Здравствуйте, появились вирусы dllhost.exe, tor.exe, privoxy.exe, находятся в папке temp, если удаляю то они опять появляются. Установлен kis но он ничего не находит.
Printable View
Здравствуйте, появились вирусы dllhost.exe, tor.exe, privoxy.exe, находятся в папке temp, если удаляю то они опять появляются. Установлен kis но он ничего не находит.
Уважаемый(ая) [B]zmaximka[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B]Здравствуйте![/B]
Вам необходимо:
[B]1.[/B] [URL="http://virusinfo.info/showthread.php?t=7239"]Выполнить[/URL] следующий скрипт в AVZ:
[CODE]
begin
TerminateProcessByName('C:\Windows\Systеm32\svchost.exe');
TerminateProcessByName('C:\Windows\Temp\ctww2fpe.e03\1\dllhost.exe');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\gkernel.sys','');
QuarantineFile('C:\Windows\Systеm32\svchost.exe','cyr symb');
QuarantineFile('C:\Windows\Temp\ctww2fpe.e03\1\dllhost.exe','');
StopService('svchost');
DeleteFile('C:\Windows\Temp\ctww2fpe.e03\1\dllhost.exe','32');
DeleteFile('C:\Windows\Systеm32\svchost.exe','32');
DeleteService('svchost');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке [B][COLOR="#FF0000"]"Прислать запрошенный карантин"[/COLOR][/B] вверху данной темы.
[B]2. [/B]Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[img]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/img]
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Вот отчет FRST. quarantine.zip загрузил.
1. [list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [temp] => C:\Windows\TEMP\rb3ziu2j.1i4\1\ImportPas.exe [7168 2016-12-22] () <===== ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Games\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?win=97&clid=2073737","hxxp://mysearch.avg.com?cid={C3E6E317-2D5A-45F1-9247-4E23D35E2F46}&mid=720c55a1bf1d47d2808cd1482a84b049-ffaa5beba0c4784cb040c015bcb798ea52458887&lang=en&ds=es011&coid=avgtbdises&cmpid=&pr=sa&d=2014-01-29 23:03:43&v=17.3.1.91&pid=safeguard&sg=&sap=hp","hxxp://diakov.net/","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP"
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
S3 gkernel; \??\C:\Users\Max\AppData\Local\Temp\gkernel.sys [X]
nointegritychecks: ==> "IntegrityChecks" is disabled. <===== ATTENTION
EmptyTemp:
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполнить[/URL] следующий скрипт в AVZ:
[CODE]
begin
TerminateProcessByName('c:\windows\temp\cyvuqly0.svh\privoxy\privoxy-3.0.26\privoxy.exe');
QuarantineFile('c:\windows\temp\cyvuqly0.svh\privoxy\privoxy-3.0.26\privoxy.exe','');
QuarantineFileF('c:\windows\temp\cyvuqly0.svh\privoxy', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
DeleteFile('c:\windows\temp\cyvuqly0.svh\privoxy\privoxy-3.0.26\privoxy.exe','32');
DeleteFileMask('c:\windows\temp\i0kczfsm.ao1\tor', '*', true);
DeleteDirectory('c:\windows\temp\i0kczfsm.ao1\tor');
DeleteFileMask('c:\windows\temp\cyvuqly0.svh\privoxy', '*', true);
DeleteDirectory('c:\windows\temp\cyvuqly0.svh\privoxy');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке [B][COLOR="#FF0000"]"Прислать запрошенный карантин"[/COLOR][/B] вверху данной темы.
Я уже взял и всё удалил из папки temp, думал раз больше ничего не загружает пк то на этом всё. А по поводу тора это точно вирус я тор не ставил. Папки в temp больше не появляются, надо ли что то из выше написанного делать?
Первую часть из сообщения проделайте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\systеm32\svchost.exe - [B]UDS:DangerousObject.Multi.Generic[/B] ( BitDefender: Gen:Heur.MSIL.Krypt.2 )[*] c:\windows\temp\ctww2fpe.e03\1\dllhost.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.bww[/B][/LIST][/LIST]