Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Много троянов после посещения Mail.ru, браузер Mozila Firefox схлопывается [not-a-virus:WebToolbar.Win32.Neobar.h ] (заявка № 195522)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31

    Thumbs up Много троянов после посещения Mail.ru, браузер Mozila Firefox схлопывается [not-a-virus:WebToolbar.Win32.Neobar.h ]

    Много троянов после посещения Mail.ru (произвольно открывались рекламные страницы, программы предлагали себя установить и проч.), браузер Mozila Firefox схлопывается при попытке запуститься, иногда падает браузер Опера.


    При проверке в безопасном режиме с помощью Doc.Web CureIt! выдал список троянов (удалил или переместил)

    Trojan.Zadved.306
    Trojan.Inject1.64259
    Trojan.Betebot.3
    Trojan.DownLoader.12.6519

    Система 64-разрядная, поэтому virusinfo_syscure.zip не делал

    После поста на форуме внезапно вылезло сообщение об том, что Проводник будет закрыт. То же саме повторялось при перезагрузках.
    Решил проверить и Касперским VRT и он обнаружил аж 11 объектов, не найденых утилитой Др.Веб:
    UDS: DangerousObject.Multi.Generic
    Вложения Вложения
    Последний раз редактировалось Олег Гуцуляк; 10.01.2016 в 05:31.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Олег Гуцуляк, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Внимание !!! База поcледний раз обновлялась 04.09.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.45.
    1) Пожалуйста, обновите базы и сделайте новые логи.

    2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

  6. Это понравилось:


  7. #4
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Спасибо, сделал.
    Но немогу понять, куда загружать новые логи.

    Файл успешно загружен

    MD5 карантина: 36E78E7725C10D9A465D74011E99DCC0
    Размер файла: 20238584 байт

    Ссылка на результаты анализа:Результаты анализа карантина http://virusinfo.info/virusdetector/...5D74011E99DCC0
    Тема для обсуждения результатов анализа: Результаты анализа карантина http://virusinfo.info/showthread.php?t=195547
    Последний раз редактировалось Олег Гуцуляк; 10.01.2016 в 18:26.

  8. #5

  9. Это понравилось:


  10. #6
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Но немогу понять, куда загружать новые логи.

    - - - - -Добавлено - - - - -

    Сделал
    Вложения Вложения

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFileF('c:\users\администратор\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\daemon2.exe', '');
     QuarantineFile('C:\Users\Администратор\AppData\Local\Hostinstaller\4033166679_monster.exe', '');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\daemon2.exe', '32');
     DeleteFile('C:\Users\Администратор\AppData\Local\Hostinstaller\4033166679_monster.exe', '32');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
     DeleteFileMask('c:\users\администратор\appdata\local\hostinstaller', '*', true);
     DeleteDirectory('c:\users\администратор\appdata\local\hostinstaller');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon', 'command');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    ps. новые логи делайте из обычного режима, а не из безопасного. Надеюсь процедуру с VirusDetector-ом делали из обычного режима.

  12. Это понравилось:


  13. #8
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Начал выполнять скрипт АВЗ, но система рухнула, появился синий экран.

    Stop: 0x000000D4
    AswRdr2.sys

    Попробую снова

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от regist Посмотреть сообщение
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    похоже этого не сделали, вот и выскочил синий экран.
    Цитата Сообщение от Олег Гуцуляк Посмотреть сообщение
    AswRdr2.sys
    это драйвер от аваста.

  15. Это понравилось:


  16. #10
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Я отлючал все. У меня Др.Веб стоит. Аваст когда-то был, долго удалялся.
    -----------------
    Вычистил остатки Аваста программой по удалению Аваста.
    Выполнил скрипт АВЗ.
    Файл карантина прилагаю.
    Файл сохранён как 160111_000745_quarantine_5692ba113e899.zip
    Размер файла 90297
    MD5 bfad6f1b972b57037ee7bd0ca2cf0d70

    - - - - -Добавлено - - - - -

    Сделал логи
    Вложения Вложения
    Последний раз редактировалось Олег Гуцуляк; 10.01.2016 в 23:09.

  17. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Что с проблемой?

    + Следы аваста ещё остались
    Код:
    C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe
    запуск этого файла прописан в планировщике.

  18. Это понравилось:


  19. #12
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Да, этот файл остался, удалятся не хочет. Др.Веб говорит, что угроз от него нет.
    Проявлений активности каких-то троянов не замечено, система стала просто "летать".
    Спасибо!

