Стали вылетать абсолютно все браузеры и Word (возможно какието еще программы просто я их не включал), когда запускаю браузер в диспетчере задач появляется множество копий процессов браузера с пометкой "(32 бита)"
Printable View
Стали вылетать абсолютно все браузеры и Word (возможно какието еще программы просто я их не включал), когда запускаю браузер в диспетчере задач появляется множество копий процессов браузера с пометкой "(32 бита)"
Уважаемый(ая) [B]Sl1mShady[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\programdata\srtserv\4 класс.exe');
QuarantineFileF('c:\programdata\srtserv', '*', true, ' ', 0, 0);
QuarantineFile('c:\programdata\srtserv\sdata.dll','');
QuarantineFile('C:\Users\Максим\appdata\roaming\closer.exe','');
QuarantineFile('C:\Users\Максим\AppData\Local\Schedule\Schedule.exe','');
QuarantineFile('C:\Users\Максим\AppData\Local\CatalinaGroup\Citrio\Application\chrome.url','');
QuarantineFile('c:\programdata\srtserv\4 класс.exe','');
DeleteFile('C:\ProgramData\srtserv\4 класс.exe','32');
DeleteFile('C:\Users\Максим\AppData\Local\CatalinaGroup\Citrio\Application\chrome.url','32');
DeleteFile('C:\Users\Максим\AppData\Local\Schedule\Schedule.exe','32');
DeleteFile('C:\WINDOWS\Tasks\a2zLyrics Update.job','64');
DeleteFile('C:\WINDOWS\Tasks\schedule!3036567561.job','64');
DeleteFile('C:\WINDOWS\system32\Tasks\a2zLyrics Update','64');
DeleteFile('C:\WINDOWS\system32\Tasks\schedule!3036567561','64');
DeleteFile('C:\Users\Максим\appdata\roaming\closer.exe','32');
DeleteFile('c:\programdata\srtserv\sdata.dll','32');
DelBHO('{1f270dd3-0b42-4047-a999-5a49b3e872a0}');
DelBHO('{13f2c417-34e5-4ab2-9f04-9286afb2eb13}');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','srtserv');
DeleteFileMask('C:\Users\Максим\AppData\Local\Schedule', '*', true, ' ');
DeleteFileMask('C:\Program Files\Zaxar', '*', true, ' ');
DeleteDirectory('C:\Users\Максим\AppData\Local\Schedule');
DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Полученный архив [b]quarantine.zip[/b] из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HiJackThis[/URL] (некоторые строки могут отсутствовать).
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: MediaWatchV1home389 - {13f2c417-34e5-4ab2-9f04-9286afb2eb13} - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home389\ie\MediaWatchV1home389.dll
O2 - BHO: MediaViewV1alpha983 - {1f270dd3-0b42-4047-a999-5a49b3e872a0} - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha983\ie\MediaViewV1alpha983.dll
O4 - HKCU\..\Run: [NextLive] C:\WINDOWS\SysWOW64\rundll32.exe "C:\Users\Максим\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
O4 - Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe
O4 - Global Startup: Schedule.lnk = ?
