Вирус троян

Printable View

07.03.2017, 19:03
lena_shmnsk

Вирус троян

Здравствуйте, помогите пожалуйста разобраться с вирусом троян. Система его видит, вроде удаляет, но через пару дней снова появляется. Буду очень благодарна за помощь
07.03.2017, 19:04
Info_bot

Уважаемый(ая) [B]lena_shmnsk[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.03.2017, 13:10
Сомнение

[B]Здравствуйте![/B]

Вам необходимо:

[B]1.[/B] [URL="http://virusinfo.info/showthread.php?t=7239"]Выполнить[/URL] следующий скрипт в AVZ:
[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.
[/CODE]

[B]2.[/B] Удалите через "Установку и удаление программ".
[CODE]
Iobit Driver Booster
Stronghold Antimalware
SpyHunter 4
[/CODE]

[B]3.[/B] Каким образом проявляется троян ? Какая программа его опознает и удаляет ?
Если сможете, пришлите пожалуйста скриншот.
09.03.2017, 15:21
lena_shmnsk

Здравствуйте!
Вроде выполнила всё что вы сказали.
Троян я попробовала удалить, пока его нет. Но он бывает появляется снова. Определял его стандартный антивирус на виндовс.
У меня постоянные ошибки выскакивают, типо синий экран, только они разные. Винду уже раз семь переустанавливала, разные ставила. Все равно одни и те же ошибки. Что и как с этим можно сделать?[QUOTE=Сомнение;1439339][B]Здравствуйте![/B]

Вам необходимо:

[B]1.[/B] [URL="http://virusinfo.info/showthread.php?t=7239"]Выполнить[/URL] следующий скрипт в AVZ:
[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.
[/CODE]

[B]2.[/B] Удалите через "Установку и удаление программ".
[CODE]
Iobit Driver Booster
Stronghold Antimalware
SpyHunter 4
[/CODE]

[B]3.[/B] Каким образом проявляется троян ? Какая программа его опознает и удаляет ?
Если сможете, пришлите пожалуйста скриншот.[/QUOTE]
09.03.2017, 15:45
Сомнение

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[img]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/img]

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
09.03.2017, 17:42
lena_shmnsk

Вот сделала [QUOTE=Сомнение;1439356]Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"][B]Farbar Recovery Scan Tool[/B][/URL] [IMG]http://i.imgur.com/NAAC5Ba.png[/IMG] и сохраните на Рабочем столе.

[IMG]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/IMG]

[B]Примечание[/B]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[LIST][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [B]Yes[/B] для соглашения с предупреждением.[*]Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".[*]Нажмите кнопку [B]Scan[/B].[*]После окончания сканирования будет создан отчет ([B]FRST.txt[/B]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([B]Addition.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении.[/LIST]
[/QUOTE]
10.03.2017, 12:43
Сомнение

Добрый день

1. Папку [B]C:\Windows\Minidump[/B] заархивируйте и пришлите в ответном сообщении.

2. [list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
2017-03-06 12:48 - 2017-03-06 12:48 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign14a666d617348556
2017-03-06 12:36 - 2017-03-06 12:36 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigned70116f1637e7e0
2017-03-02 16:59 - 2017-03-02 16:59 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign81b9a4de1742ab64
2017-03-02 16:52 - 2017-03-02 16:52 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign25cedd49129aebec
2017-03-02 16:49 - 2017-03-02 16:49 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign29c3505e99957e5a
2017-03-02 16:37 - 2017-03-02 16:37 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8dbd3c4b1d065200
2017-03-02 15:54 - 2017-03-02 15:54 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign3e971b9d23cbe30a
2017-03-02 14:43 - 2017-03-02 14:43 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign1197a22bfb634fdc
2017-02-28 17:05 - 2017-02-28 17:05 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign9a77e96ac994d15c
2017-02-26 18:15 - 2017-02-26 18:15 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign4c2278061ff2d545
2017-02-25 19:45 - 2017-02-25 19:45 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign75b776c87381acd4
2017-02-25 18:12 - 2017-02-25 18:12 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign2f4320742c918f68
2017-02-25 15:24 - 2017-02-25 15:24 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigne51f0471030a369a
2017-02-25 11:36 - 2017-02-25 11:36 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign921963c7ff1f4997
2017-02-25 10:54 - 2017-02-25 10:54 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign685b23d4056f147f
2017-02-24 22:30 - 2017-02-24 22:30 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsignf274d9d2ac388ec6
2017-02-24 22:14 - 2017-02-24 22:14 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8628732e6e24b42b
2017-02-24 22:10 - 2017-02-24 22:10 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign81118de0114690f9
2017-02-24 20:14 - 2017-02-24 20:14 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8fe8d2c0ce375b2f
2017-02-24 20:12 - 2017-02-24 20:12 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsignaa340cf1ec912144
2017-02-24 17:01 - 2017-02-24 17:01 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigne0721b0671ec2f25
2017-02-24 17:01 - 2017-02-24 17:01 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign361f012068df7446
2017-02-24 16:18 - 2017-02-24 16:18 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsignab4eb7b71e3ed79b
2017-02-24 15:42 - 2017-02-24 15:42 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign127adf8b4df0fee0
2017-02-24 13:30 - 2017-02-24 13:30 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8aab9f5e116816f3
2017-02-24 13:10 - 2017-02-24 13:10 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign0f15d4c571ee6dda
2017-02-23 20:20 - 2017-02-23 20:20 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign21af04b6c3e4e7d0
2017-02-23 20:09 - 2017-02-23 20:09 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigna266695fecb1172f
2017-02-23 14:46 - 2017-02-23 14:46 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign3429e618c998959a
2017-02-23 14:02 - 2017-02-23 14:02 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigndd6d020e2eb54d31
2017-02-23 12:57 - 2017-02-23 12:57 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign3fc8b85e6156748a
2017-02-23 12:57 - 2017-02-23 12:57 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign23be97b6afbf710e
2017-02-23 12:51 - 2017-02-23 12:51 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigna1e658e3026c6695
2017-02-23 12:51 - 2017-02-23 12:51 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign1f677d131b7604e0
2017-02-21 20:25 - 2017-02-21 20:25 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
10.03.2017, 16:26
lena_shmnsk