  20. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Давайте скриптом попробую его дочистить.

    1) Создайте на всякий случай точку восстановления системы.

    2) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

  21. Это понравилось:


  22. #14
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Сделал. Лог uVS прилагаю.
    Вложения Вложения

  23. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS

    Код:
    ;uVS v3.86.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AHASCR.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASOUTEXT.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWWEBREPIE64.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWWRCIEBROKER32.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWWRCIEBROKER64.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTEMUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTGUIPROXY64.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTUI.EXE
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\X64\ASOUTEXT.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS\BACKUP.EXE
    del %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS\BACKUP.EXE
    deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\AV\AVAST! ANTIVIRUS\
    deldir %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\
    restart

  24. Это понравилось:


  25. #16
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Сделал, но папки карантина не появилось

  26. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  27. #18
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Вот результат:

    Поиск критических уязвимостей

    Накопительное обновление безопасности для браузера Internet Explorer
    http://www.microsoft.com/downloads/d...c-193e2bb7ecb0

    Накопительное обновление системы безопасности для битов аннулирования ActiveX
    http://www.microsoft.com/downloads/d...c-43c6dd6cb78e

    Уязвимость в MSXML делает возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...0-4e0f4a65db04
    Запускайте обновление от имени Администратора

    Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
    http://www.microsoft.com/downloads/d...f-de2501c8d40e

    Microsoft Silverlight 5.1.10411.0 устарел. Удалите его или установите новый
    http://www.microsoft.com/getsilverli...lverlight.ashx

    Обнаружено уязвимостей: 5

  28. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Устанавливайте обновления.
    Если проблема решена, то на этом всё.
    Удачи .

  29. Это понравилось:


  30. #20
    Junior Member (OID) Репутация
    Регистрация
    10.01.2016
    Сообщений
    20
    Вес репутации
    31
    Спасибо, некоторые установил, а некоторорые нет (Windows6.1-KB2883150-x64.msu, Windows6.1-KB2900986-x64.msu, IE9-Windows6.1-KB3058515-x64.msu), так как возникли сообщения, что установшик обнаружил ошибку 0х80070422 и указанная служба не может быть запущена, поскольку она отключена или связанные с ней устроймтва отключены.

    А нашел:

    Как избавиться от ошибки 0х80070422?

    В первую очередь, необходимо изменить настройки Центра обновления Windows, после чего попытаться перезапустить службу.

    Отдельную категорию неполадок, возникающих при взаимодействии с Центром обновления Windows, также можно исправить посредством мастера автоматического устранения неполадок.

    Для его запуска необходимо:

    — Загрузить с центра обновления соответствующее решение;

    — В открывшемся окне «Загрузка файла» нажать кнопку «Запустить», после чего пошагово выполнить все инструкции мастера;

    — Открыть Центр обновления Windows и попытаться вновь выполнить установку обновлений.

    Если вышеописанные действия не позволили устранить проблему, попробуйте изменить параметры или перезапустить службу Центра обновления Windows.

    Для этого входим в систему от имени администратора:

    — Открываем раздел «Администрирование»;

    — Дважды щелкаем по компоненту «Службы»;

    — Щелкаем по заголовку столбца «Имя для copтировки имeн в oбратном пopядке». Находим службу «Центр обновления Windows», щелкаем по ней правой кнопкой мыши и нажимаем «Свойства».

    — Убеждаемся, что в группе «Тип запуска» на вкладке «Общие» установлен параметр «Автоматически».

    Установил "Вручную".
    Обновления безопасности установились!
    Последний раз редактировалось Олег Гуцуляк; 14.01.2016 в 22:11.

  • Уважаемый(ая) Олег Гуцуляк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 16
      Последнее сообщение: 03.01.2016, 11:54
    2. Карантин 2E9173C829E550D9FE6CE96EBBEA4D54 [not-a-virus:AdWare.Win32.Hpdefender.q, not-a-virus:Downloader.Win32.Ag= ent.ecsx]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 03.01.2016, 00:19
    3. Ответов: 7
      Последнее сообщение: 06.10.2015, 20:05
    4. Карантин 895DFB41CEE8B4E0F99817CB092E5F2F [Trojan-Spy.Win32.AdLoad.a, Virus.Win32.Hidrag.a]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 15.07.2015, 04:30
    5. Коктейль из троянов после посещения сайта
      От Old School в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.10.2009, 07:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00785 seconds with 20 queries