O4 - Global Startup: Zaxar Games Browser.lnk = C:\Program Files\Zaxar\ZaxarLoader.exe
[/CODE]
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Custom Scan[/b]" ("[B]Выборочное сканирование[/B]"), отметьте все жесткие диски, затем нажмите "[b]Start Scan[/b]" ("[B]Начать Сканирование[/B]"), после сканирования - нажмите [b]Export Log[/b] - Сохраните лог в виде текстового документа на рабочем столе. Прикрепите отчет MBAM.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Вот вроде все скинул
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Кстати стим начал еще вылетать при запуске игры через него
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Folder Found C:\Program Files (x86)\Mail.Ru
Folder Found C:\Users\Максим\AppData\Local\Mail.Ru
Folder Found C:\Users\Максим\AppData\Local\Yandex
Folder Found C:\Users\Максим\AppData\LocalLow\Yandex
Folder Found C:\Users\Максим\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex
Folder Found C:\Users\Максим\AppData\Roaming\Yandex
Value Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
[/CODE][*] Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
В MBAM удалите все [B]кроме[/B]:
[CODE]
Files:
PUP.RiskwareTool.CK, C:\Program Files (x86)\R.G. Catalyst\Test Drive Unlimited 2\paul.dll, , [95d59b6e28538caa579e8201a35d12ee],
RiskWare.Tool.HCK, C:\Program Files (x86)\R.G. Catalyst\Test Drive Unlimited 2\keygen\rld-tdu2-kg.exe, , [5911aa5fb0cbdb5bd1969427956c60a0],
HackTool.Agent, C:\Users\???°??N?????\Desktop\CCO\CCO.exe, , [06648089ee8d38fed19334eed62e9d63],
PUP.Optional.InstallCore, C:\Users\???°??N?????\Desktop\Backup\Downloads\hamachi_inst.msi, , [28426c9d8cef0036d4fd805eae5535cb],
Backdoor.Bot, C:\Users\???°??N?????\Desktop\Backup\Downloads\[samp-mods.com]_1344927202_mta-map-editor-with-samp-objects-rev-b3.rar, , [066450b99edd75c134d7e682857b5ea2],
PUP.Optional.InstallCore.A, C:\Users\???°??N?????\Desktop\Backup\Downloads\DownloadManagerSetup.exe, , [a4c60ffa84f769cd63b741acd72c09f7],
PUP.HackTool.HotKeysHook, C:\Users\???°??N?????\Desktop\Backup\Downloads\32452_train.zip, , [36340207bebd270f7787b210699abf41],
PUP.Optional.InstallMonster, C:\Users\???°??N?????\Desktop\Backup\Downloads\UltraISO_9.5.2.2836.exe, , [b3b7c148c6b55ed8a812df6a28d924dc],
Riskware.Tool.CK, C:\Users\???°??N?????\Desktop\Backup\Downloads\UltraISO_9.5.2.2836.zip, , [3b2f9772fb801323069ab166d33151af],
PUP.Optional.InstallMonstr.A, C:\Users\???°??N?????\Desktop\Backup\Downloads\?·?°??N?N??¶?µ???????µ, , [1a506c9de2997eb88ed6f0685ba622de],
PUP.Optional.Somoto, C:\Users\???°??N?????\Desktop\Backup\Downloads\FlarePackv2-Baja002_downloader-13Vj3t6u.exe, , [4426b1587407c1756427831f6b98bd43],
PUP.Optional.RegCleanerPro, C:\Users\???°??N?????\Desktop\Backup\Downloads\sysrc_trial.exe, , [373324e59fdce254870edc2618e9f808],
PUP.Optional.LoadMoney, C:\Users\???°??N?????\Desktop\Backup\Downloads\torrent (1).exe, , [90da09006b10f73fe94c6ed12bd67789],
PUP.Optional.LoadMoney, C:\Users\???°??N?????\Desktop\Backup\Downloads\torrent.exe, , [bdad10f98af11c1ab88e59be738eda26],
Trojan.Onlinegames, C:\Users\???°??N?????\Desktop\Backup\Downloads\GPU-Overclock-2013.exe_15271713_39_letB.exe, , [b5b5a861d1aa9a9c69a67f612ed33ec2],
Trojan.InstallMonster, C:\Users\???°??N?????\Desktop\Backup\Downloads\hamachi (1).exe, , [561432d78eedcc6a958191806d94ee12],
