Показано с 1 по 16 из 16.

Вирусы в папке TEMP [not-a-virus:NetTool.Win32.Tor.d ] (заявка № 152573)

  1. #1
    Junior Member Репутация
    Регистрация
    03.01.2014
    Сообщений
    13
    Вес репутации
    11

    Вирусы в папке TEMP [not-a-virus:NetTool.Win32.Tor.d ]

    Мой антивирус(Emsisoft Anti-Malware)обнаружил в C:\Users\836D~1\AppData\Local\Temp 3 вируса - openvg.exe onion.exe и svchost.exe.Проблема в том,что ни карантин,ни удаление не помогает.Создаются новые и загружаются вместе с системой.Вот и прошу у вас помощи...

    Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Semetrio, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Info_bot получил(а) благодарность за это сообщение от


  5. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

    Обновите базы AVZ и сделайте новые логи AVZ.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  6. mike 1 получил(а) благодарность за это сообщение от


  7. #4
    Junior Member Репутация
    Регистрация
    03.01.2014
    Сообщений
    13
    Вес репутации
    11
    Сделал.
    Вложения Вложения

  8. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Закройте все программы

    Отключите
    - Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     TerminateProcessByName('c:\users\836d~1\appdata\local\temp\onion.exe');
     QuarantineFile('C:\Users\Администратор\appdata\local\temp\svchost.exe','');
     QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\svchost.exe','');
     QuarantineFile('C:\PROGRA~2\QtOpenGL\gal_st2.dll','');
     QuarantineFile('c:\users\836d~1\appdata\local\temp\onion.exe','');
     DeleteFile('c:\users\836d~1\appdata\local\temp\onion.exe','32');
     DeleteFile('C:\Windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job','64');
     DeleteFile('C:\Windows\Tasks\DLL-Files.Com Fixer_Updates.job','64');
     DeleteFile('C:\Windows\system32\Tasks\DLL-Files.Com Fixer_MONTHLY','64');
     DeleteFile('C:\Windows\system32\Tasks\DLL-Files.Com Fixer_Updates','64');
     DeleteFile('C:\Users\836D~1\AppData\Local\Temp\svchost.exe','32');
     DeleteFile('C:\Users\Администратор\appdata\local\temp\svchost.exe','32');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     DeleteService('clrpslcm');        
     BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU', 2, 3, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.b1.org/?bsrc=hmior&chid=c167991
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - (no file)
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. mike 1 получил(а) благодарность за это сообщение от


  10. #6
    Junior Member Репутация
    Регистрация
    03.01.2014
    Сообщений
    13
    Вес репутации
    11
    Сделал всё,что написано выше.
    Malwarebytes' Anti-Malware сканирует.
    Логи:

    - - - Добавлено - - -

    Malwarebytes' Anti-Malware просканировал.Лог:
    Вложения Вложения

  11. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  22
    HKCR\CLSID\{25927741-5E5B-4D27-8D8B-9188FE64373F} (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCR\ironsource.searchyaHlpr.1 (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCR\ironsource.searchyaHlpr (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{25927741-5E5B-4D27-8D8B-9188FE64373F} (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{25927741-5E5B-4D27-8D8B-9188FE64373F} (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25927741-5E5B-4D27-8D8B-9188FE64373F} (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCR\CLSID\{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCR\ironsource.searchyadskBnd.1 (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCR\ironsource.searchyadskBnd (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.Optional.SearchYa) -> Действие не было предпринято.
    HKCR\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23} (PUP.Optional.BrowseFox.A) -> Действие не было предпринято.
    HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
    HKCR\Updater.AmiUpd.1 (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
    HKCR\Updater.AmiUpd (PUP.Optional.SoftwareUpdater) -> Действие не было предпринято.
    HKCU\SOFTWARE\BonanzaDealsLive (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    HKCU\Software\iVIDI Plugin (PUP.Optional.Ividi.A) -> Действие не было предпринято.
    HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  4
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.Optional.SearchYa) -> Параметры: SearchYa Toolbar -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{33AA308B-B565-4376-AC66-59EE9B6AD13E} (PUP.Optional.SearchYa) -> Параметры:  -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 1W1G1U1K1O1H -> Действие не было предпринято.
    
