Где то 3 месяца назад уже обращался с подобной проблемой, переустановил винду и снова подцепил его, находится в папке AppData/Local/temp/msupdate71 Помогите избавится, а то я забил и он походу накачал мне еще в добавок рекламы в браузер
Где то 3 месяца назад уже обращался с подобной проблемой, переустановил винду и снова подцепил его, находится в папке AppData/Local/temp/msupdate71 Помогите избавится, а то я забил и он походу накачал мне еще в добавок рекламы в браузер
Уважаемый(ая) [B]Losos'[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Losos\appdata\local\temp\msupdate71\indexer.exe','');
QuarantineFile('C:\Users\Losos\AppData\Local\Temp\mdi064.dll','');
QuarantineFile('C:\Users\Losos\AppData\Local\42323039-1425069645-4331-4643-3646FFFFFFFF\bnsmC71.exe','');
QuarantineFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','');
DeleteService('pfnfd_1_10_0_9');
SetServiceStart('zyjonyce', 4);
DeleteService('zyjonyce');
TerminateProcessByName('c:\programdata\timetasks\timetasks.exe');
QuarantineFile('c:\programdata\timetasks\timetasks.exe','');
TerminateProcessByName('C:\Users\Losos\AppData\Local\Temp\msupdate71\dwm.exe');
QuarantineFile('C:\Users\Losos\AppData\Local\Temp\msupdate71\dwm.exe','');
TerminateProcessByName('c:\users\losos\appdata\local\42323039-1425069657-4331-4643-3646ffffffff\cnsh2c03.tmp');
QuarantineFile('c:\users\losos\appdata\local\42323039-1425069657-4331-4643-3646ffffffff\cnsh2c03.tmp','');
TerminateProcessByName('c:\users\losos\appdata\local\42323039-1425069657-4331-4643-3646ffffffff\anss2a1f.exe');
QuarantineFile('c:\users\losos\appdata\local\42323039-1425069657-4331-4643-3646ffffffff\anss2a1f.exe','');
DeleteFile('c:\users\losos\appdata\local\42323039-1425069657-4331-4643-3646ffffffff\anss2a1f.exe','32');
DeleteFile('c:\users\losos\appdata\local\42323039-1425069657-4331-4643-3646ffffffff\cnsh2c03.tmp','32');
DeleteFile('C:\Users\Losos\AppData\Local\Temp\msupdate71\dwm.exe','32');
DeleteFile('c:\programdata\timetasks\timetasks.exe','32');
DeleteFile('C:\Windows\system32\drivers\pfnfd_1_10_0_9.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
DeleteFile('C:\Users\Losos\AppData\Local\42323039-1425069645-4331-4643-3646FFFFFFFF\bnsmC71.exe','32');
DeleteFile('C:\Users\Losos\AppData\Local\Temp\mdi064.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tsiVideo');
DeleteFile('C:\Users\Losos\appdata\local\temp\msupdate71\indexer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Сделайте новые логи по правилам[/B]
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделано
Поместите в карантин МВАМ только
[CODE]Registry Keys: 3
PUP.Optional.PhraseFinder.A, HKLM\SOFTWARE\WOW6432NODE\PhraseFinder_1.10.0.9, , [d5d4eb37701afb3b5324544f699a43bd],
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1728602021-861729632-423638487-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE\1I1T1Q1S, , [e1c854ceb4d68bab2fbe54972fd44fb1],
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1728602021-861729632-423638487-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, , [dccd48daacde87af25a8827fc54060a0],
Registry Values: 1
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1728602021-861729632-423638487-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE|tb, 0N2X1N, , [dccd48daacde87af25a8827fc54060a0]
Files: 24
PUP.Optional.Zaxar.A, C:\Users\Losos\AppData\Local\Temp\ZaxarSetup.4.001.33.exe, , [43669e8494f6d660fa03312c43bd12ee],
