Был подхвачен вирус бронток, после чего процессор начал перегружаться и компьютер выключался. Антивирусник обнаружил вирус и почистил комп, но через некоторое время проблема возобновилась.
Был подхвачен вирус бронток, после чего процессор начал перегружаться и компьютер выключался. Антивирусник обнаружил вирус и почистил комп, но через некоторое время проблема возобновилась.
Уважаемый(ая) [B]bruceband1[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[B]Здравствуйте![/B]
Вам необходимо:
[B]1.[/B] [URL="http://virusinfo.info/showthread.php?t=7239"]Выполнить[/URL] следующий скрипт в AVZ:
[CODE]
begin
TerminateProcessByName('c:\users\Серый\appdata\local\winlogon.exe');
TerminateProcessByName('c:\users\Серый\appdata\local\services.exe');
TerminateProcessByName('c:\users\Серый\appdata\local\lsass.exe');
TerminateProcessByName('c:\users\Серый\appdata\local\csrss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus');
QuarantineFile('C:\Users\Серый\appdata\roaming\microsoft\windows\start menu\programs\startup\empty.pif','');
QuarantineFile('C:\Users\Серый\appdata\roaming\microsoft\windows\templates\wowtumpeh.com','');
QuarantineFile('C:\Users\Серый\documents\documents.exe','');
QuarantineFile('C:\Users\Серый\appdata\local\winlogon.exe','');
QuarantineFile('C:\Users\Серый\appdata\local\smss.exe','');
QuarantineFile('C:\Users\Серый\appdata\local\services.exe','');
QuarantineFile('C:\Users\Серый\appdata\local\lsass.exe','');
QuarantineFile('C:\Users\Серый\appdata\local\csrss.exe','');
QuarantineFile('C:\Users\Серый\AppData\Local\smss.exe','');
QuarantineFile('c:\users\Серый\appdata\local\winlogon.exe','');
QuarantineFile('c:\users\Серый\appdata\local\services.exe','');
QuarantineFile('c:\users\Серый\appdata\local\lsass.exe','');
QuarantineFile('c:\users\Серый\appdata\local\csrss.exe','');
DeleteFile('c:\users\Серый\appdata\local\csrss.exe','32');
DeleteFile('c:\users\Серый\appdata\local\lsass.exe','32');
DeleteFile('c:\users\Серый\appdata\local\services.exe','32');
DeleteFile('c:\users\Серый\appdata\local\winlogon.exe','32');
DeleteFile('C:\Users\Серый\AppData\Local\smss.exe','32');
DeleteFile('C:\Users\Серый\appdata\local\csrss.exe','32');
DeleteFile('C:\Users\Серый\appdata\local\lsass.exe','32');
DeleteFile('C:\Users\Серый\appdata\local\services.exe','32');
DeleteFile('C:\Users\Серый\appdata\local\smss.exe','32');
DeleteFile('C:\Users\Серый\appdata\local\winlogon.exe','32');
DeleteFile('C:\Users\Серый\documents\documents.exe','32');
DeleteFile('C:\Users\Серый\appdata\roaming\microsoft\windows\templates\wowtumpeh.com','32');
DeleteFile('C:\Users\Серый\appdata\roaming\microsoft\windows\start menu\programs\startup\empty.pif','32');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
[/CODE]
Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке [B][COLOR="#FF0000"]"Прислать запрошенный карантин"[/COLOR][/B] вверху данной темы.
[B]2.[/B] Ваши настройки?
[CODE]
O17 - DHCP DNS - 3: 10.0.0.2
O17 - DHCP DNS - 4: 10.0.0.17
O17 - HKLM\System\CSS\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 193.192.36.12
O17 - HKLM\System\CSS\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 94.158.46.151
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 193.192.36.12
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 94.158.46.151
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 193.192.36.12
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 94.158.46.151
[/CODE]
[B]3.[/B] Сделайте новые логи AutoLogger'a.
1. Скрипт выполнен, файл с карантином отправлен.
2. Настройки мне ни о чём не говорят.
3. Логи сделаны, прилагаю к сообщению
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[img]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/img]
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Отчёт готов:)
Также нужно приложить отчет [B]Addition.txt[/B] !