    Обнаруженные папки:  11
    C:\Users\Администратор\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\OpenCandy\8C2D8E7DB3C444F6888320A8924849D9 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\OpenCandy\F557014AAA0A4C8D881D2D8CA1C15848 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\OpenCandy\OpenCandy_8C2D8E7DB3C444F6888320A8924849D9 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\ProgramData\BONANZADEALSLIVE (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    C:\ProgramData\BONANZADEALSLIVE\Update (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    C:\ProgramData\BONANZADEALSLIVE\Update\Log (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\BONANZADEALSLIVE (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\BONANZADEALSLIVE\CrashReports (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    C:\Program Files (x86)\BONANZADEALSLIVE (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    C:\Program Files (x86)\BONANZADEALSLIVE\CrashReports (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Program Files (x86)\SearchYa!\1.5.25.0\bh\searchya.dll (PUP.Optional.SearchYa) -> Действие не было предпринято.
    C:\Program Files (x86)\SearchYa!\1.5.25.0\searchyaTlbr.dll (PUP.Optional.SearchYa) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-3926897011-2808620656-3352936402-500\$R5IFH0R.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\PHATK121016.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\SCRYPT130511.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\DIABLO130302.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\POCLBM130302.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\DIAKGCN121016.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\OpenCandy\8C2D8E7DB3C444F6888320A8924849D9\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\OpenCandy\F557014AAA0A4C8D881D2D8CA1C15848\chrometest.html (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\ProgramData\BONANZADEALSLIVE\Update\Log\BonanzaDealsLive.log (PUP.Optional.BonanzaDeals.A) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    Проверьте эти файлы на virustotal
    Код:
    D:\Program Files (x86)\R.G. Element Arts\Day Z\DayZ game\key+keychanger\cdkey_changer.exe
    C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Program Files\Windows Sidebar\Patch_sidebar.exe.exe
    C:\Program Files (x86)\W7Elegant Black Pearl\Resources\shared\Windows\System32\Patch_taskmgr.exe.exe
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  12. mike 1 получил(а) благодарность за это сообщение от


  13. #8
    Junior Member Репутация
    Регистрация
    03.01.2014
    Сообщений
    13
    Вес репутации
    11
    cdkey_changer.exe https://www.virustotal.com/ru/file/4...is/1388772463/
    Windows Sidebar\Patch_sidebar.exe.exe https://www.virustotal.com/ru/file/0...is/1388772299/
    Patch_taskmgr.exe.exe https://www.virustotal.com/ru/file/e...is/1388772425/
    Вложения Вложения

  14. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Удалите в MBAM:

    Код:
    Обнаруженные файлы:
    C:\Users\Администратор\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\PHATK121016.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\SCRYPT130511.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\DIABLO130302.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\POCLBM130302.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\DIAKGCN121016.CL (Trojan.BitcoinMiner) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    + Подготовьте лог UVS (http://virusinfo.info/showthread.php?t=121767).
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. mike 1 получил(а) благодарность за это сообщение от


  16. #10
    Junior Member Репутация
    Регистрация
    03.01.2014
    Сообщений
    13
    Вес репутации
    11
    Вот:
    Вложения Вложения

  17. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    OFFSGNSAVE
    breg
    
    addsgn A7659219B9728B762FD5AEB16437073DF2D3FC1EF507E087D04A203FBCCEB6480715C3573EAA8871FCD9847722EBB60528560DF1B9D211B4FA2EA4E638E644E3 8 Tool.Tor.1 [DrWeb]
    
    zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ONION.EXE
    bl 89B20EEBB078D568A75478273CCE0813 2087636
    delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ONION.EXE
    delref HTTP://SEARCH.B1.ORG/?BSRC=HMFOR&CHID=C167991
    zoo D:\PROGRAM FILES (X86)\AVERIA\AVERIA\AVERIA_UPDATER.EXE
    zoo %SystemDrive%\PROGRAM FILES\DEADZ\DEADZLAUNCHER.EXE
    zoo D:\PROGRAM FILES (X86)\THE ELDER SCROLLS 5.SKYRIM.V 1.9.32.0.8 + 4 DLC\TESV.EXE
    zoo %Sys32%\SYSTEM.BAT
    zoo %SystemDrive%\PROGRAM FILES (X86)\QTOPENGL\GAL_ST2.DLL
    chklst
    delvir
    
    deltmp
    restart
    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.

