Комплексное заражение вредоносным ПО

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1547161642-630328440-1417001333-1003\...\Run: [Birds] => C:\Documents and Settings\Alex\Local Settings\Application Data\Birds\birds365.exe [113664 2015-10-21] (Birds)
CHR HKLM\...\Chrome\Extension: [jagncdcchgajhfhijbbhecadmaiegcmh] - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2013\ChromeExt\virtkbd.crx <not found>
2015-10-21 06:57 - 2015-10-21 06:57 - 00000000 ____D C:\Documents and Settings\Alex\Local Settings\Application Data\Birds
2015-10-21 06:56 - 2015-10-21 06:56 - 00000000 ____D C:\Documents and Settings\Alex\Local Settings\Application Data\Birds365
2015-09-23 02:39 - 2015-09-23 02:39 - 00000000 ____D C:\WINDOWS\system32\MailProducts
2015-10-20 03:13 - 2010-06-07 17:03 - 00000480 __RSH C:\Documents and Settings\All Users\ntuser.pol
2010-07-28 05:46 - 2010-07-28 05:46 - 0000016 ____C () C:\Documents and Settings\Alex\Application Data\gqlidy.dat
2010-06-03 20:02 - 2010-06-03 20:02 - 0000012 ____C () C:\Documents and Settings\Alex\Application Data\igphyb.dat
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[unname123]

Процесс birds365.exe больше не появляется.

Как проверить остальные процессы?

Сообщение перед окном приветствия по прежнему появляется.

Приложил лог после чистки.

Fixlog.txt

Изменено 26 октября, 2015 пользователем unname123

[mike 1]

 

Сообщение перед окном приветствия по прежнему появляется.

 

Какое сообщение?

[unname123]

Вот фотка сообщения в момент загрузки ОС перед приветствием.

После нажатия на ОК система загружается в обычном режиме.

Изменено 27 октября, 2015 пользователем unname123

[mike 1]

Выполните скрипт в AVZ:

begin
ExecuteRepair(7);
RebootWindows(false);
end.

Компьютер перезагрузится. Проверьте проблему.

[unname123]

Перезагрузился 3 раза. Сообщение в ходе winlogon больше не появляется.

Проблема решена.

Дадите какие-нибудь рекомендации?

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[unname123]

Отчет прикрепил.

SecurityCheck.txt

Изменено 28 октября, 2015 пользователем unname123

[mike 1]

Обновите и установите себе антивирус.

 

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 7.0.5730.11 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

Автоматическое обновление (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Восстановление системы отключено

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.4.0.60531.0 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

BitComet 1.17 v.1.17 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 19 ActiveX v.19.0.0.226

Adobe Flash Player 19 NPAPI v.19.0.0.226

Adobe Reader 8.1.4 - Russian v.8.1.4 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 41.0.2 (x86 ru) v.41.0.2

---------------------------- [ UnwantedApps ] -----------------------------

PhoenixBrowser Updater v.1.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

------------------------------ [ MS Office ] ------------------------------

Уязвимости MS Office взяты из скрипта: http://dataforce.ru/~kad/ScanVuln.txt

SetKillBit: {0002E543-0000-0000-C000-000000000046}

SetKillBit: {0002E541-0000-0000-C000-000000000046}

Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода Скачать обновления

 

Советы и рекомендации после лечения компьютера

 

[unname123]

Спасибо за рекомендации.

Имя файла вредоноса и сайт, оставшиеся в загрузках нужны?

[mike 1]

Нет.

[unname123]

Спасибо за помощь. Тему можно закрывать.