проблема с соцсетями, паролями к ним, страницы стали долго прогружаться, беспокоит процесс winlogon.exe [Trojan.Win32.Qhost.aflv ]

[pointeon]

Здравствуйте, уважаемые хелперы!
На днях появилась проблема с соцсетями, а также с некоторыми другими сайтами. Страницы в браузере (хром) стали подозрительно долго грузиться. Проверил в безопасном режиме с помощью AVPtool - программа удалила некий троян. После проверки все равно остались проблемы. Сделал всё как сказано в инструкции. Пожалуйста, помогите решить проблему! Заранее благодарствую!

[Info_bot]

Уважаемый(ая) pointeon, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

C:\Windows\system32\rpcss.dll пришлите по красной ссылке Прислать запрошенный карантин вверху темы

[pointeon]

Прошу прощения за неграмотность, может я что-то не так сделал, но avz выдает следующее : "Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\rpcss.dll)
Карантин с использованием прямого чтения - ошибка"

[thyrex]

Заархивируйте вручную в zip-архив с паролем virus и пришлите

[pointeon]

Сделал как просили.
Файл сохранён как 130404_141640_rpcss_515d8b4816409.zip
Размер файла 258181
MD5 388805acf3dde153cfb5f63460f559c1

[Techno]

страницы стали долго прогружаться,

Долго прогружается или совсем не загружается?

- Сделайте лог полного сканирования MBAM.

[pointeon]

После удаления трояна AVPtool'ом долго прогружается, до удаления вообще не грузились. Лог приложил.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
ClearQuarantineEx(true);
QuarantineFile('C:\Chrome downloads\EasyAntiCheat (1).exe', 'MBAM: Trojan.Spy.Usteal');
QuarantineFile('C:\Downloads\Phoenix_12_FiNAL\Phx_data\Res\EmuCfg.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Downloads\Phoenix_12_FiNAL\Phx_data\Res\RICO.exe', 'MBAM: Backdoor.Bot');
QuarantineFile('c:\windows\system32\drivers\etc\hоsts', 'MBAM: Hijack.Trace');
QuarantineFile('C:\Program Files (x86)\Company\NEWPRODUCT\al99999.pp', 'MBAM: Backdoor.Bifrose');
QuarantineFile('C:\Program Files (x86)\Company\NEWPRODUCT\al99999.vbs', 'MBAM: Backdoor.Bifrose');
QuarantineFile('C:\Program Files (x86)\Company\NEWPRODUCT\all2.vbs', 'MBAM: Backdoor.Bifrose');
QuarantineFile('C:\Program Files (x86)\Company\NEWPRODUCT\hhhh.txt', 'MBAM: Backdoor.Bifrose');
QuarantineFile('C:\Program Files (x86)\Company\NEWPRODUCT\koollapsa.bat', 'MBAM: Backdoor.Bifrose');
QuarantineFile('C:\Program Files (x86)\Company\NEWPRODUCT\slonik.po', 'MBAM: Backdoor.Bifrose');
DeleteFile('C:\Users\Сарафан\Downloads\GarenaRUS.exe');
DeleteFile('c:\windows\system32\drivers\etc\hоsts');
DeleteFile('C:\Program Files (x86)\Company\NEWPRODUCT\al99999.pp');
DeleteFile('C:\Program Files (x86)\Company\NEWPRODUCT\al99999.vbs');
DeleteFile('C:\Program Files (x86)\Company\NEWPRODUCT\all2.vbs');
DeleteFile('C:\Program Files (x86)\Company\NEWPRODUCT\hhhh.txt');
DeleteFile('C:\Program Files (x86)\Company\NEWPRODUCT\koollapsa.bat');
DeleteFile('C:\Program Files (x86)\Company\NEWPRODUCT\slonik.po');
 QuarantineFileF('C:\Program Files (x86)\Company\NEWPRODUCT','*', true,'',0 ,0);
 DeleteFileMask('C:\Program Files (x86)\Company\NEWPRODUCT', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Company\NEWPRODUCT',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторный лог MBAM

[pointeon]

Карантин :
Файл сохранён как 130408_082114_quarantine_51627dfa9fda9.zip
Размер файла 2788605
MD5 476a34e16c369075f5045a7a8651c889
Повторный лог mbam :

[regist]

Код:

C:\9.1\rus.exe

вам знаком ?

проверьте его на https://www.virustotal.com/ ссылку на результат проверки напишите здесь.

- - - Добавлено - - -

что с проблемой ?

[pointeon]

Это русификатор для fruity loops studio. https://www.virustotal.com/ru/file/6...is/1365424517/
Сайты вроде грузятся нормально, с соц.сетями тоже все норм. Лагает скайп и подобные приложения, некоторые игры, для которых нужен интернет. Ещё меня беспокоят отчёты, я в этом мало что понимаю, но как видно из отчета MBAM - у меня полный "букет" так сказать всяческих опасных вирусов.

[regist]

но как видно из отчета MBAM

удалите папку D:\avz4\avz4\Quarantine вручную, а в остальном ничего плохого.

------------
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[pointeon]

Всё сделал как посоветовали, обновился, вроде всё хорошо стало. Сейчас еще советы и рекомендации почитаю. Благодарю Вас !

[pointeon]

У меня еще один вопрос, если можно. Мне не дают покоя следующие строки :
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[76907603]
Функция user32.dll:SystemParametersInfoA (2260) перехвачена, метод APICodeHijack.JmpTo[76906C30]
Функция user32.dll:SystemParametersInfoW (2261) перехвачена, метод APICodeHijack.JmpTo[768F90D3]
Функция user32.dll:keybd_event (2329) перехвачена, метод APICodeHijack.JmpTo[769502BF]
Функция user32.dll:mouse_event (2330) перехвачена, метод APICodeHijack.JmpTo[7695027B]
Вот сегодня опять проверил аvz - таких строк стало во много раз больше, чем в начале лечения. Пожалуйста, объясните что они значат, и что с ними делать ?

- - - Добавлено - - -

Только что попробовал зайти вк -
"Эта страница была заморожена за рассылку от Вашего лица таких личных сообщений : в личном сообщении Yulya Bondarenko вчера в 13:14
"171791007 yihel.com/5f8da91244 Yulya"".

[regist]

Пожалуйста, объясните что они значат, и что с ними делать ?

это нормально, ничего делать не надо.

Только что попробовал зайти вк -
"Эта страница была заморожена за рассылку от Вашего лица таких личных сообщений

вполне возможно, что когда вас компьютер был заражён ваш пароль от ВК украли и использовали для рассылки спама. Как следствие вашу страницу заморозили.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files (x86)\\company\\newproduct\\al99999.pp - Trojan.Win32.Qhost.aflv ( AVAST4: VBS:Bicololo-CZ [Trj] )
  2. c:\\program files (x86)\\company\\newproduct\\al99999.vbs - Trojan.Win32.Qhost.aflv ( AVAST4: VBS:Bicololo-CZ [Trj] )