Показано с 1 по 13 из 13.

Системный отладчик + куча мусора. [Trojan.Win32.Agent.idxa, not-a-virus:WebToolbar.Win32.CroRi.emq ] (заявка № 179509)

  1. #1
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    94
    Вес репутации
    7

    Системный отладчик + куча мусора. [Trojan.Win32.Agent.idxa, not-a-virus:WebToolbar.Win32.CroRi.emq ]

    При запуске компа у друга открывает эти страницы: 2inf.net и smartinf.ru.

    Вот http://virusinfo.info/virusdetector/...B5361E35A26520 ответ анализатора.

    Логи свежие! Просто делал в понедельник, а в остальные дни был сильно занят (Экзамены).

    Судя по анализатору - там виной всему Супер Радио, но с компа он удален. При запуске ИЕ - он в процессе, Ие

    закрыт - его в процессах нету. Помогите разобраться с проблеммой. Спасибо заранее.

    * На СЗ тишина, поэтому пройду лечение тут.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    327
    Уважаемый(ая) об.261, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\User\appdata\local\kometa\kometaup.exe','');
     QuarantineFile('C:\Users\User\appdata\local\systemdir\setsearchm.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\SystemDir\nethost.exe','');
     QuarantineFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-7.exe','');
     QuarantineFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6.exe','');
     QuarantineFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-5.exe','');
     QuarantineFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-2.exe','');
     QuarantineFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-11.exe','');
     QuarantineFile('C:\Program Files (x86)\Super Radio\Super','');
     DelBHO('{BC626543-18E2-404A-ACD4-046A70C61A16}');
     DelBHO('{11111111-1111-1111-1111-110611791177}');
     QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
     QuarantineFile('C:\Program Files (x86)\Super Radio\Super Radio-bho.dll','');
     QuarantineFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader64.exe','');
     TerminateProcessByName('c:\program files (x86)\super radio\super radio-bg.exe');
     QuarantineFile('c:\program files (x86)\super radio\super radio-bg.exe','');
     TerminateProcessByName('c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6.exe');
     QuarantineFile('c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6.exe','');
     DeleteFile('c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6.exe','32');
     DeleteFile('c:\program files (x86)\super radio\super radio-bg.exe','32');
     DeleteFile('C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\BrowserTabSearch\msbloader64.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Browser Tab Search by Askx64');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','odigxpzewm');
     DeleteFile('C:\Program Files (x86)\Super Radio\Super Radio-bho.dll','32');
     DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
     DeleteFile('C:\Program Files (x86)\Super Radio\Super','32');
     DeleteFile('C:\Windows\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-1.job','64');
     DeleteFile('C:\Windows\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-11.job','64');
     DeleteFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-11.exe','32');
     DeleteFile('C:\Windows\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-2.job','64');
     DeleteFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-2.exe','32');
     DeleteFile('C:\Windows\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-5.job','64');
     DeleteFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-5.exe','32');
     DeleteFile('C:\Windows\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-5_user.job','64');
     DeleteFile('C:\Windows\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6.job','64');
     DeleteFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6.exe','32');
     DeleteFile('C:\Program Files (x86)\Super Radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-7.exe','32');
     DeleteFile('C:\Windows\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-7.job','64');
     DeleteFile('C:\Windows\system32\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-1','64');
     DeleteFile('C:\Windows\system32\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-11','64');
     DeleteFile('C:\Windows\system32\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-2','64');
     DeleteFile('C:\Windows\system32\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-5','64');
     DeleteFile('C:\Windows\system32\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6','64');
     DeleteFile('C:\Windows\system32\Tasks\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-7','64');
     DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
     DeleteFile('C:\Users\User\AppData\Local\SystemDir\nethost.exe','32');
     DeleteFile('C:\Users\User\appdata\local\systemdir\setsearchm.exe','32');
     DeleteFile('C:\Users\User\appdata\local\kometa\kometaup.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(9); 
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи по правилам

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. thyrex получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    94
    Вес репутации
    7
    Файл сохранён как 150314_213539_virus_5504716b42853.zip
    Размер файла 5776465
    MD5 0a52dec022314ae827bb82d209ac06eb
    Сори, не разглядел, надо бы по-крупнее написать. Завтра постараюсь сделать повторно логи - это будет вечером.

    В Farbar Recovery Scan Tool там было еще файлы 90 дневные и я там птичку тоже поставил. Возможно скрин не полный. У него в принципе софт был установлен 3 месяца назад. Подарки постепенно появлялись.
    Последний раз редактировалось об.261; 15.03.2015 в 00:39. Причина: добавил немного текста

  7. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    У расширения AdBlock в Хроме какая версия?

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      CHR HKU\S-1-5-21-4164690760-3540609721-3156471464-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      SearchScopes: HKU\S-1-5-21-4164690760-3540609721-3156471464-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
      SearchScopes: HKU\S-1-5-21-4164690760-3540609721-3156471464-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
      BHO: Super Radio -> {11111111-1111-1111-1111-110611791177} -> C:\Program Files (x86)\Super Radio\Super Radio-bho64.dll [2015-01-09] (Buca Apps)
      BHO-x32: Skype Click to Call for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [2014-07-14] (Microsoft Corporation)
      BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
      Toolbar: HKU\S-1-5-21-4164690760-3540609721-3156471464-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
      CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [gkgcmimepaonfdgamebdbeffalkjpmbc] - C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx [Not Found]
      CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
      CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
      CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
      OPR Extension: (Super Radio) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\icpgdmbkannfhajbcinkekegjlcbcibl [2015-01-09]
      OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-01-10]
      2015-01-10 17:02 - 2015-01-13 19:09 - 00000000 ____D () C:\Users\User\AppData\Local\Kometa
      2015-01-10 15:32 - 2015-01-10 17:12 - 00000000 ____D () C:\Users\User\AppData\Local\Amigo
      2015-01-10 15:30 - 2015-03-05 18:30 - 00000000 ____D () C:\Users\User\AppData\Local\SystemDir
      Task: {8BE95835-1898-45A5-BFCD-15F0E53E0D85} - \nethost task No Task File <==== ATTENTION
      Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
      Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe <==== ATTENTION
      Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. thyrex получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    94
    Вес репутации
    7
    Пост №3. Лог AVZ, когда выполнился, то левые сайты при загрузке компа больше не открывались.
    У расширения AdBlock в Хроме какая версия?
    Версия 2.19

    Вот новые логи:

    DriverToolkit - этой программы у него нету вообще. Если можно помогите и ее остатки удалить.
    Последний раз редактировалось об.261; 16.03.2015 в 20:44.

  10. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Выполните скрипт в AVZ
    Код:
    begin
     DeleteFile('C:\Windows\system32\Tasks\DriverToolkit Autorun','64');
     DeleteFile('C:\Windows\Tasks\DriverToolkit Autorun.job','64');
     DeleteFile('C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe','32');
    DeleteFileMask('C:\Program Files (x86)\DriverToolkit', '*', true);
    DeleteDirectory('C:\Program Files (x86)\DriverToolkit');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи по правилам
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. thyrex получил(а) благодарность за это сообщение от


  12. #8
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    94
    Вес репутации
    7
    Вот логи. Как там дела?

  13. #9
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    94
    Вес репутации
    7
    Что слышно? На компе сейчас все в порядке. Проблем не замечено. Что говорят логи?

  14. #10
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    94
    Вес репутации
    7
    Сори, что логи удалил отсюда. Думал тут закончили, но нет. Сегодня при проверке Emsisoft - он нашел Супер Радио, удалили, но при полной проверке он находит какие-то программы + ключи реестра, которые вроде бы являются системными.
    Вот логи нашел, это они за 19 число...
    Единственное, что удалили через Emsisoft в Program Files (x86) - это: Супер Радио и web_disco. Повторить логи в выходной смогу, а пока можно с Супер Радио разобраться.

  15. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Ничего интересного в логах
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #12
    Junior Member Репутация
    Регистрация
    13.03.2015
    Сообщений
    94
    Вес репутации
    7
    Вот лог, что делать?

  17. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-11.exe - not-a-virus:WebToolbar.Win32.CrossRider.kyc ( BitDefender: Gen:Application.Heur.9v1@k4lsXojO, AVAST4: Win32:Malware-gen )
      2. c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-2.exe - not-a-virus:WebToolbar.Win32.CrossRider.kyc ( AVAST4: Win32:Malware-gen )
      3. c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.kyc ( BitDefender: Gen:Application.Heur.jv1@kmSdzWnO )
      4. c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-6.exe - not-a-virus:WebToolbar.Win32.CroRi.emq ( BitDefender: Gen:Application.Heur.sz1@kKiTClki, AVAST4: Win32:Malware-gen )
      5. c:\program files (x86)\super radio\dc0f8d26-f3e8-43e4-bd4a-68ffeca68922-7.exe - not-a-virus:WebToolbar.Win32.CrossRider.kyc ( BitDefender: Gen:Application.Heur.gv1@k81vLJhO )
      6. c:\program files (x86)\super radio\super radio-bg.exe - not-a-virus:WebToolbar.Win32.CrossRider.kyc
      7. c:\program files (x86)\super radio\super radio-bho.dll - not-a-virus:WebToolbar.Win32.CrossRider.kyc ( BitDefender: Gen:Application.Heur.Xy9@kGxJ@Pki )
      8. c:\users\user\appdata\local\kometa\kometaup.exe - not-a-virus:Downloader.Win32.Agent.cxan ( DrWEB: Trojan.LoadMoney.587, BitDefender: Gen:Variant.Graftor.165927 )
      9. c:\users\user\appdata\local\systemdir\setsearchm.e xe - Trojan.Win32.Agent.idxa ( AVAST4: Win32:GenMalicious-FAK [Trj] )


  • Уважаемый(ая) об.261, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ломанули RDP куча мусора
      От rosalin в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 27.09.2014, 13:44
    2. Чистка мусора
      От Saladin в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.11.2009, 09:07
    3. Удаление мусора с ПК
      От Rene-gad в разделе Чаво
      Ответов: 4
      Последнее сообщение: 23.07.2009, 10:57
    4. Куча мусора, вручную не разрести
      От ALP в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 30.10.2008, 14:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01579 seconds with 21 queries