    Сделайте новый лог UVS. Только программу скачайте отсюда http://yadi.sk/d/2ZmUTcqTF5crN
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  18. mike 1 получил(а) благодарность за это сообщение от


  19. #12
    Junior Member Репутация
    Регистрация
    03.01.2014
    Сообщений
    13
    Вес репутации
    11
    Карантин прислал.
    Вот лог:http://files.mail.ru/1E2B67F0734B4E719C75DBD2CFC39DE2 (забито место во "Вложения",как чистить - не знаю)

  20. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Скачайте ComboFix здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  21. #14
    Junior Member Репутация
    Регистрация
    03.01.2014
    Сообщений
    13
    Вес репутации
    11
    Запустил СomboFix,комп намертво завис во время сканирование после 2-го этапа.Пришлось перезагружать компьютер.Запустил еще раз,комп опять завис,но уже после 3-го этапа.В 3-й раз тоже завис после 3-го этапа.После я решил запустить Windows в безопасном режиме-все прошло хорошо,файл создался(не знаю,правильно ли сделал,в безоп.реж.).Потом я запустил комп в обычном режиме и когда набирал сообщение(вам),он опять завис...И вот сейчас я запустил его и уже не зависает.Файлов в папке TEMP больше нету.Что посоветуете делать дальше?
    Вложения Вложения

  22. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Combofix повис судя по отчету из-за включенной антивирусной защиты.

    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
    Код:
    KillAll::
    
    File::
    c:\windows\SysWow64\OCLBB05.tmp
    c:\windows\system32\system.bat
    c:\windows\system32\roboot64.exe
    c:\windows\system32\SET76A7.tmp
    c:\windows\system32\SET6DDC.tmp
    c:\windows\system32\SET68E2.tmp
    c:\windows\system32\SET68B1.tmp
    c:\windows\system32\SET6783.tmp
    
    
    Driver::
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    c:\users\Администратор\AppData\Roaming\tor
    c:\program files (x86)\123
    c:\users\Администратор\AppData\Roaming\dll-files.com
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  23. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,508
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\progra~2\qtopengl\gal_st2.dll - Trojan.Win32.BitMiner.fz ( BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )
      2. c:\users\администратор\appdata\local\temp\svchost. exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ( DrWEB: Tool.BtcMine.150 )
      3. c:\users\836d~1\appdata\local\temp\onion.exe - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )
      4. c:\users\836d~1\appdata\local\temp\svchost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ( DrWEB: Tool.BtcMine.150 )
      5. \zoo\gal_st2.dll._c617b564ad04df32b91aacdc17106111 e06670ac - Trojan.Win32.BitMiner.fz ( BitDefender: Trojan.GenericKD.1510349, AVAST4: Win32:BitCoinMiner-FI [Trj] )
      6. \zoo\onion.exe._f1f18ca1b343c741274d84ec26844362c7 20f5e9 - not-a-virus:NetTool.Win32.Tor.d ( DrWEB: Tool.Tor.1 )


  • Уважаемый(ая) Semetrio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. DWH*.tmp в папке TEMP
      От SpadarRaman в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.08.2012, 13:16
    2. неудаляемые вирусы в папке TEMP
      От webdesigner в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.03.2012, 21:18
    3. Ответов: 8
      Последнее сообщение: 21.02.2011, 16:39
    4. Вирусы в папке Temp
      От annetsss в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 23.11.2010, 18:16
    5. Постоянно появляющиеся вирусы в папке Temp
      От 4epenOK в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 01:45

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01046 seconds with 22 queries