вот. папка Minidump почему то не могу прикрепить. Пишет что превышен лимит на вложения.Весит 1,4 мб [QUOTE=Сомнение;1439473]Добрый день

1. Папку [B]C:\Windows\Minidump[/B] заархивируйте и пришлите в ответном сообщении.

2.
[LIST][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [B]fixlist.txt[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
2017-03-06 12:48 - 2017-03-06 12:48 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign14a666d617348556
2017-03-06 12:36 - 2017-03-06 12:36 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigned70116f1637e7e0
2017-03-02 16:59 - 2017-03-02 16:59 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign81b9a4de1742ab64
2017-03-02 16:52 - 2017-03-02 16:52 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign25cedd49129aebec
2017-03-02 16:49 - 2017-03-02 16:49 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign29c3505e99957e5a
2017-03-02 16:37 - 2017-03-02 16:37 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8dbd3c4b1d065200
2017-03-02 15:54 - 2017-03-02 15:54 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign3e971b9d23cbe30a
2017-03-02 14:43 - 2017-03-02 14:43 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign1197a22bfb634fdc
2017-02-28 17:05 - 2017-02-28 17:05 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign9a77e96ac994d15c
2017-02-26 18:15 - 2017-02-26 18:15 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign4c2278061ff2d545
2017-02-25 19:45 - 2017-02-25 19:45 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign75b776c87381acd4
2017-02-25 18:12 - 2017-02-25 18:12 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign2f4320742c918f68
2017-02-25 15:24 - 2017-02-25 15:24 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigne51f0471030a369a
2017-02-25 11:36 - 2017-02-25 11:36 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign921963c7ff1f4997
2017-02-25 10:54 - 2017-02-25 10:54 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign685b23d4056f147f
2017-02-24 22:30 - 2017-02-24 22:30 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsignf274d9d2ac388ec6
2017-02-24 22:14 - 2017-02-24 22:14 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8628732e6e24b42b
2017-02-24 22:10 - 2017-02-24 22:10 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign81118de0114690f9
2017-02-24 20:14 - 2017-02-24 20:14 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8fe8d2c0ce375b2f
2017-02-24 20:12 - 2017-02-24 20:12 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsignaa340cf1ec912144
2017-02-24 17:01 - 2017-02-24 17:01 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigne0721b0671ec2f25
2017-02-24 17:01 - 2017-02-24 17:01 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign361f012068df7446
2017-02-24 16:18 - 2017-02-24 16:18 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsignab4eb7b71e3ed79b
2017-02-24 15:42 - 2017-02-24 15:42 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign127adf8b4df0fee0
2017-02-24 13:30 - 2017-02-24 13:30 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign8aab9f5e116816f3
2017-02-24 13:10 - 2017-02-24 13:10 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign0f15d4c571ee6dda
2017-02-23 20:20 - 2017-02-23 20:20 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign21af04b6c3e4e7d0
2017-02-23 20:09 - 2017-02-23 20:09 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigna266695fecb1172f
2017-02-23 14:46 - 2017-02-23 14:46 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign3429e618c998959a
2017-02-23 14:02 - 2017-02-23 14:02 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigndd6d020e2eb54d31
2017-02-23 12:57 - 2017-02-23 12:57 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign3fc8b85e6156748a
2017-02-23 12:57 - 2017-02-23 12:57 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign23be97b6afbf710e
2017-02-23 12:51 - 2017-02-23 12:51 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsigna1e658e3026c6695
2017-02-23 12:51 - 2017-02-23 12:51 - 00000000 ____D C:\Users\lena_\AppData\Local\Tempzxpsign1f677d131b7604e0
2017-02-21 20:25 - 2017-02-21 20:25 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
[/code][*]Запустите FRST и нажмите один раз на кнопку [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [B]перезагружен[/B].[/LIST]
[/QUOTE]
10.03.2017, 17:00
Сомнение

Очистите вложения через Ваш личный кабинет, либо залейте на любой файлообменник и предоставьте в теме ссылку.
10.03.2017, 17:06
lena_shmnsk

[url]https://ru.files.fm/u/djqg7e3w[/url]
11.03.2017, 13:19
Сомнение

Судя по логам, проблема с синим экраном не связана с вирусами.
Предоставьте скриншот оповещения Вашего антивируса на следующее проявление трояна.
11.03.2017, 13:22
lena_shmnsk

Хорошо. А с чем может быть связана проблема синих экранов? [QUOTE=Сомнение;1439589]Судя по логам, проблема с синим экраном не связана с вирусами.
Предоставьте скриншот оповещения Вашего антивируса на следующее проявление трояна.[/QUOTE]