Показано с 1 по 10 из 10.

устанавливаются програмы сами по себе [Trojan.MSIL.Miner.aia, Trojan.Win64.Agent.dms, not-a-virus:NetTool.Win64.NetFilter.k ] (заявка № 197157)

  1. #1
    Junior Member Репутация
    Регистрация
    15.02.2016
    Сообщений
    5
    Вес репутации
    30

    устанавливаются програмы сами по себе [Trojan.MSIL.Miner.aia, Trojan.Win64.Agent.dms, not-a-virus:NetTool.Win64.NetFilter.k ]

    сначала устаналивалась одна программа теперь сразу кучами в фоновом режиме

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) mangyst, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Правила оформления запроса о помощи

    Как оформить заявку в разделе "Помогите!"

    Правила
    4. Создайте новую тему в разделе Помогите с кратким описанием проблемы в заголовке и подробным описанием в сообщении; вложите в сообщение файлы логов, полученных в процессе диагностики (AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip, HJT - hijackthis.log)
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  5. #4
    Junior Member Репутация
    Регистрация
    15.02.2016
    Сообщений
    5
    Вес репутации
    30
    - - - - -Добавлено - - - - -

    virusinfo_syscheck.zip
    hijackthis.log
    virusinfo_syscure.zip

  6. #5
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
      TerminateProcessByName('c:\programdata\fwdmf\wdman.exe');
      TerminateProcessByName('C:\Users\mangyst\AppData\Local\Tamptone.exe');
      TerminateProcessByName('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\knsf9797.tmpfs');
      TerminateProcessByName('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp');
      TerminateProcessByName('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqc9d6.tmp');
      TerminateProcessByName('c:\program files (x86)\battle.net\battle.net.6734\battle.net.exe');
      TerminateProcessByName('c:\users\mangyst\appdata\local\amigo\application\amigo.exe');
      TerminateProcessByName('c:\programdata\airtostrong\airtostrong.exe');
      TerminateProcessByName('c:\windows\temp\5ec6.tmp');
      StopService('TSSKX64');
      StopService('swsedrvr_vt_1_10_0_25');
      StopService('QMUdisk');
      StopService('ppfd_vt_1_10_0_24');
      StopService('{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64');
      StopService('netfilter2');
      StopService('CppWindowsService');
      StopService('wucotusy');
      StopService('WdMan');
      StopService('gywyveqozbt');
      StopService('downloaedoonloader');
      StopService('Airtostrong');
      QuarantineFile('C:\ProgramData\RenewalService\Service.exe','');
      QuarantineFile('C:\Windows\winstart.bat','');
      QuarantineFile('C:\Program Files (x86)\RaidCall.RU\raidcall.exe','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\Temp\qq-bundle.exe','');
      QuarantineFile('C:\Program Files (x86)\ppt\Uninst.exe','');
      QuarantineFile('C:\Users\mangyst\AppData\Roaming\MyDesktop\qweeeCL.exe','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\MediaGet2\mediaget.exe','');
      QuarantineFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','');
      QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010117\gmsd_ru_005010117.exe','');
      QuarantineFile('C:\Program Files (x86)\Clownfish\Clownfish.exe','');
      QuarantineFile('C:\Windows\RegPolicy\aticonto.exe','');
      QuarantineFile('C:\Program Files (x86)\ppt\ppt.exe','');
      QuarantineFile('C:\ProgramData\Airtostrong\Joystock.dll','');
      QuarantineFile('C:\ProgramData\Airtostrong\Biocore.dll','');
      QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys','');
      QuarantineFile('C:\Windows\system32\DRIVERS\Thetta64.sys','');
      QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
      QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys','');
      QuarantineFile('C:\Windows\system32\drivers\ppfd_vt_1_10_0_24.sys','');
      QuarantineFile('C:\Windows\system32\drivers\{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64.sys','');
      QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys','');
      QuarantineFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libglesv2.dll','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libegl.dll','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_elf.dll','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_child.dll','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome.dll','');
      QuarantineFile('c:\programdata\fwdmf\wdman.exe','');
      QuarantineFile('C:\Users\mangyst\AppData\Local\Tamptone.exe','');
      QuarantineFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\knsf9797.tmpfs','');
      QuarantineFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp','');
      QuarantineFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqc9d6.tmp','');
      QuarantineFile('c:\program files (x86)\battle.net\battle.net.6734\battle.net.exe','');
      QuarantineFile('c:\users\mangyst\appdata\local\amigo\application\amigo.exe','');
      QuarantineFile('c:\programdata\airtostrong\airtostrong.exe','');
      QuarantineFile('c:\windows\temp\5ec6.tmp','');
      DeleteFile('C:\Users\mangyst\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\?????.lnk');
      DeleteFile('c:\windows\temp\5ec6.tmp','32');
      DeleteFile('c:\program files (x86)\battle.net\battle.net.6734\battle.net.exe','32');
      DeleteFile('c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Tamptone.exe','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome.dll','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_child.dll','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\chrome_elf.dll','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libegl.dll','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\45.0.2454.107\libglesv2.dll','32');
      DeleteFile('C:\ProgramData\Airtostrong\Airtostrong.exe','32');
      DeleteFile('C:\Program Files (x86)\03000200-1455551048-0500-0006-000700080009\knsf9797.tmpfs','32');
      DeleteFile('C:\ProgramData\FWdMF\WdMan.exe','32');
      DeleteFile('C:\Program Files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqC9D6.tmp','32');
      DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe','32');
      DeleteFile('C:\Windows\system32\drivers\{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64.sys','32');
      DeleteFile('C:\Windows\system32\drivers\ppfd_vt_1_10_0_24.sys','32');
      DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys','32');
      DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32');
      DeleteFile('C:\Windows\system32\drivers\tsskx64.sys','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Amigo\Application\amigo.exe','32');
      DeleteFile('C:\ProgramData\Airtostrong\Biocore.dll','32');
      DeleteFile('C:\ProgramData\Airtostrong\Joystock.dll','32');
      DeleteFile('C:\Program Files (x86)\ppt\ppt.exe','32');
      DeleteFile('C:\Windows\RegPolicy\aticonto.exe','32');
      DeleteFile('C:\Program Files (x86)\gmsd_ru_005010117\gmsd_ru_005010117.exe','32');
      DeleteFile('C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\MediaGet2\mediaget.exe','32');
      DeleteFile('C:\Users\mangyst\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
      DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe','32');
      DeleteFile('C:\Users\mangyst\AppData\Local\Temp\qq-bundle.exe','32');
      DeleteFile('C:\Windows\winstart.bat','32');
      DeleteFile('C:\ProgramData\RenewalService\Service.exe','32');
      DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Diagnosis\RenewalService','64');
      DeleteFile('C:\Windows\system32\Drivers\netfilter2.sys','32');
      RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aticonto','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010117','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_898451212780868DC9B8E5987801E58A','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcmgr','command');
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qq-bundle.exe -start','command');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
      DeleteService('TSSKX64');
      DeleteService('swsedrvr_vt_1_10_0_25');
      DeleteService('QMUdisk');
      DeleteService('ppfd_vt_1_10_0_24');
      DeleteService('{656cea1c-cb9a-487a-86b6-03ccebd62a45}Gw64');
      DeleteService('netfilter2');
      DeleteService('CppWindowsService');
      DeleteService('wucotusy');
      DeleteService('WdMan');
      DeleteService('gywyveqozbt');
      DeleteService('downloaedoonloader');
      DeleteService('Airtostrong');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(4);
     ExecuteWizard('SCU',2,2,true);
    RebootWindows(true);
    end.
    После перезагрузки выполните скрипт:
    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