PUP.Optional.LoadMoney, C:\Users\???°??N?????\Desktop\Backup\Downloads\chit_antiban_dlya_css_v34.exe, , [6109b653bebdee4815f13f11a85902fe],
HackTool.Agent, C:\Users\???°??N?????\Desktop\Backup\Downloads\6_cco-by-tedla_ru.rar, , [2a40d336de9dc0769dc7121021e339c7],
PUP.PSWTool.ProductKey, C:\Users\???°??N?????\Desktop\Backup\Downloads\produkey.zip, , [c0aa27e2126942f4f39269e3a8580cf4],
PUP.HackTool.H, C:\Users\???°??N?????\Desktop\Backup\Downloads\RageBot-FInject.zip, , [afbb8683e794a492cf94676008f9d52b],
PUP.Optional.RegCleanerPro, C:\Users\???°??N?????\Desktop\Backup\Downloads\rcpsetupst_RC1_RU_F_1.exe, , [4e1c77921b60b77f4154e9196b9632ce],
PUP.HackTool.H, C:\Users\???°??N?????\Desktop\Backup\Downloads\1247_RageBot-FInject.zip, , [f1799d6cadcef64079eab314dc25ee12],
PUP.Optional.LoadMoney, C:\Users\???°??N?????\Desktop\Backup\Downloads\alina_artts_-_hit_the_red_light_chris_cox_club_mix_zaycev_net (1).exe, , [84e6dd2c47343501196c40fac0413fc1],
Trojan.Downloader, C:\Users\???°??N?????\Desktop\Backup\Downloads\1915_1581_113_P7_v7 (1).rar, , [d09a0900106b30063fbbc384de22738d],
HackTool.Agent, C:\Users\???°??N?????\Desktop\Backup\Downloads\1_100_Autoknife_c (1).rar, , [0c5e9c6d413a181ec59fbf639470dd23],
HackTool.Agent, C:\Users\???°??N?????\Desktop\Backup\Downloads\1_100_Autoknife_c.rar, , [0664bb4e2a516fc7362e5ec4c83c916f],
Trojan.Agent.H, C:\Users\???°??N?????\Desktop\Backup\Downloads\3566_432_1_2.3.rar, , [6ffb16f3bfbc4de9ce426c5ab54c54ac],
PUP.Optional.Softonic.A, C:\Users\???°??N?????\Desktop\Backup\Downloads\SoftonicDownloader_for_hamachi.exe, , [0268ba4ff784af875e5de730719013ed],
HackTool.Agent, C:\Users\???°??N?????\Desktop\Iniuria_CSS_v34\Iniuria CSS\zhack.exe, , [6bffe326611a8ea83e26eb3763a18080],
PUP.Optional.LoadMoney, C:\Users\???°??N?????\Desktop\?¤?»?µN????° ?±N????°??\iz_kinofilmov_-_kuplety_kurochkina_-_hvastat_milaya_ne_stanu_-_mail_ru.exe, , [7ceed732126988ae35e9212fe61b6c94],
Trojan.AutoKMS, C:\Windows\AutoKMS\AutoKMS.exe, , [90da20e992e9fe38a1aabe0732cead53],
[/CODE]
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Вот, а на счет МВАМ что делать я не очень понял
В MBAM нужно удалить все кроме указанных записей из 5 сообщения.
Куда нажимать надо? Я никак не разберусь
[URL="http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/#post-134172"]Тут[/URL] подробно описано.
Эт нужно заного сканировать все диски?
из дисков галочку можно только С, а остальные галочки все поставьте.
У меня вот сканирование завершилось и я случайно перешел в настройки, я могу както вернуться в то окно где выбирать что удалять?
Кажется нужно перейти на вкладку сканирование.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\srtserv\sdata.dll - [B]Trojan.Win32.Agent2.dlwp[/B] ( DrWEB: Trojan.Siggen2.28594, BitDefender: Worm.Generic.320902, NOD32: Win32/AutoRun.Delf.DK worm, AVAST4: Win32:Malware-gen )[*] c:\programdata\srtserv\1111111111111111.exe.bak - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Pushnik.21, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:Sality )[*] c:\programdata\srtserv\4 класс.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Pushnik.21, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:Sality )[*] c:\programdata\srtserv\8марта.exe.bak - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Pushnik.21, BitDefender: Gen:Variant.Rimecud.2, AVAST4: Win32:Sality )[/LIST][/LIST]