Помогите, поселилась на компе непонятная хрень. Убивает процессы с именами opera.exe, firefox.exe.
Что делать? Можно как-то посмотреть, какой процесс убивает процесс?
Printable View
Помогите, поселилась на компе непонятная хрень. Убивает процессы с именами opera.exe, firefox.exe.
Что делать? Можно как-то посмотреть, какой процесс убивает процесс?
1. Профиксите в HijackThis [URL="http://virusinfo.info/showthread.php?t=4491"]как "профиксить в HiJackThis"[/URL]
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
[/CODE]
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\alcmtr.exe','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Удалите [URL="http://virusinfo.info/showthread.php?t=27923"][B][COLOR="Red"]Bonjour[/COLOR][/B][/URL]
Вот логи
Что с проблемой?
Спасибо большое, все ок!
Вы можете отблагодарить весь проект VirusInfo [URL="http://virusinfo.info/showthread.php?t=3519"]тут[/URL].
Только избавился от этого, как появилась новая напасть. Система заблокировалась каким-то трояном.
"Внимание! Онлайн проверка показала, что в Вашей системе обнаружен вредоносный вирус, который постепенно заражает все файлы на вашем компьютере..."
И предлагает отправить sms.
Почистил диск C: утилитой касперского, но троян все равно остался.
Во вложении фото экрана.
P.S. Почему-то не могу создать новую тему в этом разделе.
попробуйте разблокировать
Сервисы деактивации вымогателей-блокеров
[URL="http://virusinfo.info/deblocker/"]virusinfo[/URL]
[URL="http://news.drweb.com/show/?i=304"]drweb[/URL]
[URL="http://www.drweb.com/unlocker/index"]drweb 2[/URL]
[URL="http://support.kaspersky.ru/viruses/deblocker"]kaspersky[/URL]
и сделать логи
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
не поможет
На чистой машине скачайте [URL="http://www.freedrweb.com/livecd/?lng=ru"]LiveCD Dr.Web[/URL] и запишите как образ диска.
Загрузитесь с него и просканируйте "больной" ПК.
Затем загрузитесь в обычном режиме и просканируйте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPtool[/URL]
У меня нет пишущего CD - он на зараженном ноутбуке. Можно ли воспользоватся LiveCD windows, что бы из под него запустить какую-нибудь утилиту?
Этот вирус при каждом запуске еще на внешние диски себя прописывает, вот он.
[b][COLOR="Red"]закачка карантина осуществляется в соответствии с правилами[/COLOR][/b]
вложение удалите отсюда... Пришлите его запакованным в архив ZIP с паролем: [COLOR="Red"]virus[/COLOR] по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Воспользуйтесь и просканируйте [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPtool[/URL].
Утилита Касперского не помогала, как уже писал.
Воспользовался Cure IT, подключив зараженный диск к здоровому компьютеру. Она нашла и удалила вирус.
Но он отклчил видимо многие вещи в компьтере. При запуске теперь видно одну картинку рабочего стола, при вызове диспечера задач пишет что он отключен администратором, windows+R не работает.
Как быть?
Вирус прикрепляю через карантин, Dr. Web говорит что это Trojan.Packed.19647
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(9);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
Заработал explorer, Win+R, диспечер задач.
Логи прилагаю.
Не знаю связано это с вирусами или нет, но еще с первого вируса не работает безопасный режим windows, при нажатии F8 загрузка идет в обычном режиме.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('Bonjour Service');
DeleteFileMask('C:\Program Files\Bonjour\','*.*',true);
DeleteDirectory('C:\Program Files\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
QuarantineFile('C:\WINDOWS\alcmtr.exe','');
QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip
Логи
в логе чисто. Есть еще какие-то проблемы? Если нет то лечение закончено
Безопасный режим по прежнему не работает.
В AVZ меню - Файл - Восстановление системы - в строчке
10. Восстановление загрузки в Safe Mode
поставьте галочку. Нажмите кнопку Выполнить ...
Перезагрузите компьютер.
Помогло?
К сожалению нет
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \virus\autorun.inf - [B]Trojan.Win32.AutoRun.ym[/B] ( NOD32: Win32/LockScreen.AX trojan, AVAST4: VBS:Malware-gen )[*] \virus\md.exe - [B]Trojan-Ransom.Win32.Chameleon.ck[/B] ( DrWEB: Trojan.Packed.19647, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]