Был подхвачен вирус бронток, после чего процессор начал перегружаться и компьютер выключался. Антивирусник обнаружил вирус и почистил комп, но через некоторое время проблема возобновилась.
Был подхвачен вирус бронток, после чего процессор начал перегружаться и компьютер выключался. Антивирусник обнаружил вирус и почистил комп, но через некоторое время проблема возобновилась.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bruceband1, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Вам необходимо:
1. Выполнить следующий скрипт в AVZ:
Компьютер будет перезагружен.Код:begin TerminateProcessByName('c:\users\Серый\appdata\local\winlogon.exe'); TerminateProcessByName('c:\users\Серый\appdata\local\services.exe'); TerminateProcessByName('c:\users\Серый\appdata\local\lsass.exe'); TerminateProcessByName('c:\users\Серый\appdata\local\csrss.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus'); QuarantineFile('C:\Users\Серый\appdata\roaming\microsoft\windows\start menu\programs\startup\empty.pif',''); QuarantineFile('C:\Users\Серый\appdata\roaming\microsoft\windows\templates\wowtumpeh.com',''); QuarantineFile('C:\Users\Серый\documents\documents.exe',''); QuarantineFile('C:\Users\Серый\appdata\local\winlogon.exe',''); QuarantineFile('C:\Users\Серый\appdata\local\smss.exe',''); QuarantineFile('C:\Users\Серый\appdata\local\services.exe',''); QuarantineFile('C:\Users\Серый\appdata\local\lsass.exe',''); QuarantineFile('C:\Users\Серый\appdata\local\csrss.exe',''); QuarantineFile('C:\Users\Серый\AppData\Local\smss.exe',''); QuarantineFile('c:\users\Серый\appdata\local\winlogon.exe',''); QuarantineFile('c:\users\Серый\appdata\local\services.exe',''); QuarantineFile('c:\users\Серый\appdata\local\lsass.exe',''); QuarantineFile('c:\users\Серый\appdata\local\csrss.exe',''); DeleteFile('c:\users\Серый\appdata\local\csrss.exe','32'); DeleteFile('c:\users\Серый\appdata\local\lsass.exe','32'); DeleteFile('c:\users\Серый\appdata\local\services.exe','32'); DeleteFile('c:\users\Серый\appdata\local\winlogon.exe','32'); DeleteFile('C:\Users\Серый\AppData\Local\smss.exe','32'); DeleteFile('C:\Users\Серый\appdata\local\csrss.exe','32'); DeleteFile('C:\Users\Серый\appdata\local\lsass.exe','32'); DeleteFile('C:\Users\Серый\appdata\local\services.exe','32'); DeleteFile('C:\Users\Серый\appdata\local\smss.exe','32'); DeleteFile('C:\Users\Серый\appdata\local\winlogon.exe','32'); DeleteFile('C:\Users\Серый\documents\documents.exe','32'); DeleteFile('C:\Users\Серый\appdata\roaming\microsoft\windows\templates\wowtumpeh.com','32'); DeleteFile('C:\Users\Серый\appdata\roaming\microsoft\windows\start menu\programs\startup\empty.pif','32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.
2. Ваши настройки?
3. Сделайте новые логи AutoLogger'a.Код:O17 - DHCP DNS - 3: 10.0.0.2 O17 - DHCP DNS - 4: 10.0.0.17 O17 - HKLM\System\CSS\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 193.192.36.12 O17 - HKLM\System\CSS\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 94.158.46.151 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 193.192.36.12 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 94.158.46.151 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 193.192.36.12 O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{1292D7E7-673A-4F05-BC05-6F9F4CD18C1A}: NameServer = 94.158.46.151
1. Скрипт выполнен, файл с карантином отправлен.
2. Настройки мне ни о чём не говорят.
3. Логи сделаны, прилагаю к сообщению
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Отчёт готов
Также нужно приложить отчет Addition.txt !
Файл Addition.txt не появился. В папке с программой нет, через общий поиск не находит. После повторного сканирования FRST ситуация такая же.
1. Удалите SpyHunter через "Установку и удаление программ".