    +
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    15.02.2016
    Сообщений
    5
    Вес репутации
    30
    вот
    Вложения Вложения

  9. #7
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

    +
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.



    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  10. #8
    Junior Member Репутация
    Регистрация
    15.02.2016
    Сообщений
    5
    Вес репутации
    30
    всё прошло больше не чего не вылазит и не загружается. Спасибо за помощь

  11. #9
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    9,009
    Вес репутации
    488
    - Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
    Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
    Virusinfo - за чистый Интернет.
    Делай добро и бросай его в воду.

  12. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 24
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\hnsqc9d6.tmp - not-a-virus:AdWare.Win32.Vopak.atd ( AVAST4: Win32:Dropper-gen [Drp] )
      2. c:\program files (x86)\03000200-1455551048-0500-0006-000700080009\jnsfb21f.tmp - not-a-virus:AdWare.Win32.ConvertAd.bjn ( AVAST4: Win32:Adware-gen [Adw] )
      3. c:\programdata\airtostrong\joystock.dll - Trojan.Win64.Agent.dms
      4. c:\users\mangyst\appdata\local\tamptone.exe - Trojan-Downloader.MSIL.Agent.ajyb
      5. c:\windows\regpolicy\aticonto.exe - Trojan.MSIL.Miner.aia ( DrWEB: Trojan.Coinbit.39 )
      6. c:\windows\system32\drivers\netfilter2.sys - not-a-virus:NetTool.Win64.NetFilter.aq
      7. c:\windows\system32\drivers\{656cea1c-cb9a-487a-86b6-03ccebd62a45}gw64.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Tool.NetFilter.313, BitDefender: Adware.SwiftBrowse.CH )
      8. c:\windows\temp\5ec6.tmp - not-a-virus:AdWare.Win32.ConvertAd.amfz


  • Уважаемый(ая) mangyst, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. устанавливаются программы сами по себе
      От jarlight в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 27.11.2015, 20:07
    2. устанавливаются программы сами по себе
      От silver163 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 27.11.2015, 08:46
    3. Устанавливаются программы сами по себе
      От pavel1697 в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 08.11.2015, 19:14
    4. Устанавливаются неизвестные программы сами по себе
      От Александр Бессонов в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.10.2015, 20:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00713 seconds with 20 queries