Trojan.BitMiner, C:\Users\Losos\AppData\Local\Temp\msupdate71\msupdate.7z, , [c5e4e73b41498aac25e431bf24dd4db3],
Trojan.Bitminer, C:\Users\Losos\Desktop\???????°N? ???°?????°\avz4\Quarantine\2015-02-11\avz00001.dta, , [5f4a02209af07abc29a718d223de5ea2],
Trojan.BitMiner, C:\Users\Losos\Desktop\???????°N? ???°?????°\avz4\Quarantine\2015-02-11\avz00003.dta, , [c3e60a1867231a1cf118a9475ba6b44c],
Trojan.BitMiner, C:\Users\Losos\Desktop\???????°N? ???°?????°\avz4\Quarantine\2015-03-03\avz00001.dta, , [1099e33f8cfeb0869178d61a5aa70af6],
Trojan.Bitminer, C:\Users\Losos\Desktop\???????°N? ???°?????°\avz4\Quarantine\2015-03-03\avz00002.dta, , [c4e5dd453f4be84e6b65f2f8d9286799],
PUP.Optional.Vitruvian.A, C:\Users\Losos\AppData\Local\Temp\vitruvian-installer-install-v0003, , [7138c75b830755e1149406245baa936d],
PUP.Optional.Vitruvian.A, C:\Users\Losos\AppData\Local\Temp\vitruvian-installer-processes-v0002, , [713869b979113402e4c450da8a7bd52b],
PUP.Optional.Vitruvian.A, C:\Users\Losos\AppData\Local\Temp\vitruvian-installer-scheduledtasks-v0001, , [adfc0f13d9b17db9ccdcbe6c669f51af],
PUP.Optional.Vitruvian.A, C:\Users\Losos\AppData\Local\Temp\vitruvian-installer-softwareregkeys-v0002, , [8b1e9e84a6e482b4b7f1ad7dce378878],
PUP.Optional.Vitruvian.A, C:\Users\Losos\AppData\Local\Temp\vitruvian-installer-uninstall-v0002, , [0b9e74ae602a69cd6741d05a45c0dd23], [/CODE]
[QUOTE=thyrex;1238933]Поместите в карантин МВАМ только
[/CODE][/QUOTE]
Подскажите как это сделать, и куда собственно этот код вводить?
Запускать повторное сканирование и дождаться его окончания
Запустил, но повторное сканирование ничего не обнаружило
Что с проблемой?
Сам файл dwm.exe удален, но папка msupdate71 и несколько файлов в ней остались, ошибка dwm.exe больше не выскакивает, реклама исчезла, из подозрительного осталось только отсутствие изображения браузера (chrome) на панели задач, могу скинуть скрин, если надо
[quote="Losos';1239910"]папка msupdate71 и несколько файлов в ней остались[/quote]удалите вручную
Удалите МВАМ
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Вот
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CHR HKU\S-1-5-21-1728602021-861729632-423638487-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
2015-02-27 20:38 - 2015-02-27 20:39 - 00000000 ____D () C:\Users\Losos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
2015-02-27 20:38 - 2015-02-27 20:39 - 00000000 ____D () C:\Users\Losos\AppData\Roaming\eTranslator
2015-02-27 20:37 - 2015-02-27 20:40 - 00000000 ____D () C:\Users\Losos\AppData\Local\Amigo
2015-02-27 20:37 - 2015-02-27 20:39 - 00000000 ____D () C:\Users\Losos\AppData\Roaming\Homepager
C:\Users\Losos\AppData\Local\Temp\7ED8878D-519A-4D72-B214-082B819AC9D5.exe
C:\Users\Losos\AppData\Local\Temp\84666327-8DE0-446C-B069-AA34E85E5C57.exe
C:\Users\Losos\AppData\Local\Temp\D2FFB680-7C7C-4987-9CB4-ACF0FE7F6CFC.exe
C:\Users\Losos\AppData\Local\Temp\F8E2E76F-31F3-4220-BE4B-49330A22A053.exe
C:\Users\Losos\AppData\Local\Temp\i7A7A.tmp.exe
Reboot:
[/code][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Вот
Что с проблемой?
Вместо ярлыка браузера вот такая штука, с чем связано не знаю, просто подозрительно. В остальном проблем нет
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\losos\appdata\local\temp\msupdate71\dwm.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.ng[/B] ( DrWEB: Tool.BtcMine.390 )[/LIST][/LIST]