2.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction <======= ATTENTION FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2017-02-02 00:00 - 2017-02-02 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-2 2017-02-01 00:00 - 2017-02-01 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-1 2017-01-31 00:00 - 2017-01-31 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-31 2017-01-30 00:00 - 2017-01-30 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-30 2017-01-29 10:29 - 2017-01-29 10:29 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-29 2017-01-28 08:52 - 2017-01-28 20:12 - 00000000 ____D C:\Users\Серый\AppData\Local\Loc.Mail.Bron.Tok 2017-01-28 08:52 - 2017-01-28 08:52 - 00000000 ____D C:\Users\Серый\AppData\Local\Ok-SendMail-Bron-tok 2017-01-28 08:46 - 2017-01-28 08:46 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-28 2016-11-26 00:00 - 2016-11-26 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-26 2016-11-25 00:00 - 2016-11-25 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-25 2016-11-24 02:22 - 2016-11-24 02:22 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-24 2016-11-23 00:00 - 2016-11-23 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-23 2016-11-22 00:11 - 2016-11-22 00:11 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-22 2016-11-21 00:09 - 2016-11-21 00:09 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-21 2016-11-20 00:00 - 2016-11-20 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-20 2016-11-19 00:51 - 2016-11-19 00:51 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-19 2016-11-18 00:00 - 2016-11-18 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-18 2016-11-17 00:00 - 2016-11-17 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-17 2016-11-16 00:00 - 2016-11-16 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-16 2016-11-15 00:00 - 2016-11-15 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-15 2016-11-14 00:00 - 2016-11-14 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-14 2016-11-13 01:07 - 2016-11-13 01:07 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-13 2016-11-12 03:10 - 2016-11-12 03:10 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-12 2016-11-11 07:25 - 2016-11-11 07:25 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-11 2016-11-10 00:00 - 2016-11-10 00:00 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-10 2016-11-09 09:16 - 2016-11-09 09:16 - 00000000 ____H C:\Users\Серый\AppData\Local\BIT9DB6.tmp 2016-11-09 09:15 - 2016-11-09 09:16 - 00000000 _____ C:\Users\Серый\AppData\Local\{EC3E2490-9E50-408E-9DE0-34C43CA3B5F3} 2016-11-09 07:43 - 2016-11-09 07:43 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-9 2016-11-08 08:49 - 2016-11-08 08:49 - 00000000 ____D C:\Users\Серый\AppData\Local\Bron.tok-9-8 2016-10-12 13:11 - 2016-10-12 13:11 - 0042232 _____ () C:\Users\Серый\AppData\Local\Bron.tok.A9.em.bin 2016-10-12 13:11 - 2016-10-12 13:11 - 0000051 _____ () C:\Users\Серый\AppData\Local\Kosong.Bron.Tok.txt 2015-11-24 17:55 - 2011-08-16 07:04 - 0041385 _____ () C:\Users\Серый\AppData\Local\inetinfo.exe 2016-04-25 05:20 - 2016-04-25 05:20 - 0000000 _____ () C:\Users\Серый\AppData\Local\{38CDF798-2051-4F38-A998-EA7628D22BAE} 2016-11-09 09:15 - 2016-11-09 09:16 - 0000000 _____ () C:\Users\Серый\AppData\Local\{EC3E2490-9E50-408E-9DE0-34C43CA3B5F3} EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
SpyHunter удалён. Прилагаю логи из FRST
Что с проблемой сейчас ?
Спасибо большое) Бронток не беспокоит! Браузер сам по себе не открывается, комп не греется
Ура!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\users\серый\appdata\local\csrss.exe - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
- c:\users\серый\appdata\local\lsass.exe - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
- c:\users\серый\appdata\local\services.exe - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
- c:\users\серый\appdata\local\smss.exe - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
- c:\users\серый\appdata\local\winlogon.exe - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
- c:\users\серый\appdata\roaming\microsoft\windows\s tart menu\programs\startup\empty.pif - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
- c:\users\серый\appdata\roaming\microsoft\windows\t emplates\wowtumpeh.com - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
- c:\users\серый\documents\documents.exe - Email-Worm.Win32.Brontok.q ( BitDefender: Worm.Generic.73749, NOD32: Win32/Brontok.G worm, AVAST4: Win32:Rontokbr-N [Wrm] )
Уважаемый(ая) bruceband1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
