Странные запущенные процессы и установленные программы, которые не удаляются [not-a-virus:AdWare.Win32.ELEX.aac]
Здравствуйте!
Компьютером пользуются родители и потому толком ничего пояснить не могу, что они сделали и каким образом. Итог один - компьюетр работает очень странно - в диспетчере задач имеется огромное количество неизвестных мне процессов, в программах установлены непонятные программы, которые не могу удалить через "Установку и удаление программ" (выкидывает с ошибкой), в браузерах вместо пустой страницы приветствия запускаются непонятные страницы, а большинство браузеров просто напросто не запускаются вообще, пишет не является приложением Win32.
Первое что сделал, это в безопасном режиме проверил комп сначала бесплатной утилитой от Dr.Web - было найдено 243 объекта, потом утилитой от Касперского (KVRT) - еще 59 объектов, типа все были удалены, но при запуске компьютера по-прежнему видны разные программы непонятного содержания, которые удалить не могу. Терзают мысли, что это что-то вроде руткитов, spyware и т.д.
Прикладываю необходимые логи.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Kaliostro, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteService('iSafeService');
QuarantineFile('c:\program files\uvconverter\uvconverter.exe','');
QuarantineFile('c:\program files\interhop\interhop.exe','');
DeleteFile('C:\Program Files\Elex-tech\YAC\iSafeSvc.exe','32');
DeleteFile('C:\Program Files\winzipper\zlib1.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением темы.
Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
прошу прощения что так долго отвечал, нахожусь далеко от родительского компьютера и приходится ждать как они приезжают сдачи и по удаленке все делать. эхх, родители ))
quarantine.zip отправил как просили
Файл сохранён как 161029_192617_quarantine_5814cda9b113a.zip
Размер файла 1088133
MD5 dab78b98e7a3c59e651c6ff9eb95f176
логи прилагаю
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
скачал Farbar Recovery Scan Tool версии x32, поскольку на компе ОС Windows XP 32bit.
запустил - появилась ошибка о том, что приложение не является приложением Win32.
Ладно хоть быстро сообразил, что на компе не установлены необходимые Framework.
скачал бесплатную утилиту ASoft_.NET_Version_Detector_15, убедился что отсутствуют Net.Framework 3.5, в самой же утилите есть ссылки на ресурсы Microsoft для скачивания необходимых версий Framework.
небольшое дополнение
Thyrex, в подписи у Вас указан TDSS-киллер, так вот поменяйте пожалуйста ссылку на него, поскольку она изменилась
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Обратите внимание, что будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Да, проблема по-прежнему актуальна, поскольку:
1. в Program Files присутствует папка Elex-tech/YAC весом 235 МБ - пока тупо удалили её руками... буду смотреть как снова появится... после перезагрузки не появилась пока что.
2. в "Установке и удалении программ" имеются записи, которые я не могу удалить никак - uvConverter, Uncheckit. пока вроде всё.
3. запустил полную проверку антивируса Касперский (KAV) - нашел 14 объектов зараженных, из них 13 удалил, а к 1му применил активное лечение с перезагрузкой. потом три раза запускал полную проверку - больше ничего не нашел.
4. из браузеров вроде как поиск "левый" пропал и стартовые страницы нормальные.
в целом состояние компьютера я бы охарактеризовал как настораживающее.
а до этого запустил CCleaner для очистки системы, временных папок и всей другой ерунды.. одновременно с этим удалось удалить пару программ, которые не удалялись стандартными средствами. Uncheckit только не удалился пока.
- - - - -Добавлено - - - - -
вынужден выложить лог-файл в zip архиве, потому что размер txt файла превышает допустимый предел на форуме
P.S. Прошу прощения за нетерпимость. Я всё понял. Исправляюсь.
Последний раз редактировалось Kaliostro; 11.11.2016 в 16:24.
Спасибо большое за помощь!
Удалил всё найденное в MBAM, потом прошелся ручками еще сам по Program Files и диску С, потом отключил странные службы в автозагрузке и странные задачи через CCleaner.
Визуально комп работает как часики. Еще раз спасибо.
Последний раз редактировалось Kaliostro; 12.11.2016 в 18:11.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: