Printable View
Антивирус Касперского постоянно блокирует переходы на опасные сайты, причем за компьютером может никого не быть. Как я понял, вирус начинает работать через несколько минут, после того как перестаешь шевелить мышкой. Переходы на эти сайты происходят где то внутри системы, не через браузер. Из видимого, всплывает окошко Error Messages I/O APIC return <Error>. Операционная система Windows 10 64х.
Уважаемый(ая) [B]Арти Лаин[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\users\viato_000\appdata\local\sweetlabs app platform\engine\servicehostapp.exe');
TerminateProcessByName('C:\Users\viato_000\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe');
TerminateProcessByName('C:\Users\viato_000\AppData\Local\SweetLabs App Platform\Engine\ServiceStartMenuIndexer.exe');
QuarantineFile('c:\users\viato_000\appdata\local\sweetlabs app platform\engine\servicehostapp.exe', '');
QuarantineFile('C:\Users\viato_000\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '');
QuarantineFile('C:\Users\viato_000\AppData\Local\SweetLabs App Platform\Engine\ServiceStartMenuIndexer.exe', '');
QuarantineFile('C:\Users\viato_000\AppData\Roaming\Identifiers\UserinitesRun.vbs', '');
QuarantineFile('C:\Users\viato_000\AppData\Roaming\LiveKernel\Servicing\Backups\CheckBackup.vbs', '');
QuarantineFile('C:\Users\viato_000\AppData\Roaming\Maintenanse\ClearBackup.vbs', '');
DeleteFile('c:\users\viato_000\appdata\local\sweetlabs app platform\engine\servicehostapp.exe', '32');
DeleteFile('C:\Users\viato_000\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe', '32');
DeleteFile('C:\Users\viato_000\AppData\Local\SweetLabs App Platform\Engine\ServiceStartMenuIndexer.exe', '32');
DeleteFile('C:\Users\viato_000\AppData\Roaming\Identifiers\UserinitesRun.vbs', '32');
DeleteFile('C:\Users\viato_000\AppData\Roaming\LiveKernel\Servicing\Backups\CheckBackup.vbs', '32');
DeleteFile('C:\Users\viato_000\AppData\Roaming\Maintenanse\ClearBackup.vbs', '32');
ExecuteFile('schtasks.exe', '/delete /TN "MachID" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SweetLabs App Platform" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "TaskTerminateBackupFolder" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "TaskTerminateClearFolder" /F', 0, 15000, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Вот пожалуйста
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Сделал
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]powershell: -command enable-computerrestore -drive \"C:\\\"
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
Folder: C:\Users\viato_000\AppData\Local\SweetLabs App Platform
Folder: C:\Users\viato_000\AppData\Roaming\Identifiers
Task: {2A39238D-320A-4B1D-9CBA-84E8BEA78AA0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {2D4D4EE8-5E98-4B98-8688-47BB678247DC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {2D9131F0-120B-4CAA-AD39-E26F1A3DBDB4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {30F86A84-05C4-4C20-801D-36F5B60AFB16} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {763013C6-266E-47A2-8C4F-BD55E5A88490} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {83192A37-F659-4D06-8B07-6F9A39A943DC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [149]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [124]
FirewallRules: [{ADB529CF-354D-4EC2-962B-D32B0E263784}] => (Allow) C:\Users\viato_000\AppData\Roaming\Identifiers\win32\wahiver.exe
FirewallRules: [{A19709C5-65EF-4F66-94B3-C88C35F74885}] => (Allow) C:\Users\viato_000\AppData\Roaming\Identifiers\win32\wahiver64.exe
FirewallRules: [{2672FD31-B090-49B1-9B1C-F9712921A81E}] => (Allow) C:\Users\viato_000\AppData\Roaming\Identifiers\win32\WAScribe.exe
FirewallRules: [{7DD3BF02-7DA7-41A8-8365-BDCDD1E994D2}] => (Allow) C:\Users\viato_000\AppData\Roaming\Identifiers\win32\wasp.exe
FirewallRules: [{63923285-4966-4D39-B6C1-C82B1FABF817}] => (Allow) C:\Users\viato_000\AppData\Roaming\Identifiers\win32\waspwing.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Не дает загрузить этот файл во вложениях, превышает размер. Загрузил его яндекс.диск [URL="https://yadi.sk/i/7a-VjfHfxqod6"]https://yadi.sk/i/7a-VjfHfxqod6[/URL]
Такой fixlist.txt примените:[CODE]C:\Users\viato_000\AppData\Local\SweetLabs App Platform
C:\Users\viato_000\AppData\Roaming\Identifiers[/CODE]
Fixlog.txt прикрепите.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Сделал
Проблема решена?
Удалите программу Host App Service v.0.269.7.983.
[QUOTE]Adobe AIR v.21.0.0.215 [color=red][b]Внимание! [url=https://get.adobe.com/ru/air/]Скачать обновления[/url][/b][/color]
Mozilla Firefox 47.0.1 (x86 ru) v.47.0.1 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/new/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color][/QUOTE]
Обновите эти программы.
Да, вроде больше никаких проявлений нет. Спасибо вам большое!
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]