Файл Addition.txt не появился. В папке с программой нет, через общий поиск не находит. После повторного сканирования FRST ситуация такая же.
1. Удалите SpyHunter через "Установку и удаление программ".
2. [list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2017-02-02 00:00 - 2017-02-02 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-2
2017-02-01 00:00 - 2017-02-01 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-1
2017-01-31 00:00 - 2017-01-31 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-31
2017-01-30 00:00 - 2017-01-30 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-30
2017-01-29 10:29 - 2017-01-29 10:29 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-29
2017-01-28 08:52 - 2017-01-28 20:12 - 00000000 ____D C:\Users\Серый\AppData\Local\Loc.Mail.Bron.Tok
2017-01-28 08:52 - 2017-01-28 08:52 - 00000000 ____D C:\Users\Серый\AppData\Local\Ok-SendMail-Bron-tok
2017-01-28 08:46 - 2017-01-28 08:46 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-28
2016-11-26 00:00 - 2016-11-26 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-26
2016-11-25 00:00 - 2016-11-25 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-25
2016-11-24 02:22 - 2016-11-24 02:22 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-24
2016-11-23 00:00 - 2016-11-23 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-23
2016-11-22 00:11 - 2016-11-22 00:11 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-22
2016-11-21 00:09 - 2016-11-21 00:09 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-21
2016-11-20 00:00 - 2016-11-20 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-20
2016-11-19 00:51 - 2016-11-19 00:51 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-19
2016-11-18 00:00 - 2016-11-18 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-18
2016-11-17 00:00 - 2016-11-17 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-17
2016-11-16 00:00 - 2016-11-16 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-16
2016-11-15 00:00 - 2016-11-15 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-15
2016-11-14 00:00 - 2016-11-14 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-14
2016-11-13 01:07 - 2016-11-13 01:07 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-13
2016-11-12 03:10 - 2016-11-12 03:10 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-12
2016-11-11 07:25 - 2016-11-11 07:25 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-11
2016-11-10 00:00 - 2016-11-10 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-10
2016-11-09 09:16 - 2016-11-09 09:16 - 00000000 ____H C:\Users\Серый\AppData\Local\BIT9DB6.tmp
2016-11-09 09:15 - 2016-11-09 09:16 - 00000000 _____ C:\Users\Серый\AppData\Local\{EC3E2490-9E50-408E-9DE0-34C43CA3B5F3}
2016-11-09 07:43 - 2016-11-09 07:43 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-9
2016-11-08 08:49 - 2016-11-08 08:49 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-8
2016-10-12 13:11 - 2016-10-12 13:11 - 0042232 _____ () C:\Users\Серый\AppData\Local\Bron.tok.A9.em.bin
2016-10-12 13:11 - 2016-10-12 13:11 - 0000051 _____ () C:\Users\Серый\AppData\Local\Kosong.Bron.Tok.txt
2015-11-24 17:55 - 2011-08-16 07:04 - 0041385 _____ () C:\Users\Серый\AppData\Local\inetinfo.exe
2016-04-25 05:20 - 2016-04-25 05:20 - 0000000 _____ () C:\Users\Серый\AppData\Local\{38CDF798-2051-4F38-A998-EA7628D22BAE}
2016-11-09 09:15 - 2016-11-09 09:16 - 0000000 _____ () C:\Users\Серый\AppData\Local\{EC3E2490-9E50-408E-9DE0-34C43CA3B5F3}
EmptyTemp:
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
SpyHunter удалён. Прилагаю логи из FRST
Что с проблемой сейчас ?
Спасибо большое) Бронток не беспокоит! Браузер сам по себе не открывается, комп не греется:094:
Ура!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\серый\appdata\local\csrss.exe - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[*] c:\users\серый\appdata\local\lsass.exe - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[*] c:\users\серый\appdata\local\services.exe - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[*] c:\users\серый\appdata\local\smss.exe - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[*] c:\users\серый\appdata\local\winlogon.exe - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[*] c:\users\серый\appdata\roaming\microsoft\windows\start menu\programs\startup\empty.pif - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[*] c:\users\серый\appdata\roaming\microsoft\windows\templates\wowtumpeh.com - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[*] c:\users\серый\documents\documents.exe - [B]Email-Worm.Win32.Brontok.q[/B] ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )[/LIST][/LIST]