,все время отображаются несколько вкладок браузера аваст,при том, что сам браузер не запущен.отключила службу автообновления,но это не сработало.что странно, в свойствах процесса-вкладка безопасность,имя пользователя обозначена незнакомая учетная запись. и это та же ветка реестра,в которой нортон и Rkill находят тот самый не убиваемый вирус.далее проверила утилитой RogueKiller,во вкладке процессы был обнаружен nokill tr.zeus.я не очень разобралась как работает эта прога,вроде бы она лишь находит вред проц,но не удаляет сами файлы..в общем, после 1 очистки ничего не поменялось и при повторной проверке тот же процесс был обнаружен снова, только с новым PID.после повторной очистки зараженный процесс больше выявлен не был.как обстоит дело на самом деле,остался ли троян в системе, понять не могу((.но Rkill продолжает находить всю ту же заразу в реестре. помогите пож разобраться.заранее спасибо!
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
startf с функцией чистый рабочий стол https://www.sendspace.com/file/wzi519
безопасный режим,start.exe,с правами текущего пол -https://www.sendspace.com/file/i550d9
я не знаю какая у меня учетка,есть ли права админа.но под другим пользователем запустить не получается,выскакивает табличка -админ, пароль,а пароля на учетки я не ставила,войти не выходит.такой момент -недавно для работы нужной мне программы создала учетку админа,полностью с правами администратора.но там не устан прог,которые существуют на этой,а так как я работаю только с этой,тему создаю именно с нее.сейчас зайду на учетку админа и сделаю лог..
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v4.1.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- apply regt 28 regt 29 deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D8FA671CDCBE7E355B3A0F3CE9CF1E80\FBA473728483260906BA044AF3C063E309E6259D delref %SystemRoot%\TEMP\E7CCD56D-1ECA-40CF-8A53-BD19961E2D62 delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemDrive%\USERS\III\DOWNLOADS\REGDRILL (1).EXE delref %SystemDrive%\USERS\III\DOWNLOADS\SPYKILLER40TRIAL.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref %Sys32%\BLANK.HTM delref {FE8E6AD6-DABE-45E1-88C2-48DC4578924C}\[CLSID] delref {86B567D0-313C-11D2-8985-0080ADA96E9B}\[CLSID] delref %Sys32%\DRIVERS\AMSDK.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref TPAVDRW_SERVICE\[SERVICE] delref %Sys32%\PSXSS.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\WASPACE_3.12.5.1\WASPACE_3.12.5.1\LAUNCHER.EXE ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
вы по ссылке добавили скрипт uVS
но сейчас нужен лог проверки в малваребайт, чтобы определить с какой проблемой вы сталкиваетесь, что конкретно находят другие антивирусные программы.
вам просто нужно открыть малваребайт, и экспортировать последний лог проверки в текстовый файл, и записать его так же на sendspace.com, и дать на этот файл ссылку в сообщение.
http://forum.esetnod32.ru/forum9/topic7084/
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,
5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
https://www.sendspace.com/file/pgnzta
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Task: {4F71A8BA-7D87-4521-AB24-DF2A848008A0} - \Pupdbrowser -> No File <==== ATTENTION Task: {58F96150-BCAD-466A-8355-1B7D78D6AB95} - \{960D33DE-7EA7-4BDD-A019-CDC5CB7331F3} -> No File <==== ATTENTION Task: {73A043A7-5784-481C-8A46-69A09F44FD2E} - \{8218BCF7-16F3-4300-992D-60448E2F0F9F} -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [123] AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2 [158] AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 [123] AlternateDataStreams: C:\Users\Все пользователи\TEMP:DFC5A2B2 [158] EmptyTemp: Reboot:+
можно проверить систему с помощью tdsskiller (одна из лучших утилит в данном разделе - периодически обновляется разработчиками) на предмет наличия скрытых файлов и сервисов. (а вдруг...)
+
добавить лог проверки
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
теперь по поводу этого ключа.
PUP.Winlogon.Heuristic HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit
ключ системный, но в параметре userinit могут быть нежелательные программы.
правильное значение Userinit в этом клюе должно быть такое: если что-то другое добавлено, или файл userinit.exe подменен модифицированным файлом, тогд это явный зловред.
В вашем случае, судя по образу автозапуска значение параметра Userinit очищено, т.е. файл userinit.exe явно не в автозапуске. Что не есть правильно.
правильная запись в реестре должна быть следующей:
+
судя по этой теме, вы одновременно проходите решение еще и на другом форуме
https://forum.kasperskyclub.ru/index.php?showtopic=63266
определитесь, где вы будете продолжать решение проблемы.
https://www.sendspace.com/file/a26ysv
к сожалению) я не разбираюсь в этом(( и не могу понять - в чем особо разница между тем,как есть и какой должна быть эта запись .но вот как выглядит этот куст реестра. скан .https://www.sendspace.com/file/qt2alt
да,я создала тему и на другом форуме.так как не раз бывало такое,..что проблема,увы, но так и не решалась.хотя было совершено множество разных действий по лечению.да и сама я чего только не перепробовала до вас ,но результата нет.(( чем больше мнений,тем лучше!
а разве это запрещено?
я не хотела бы прерывать решение ни с вами,ни там...
оч благодарна Вам за всю проделанную работу
нортон удалила после проверки,т.к слабый комп и виснит. к тому же я проверяла разными антивирусами,по этому удаляла.а где находятся файлы отчетов, не знаю.
но он находил тоже самое,что показывает ркилл.
https://forum.esetnod32.ru/forum27/topic2102/
скорее всего вирусов на компе и правда уже нет.ну,а если что то все таки и осталось,то вряд ли их возможно обнаружить.хакеры сейчас очень изворотливы((
так же проблема может возникнуть если вы используете несколько решений по безопасности в системе одновременно. Антивирусные программы могут подозрительно реагировать на на действия своих партнеров по защите системы.