Помогите пожалуйста.

**zmaximka** · 28.01.2017, 17:32

Здравствуйте, появились вирусы dllhost.exe, tor.exe, privoxy.exe, находятся в папке temp, если удаляю то они опять появляются. Установлен kis но он ничего не находит.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.01.2017, 17:33

Уважаемый(ая) zmaximka, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 28.01.2017, 18:49

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('C:\Windows\Systеm32\svchost.exe');
 TerminateProcessByName('C:\Windows\Temp\ctww2fpe.e03\1\dllhost.exe');
 QuarantineFile('C:\Users\Max\AppData\Local\Temp\gkernel.sys','');
 QuarantineFile('C:\Windows\Systеm32\svchost.exe','cyr symb');
 QuarantineFile('C:\Windows\Temp\ctww2fpe.e03\1\dllhost.exe','');
 StopService('svchost'); 
 DeleteFile('C:\Windows\Temp\ctww2fpe.e03\1\dllhost.exe','32');
 DeleteFile('C:\Windows\Systеm32\svchost.exe','32');
 DeleteService('svchost');
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**zmaximka** · 28.01.2017, 19:30

Вот отчет FRST. quarantine.zip загрузил.

**Сомнение** · 28.01.2017, 21:40

1.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [temp] => C:\Windows\TEMP\rb3ziu2j.1i4\1\ImportPas.exe [7168 2016-12-22] () <===== ATTENTION
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Games\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?win=97&clid=2073737","hxxp://mysearch.avg.com?cid={C3E6E317-2D5A-45F1-9247-4E23D35E2F46}&mid=720c55a1bf1d47d2808cd1482a84b049-ffaa5beba0c4784cb040c015bcb798ea52458887&lang=en&ds=es011&coid=avgtbdises&cmpid=&pr=sa&d=2014-01-29 23:03:43&v=17.3.1.91&pid=safeguard&sg=&sap=hp","hxxp://diakov.net/","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP"
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
S3 gkernel; \??\C:\Users\Max\AppData\Local\Temp\gkernel.sys [X]
nointegritychecks: ==> "IntegrityChecks" is disabled. <===== ATTENTION
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

2. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\temp\cyvuqly0.svh\privoxy\privoxy-3.0.26\privoxy.exe');
 QuarantineFile('c:\windows\temp\cyvuqly0.svh\privoxy\privoxy-3.0.26\privoxy.exe','');
 QuarantineFileF('c:\windows\temp\cyvuqly0.svh\privoxy', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile('c:\windows\temp\cyvuqly0.svh\privoxy\privoxy-3.0.26\privoxy.exe','32');
 DeleteFileMask('c:\windows\temp\i0kczfsm.ao1\tor', '*', true);
 DeleteDirectory('c:\windows\temp\i0kczfsm.ao1\tor');
 DeleteFileMask('c:\windows\temp\cyvuqly0.svh\privoxy', '*', true);
 DeleteDirectory('c:\windows\temp\cyvuqly0.svh\privoxy');
 ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

**zmaximka** · 31.01.2017, 15:51

Я уже взял и всё удалил из папки temp, думал раз больше ничего не загружает пк то на этом всё. А по поводу тора это точно вирус я тор не ставил. Папки в temp больше не появляются, надо ли что то из выше написанного делать?

**Сомнение** · 01.02.2017, 14:03

Первую часть из сообщения проделайте.

**CyberHelper** · 01.02.2017, 14:13

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\systеm32\svchost.exe - UDS:DangerousObject.Multi.Generic ( BitDefender: Gen:Heur.MSIL.Krypt.2 )
2. c:\windows\temp\ctww2fpe.e03\1\dllhost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bww

Помогите пожалуйста. (заявка № 208697)

Опции темы