-
Junior Member
- Вес репутации
- 39
Возможно подхватил вирус, загружает неизвестные сайты. [Trojan.MSIL.Agent.dayu
]
Здравствуйте, недавно сидел в Вконтакте, а потом неожиданно торрент стал предлагать загрузить кучу видео, я отказался, но потом антивирусник AVG начал писать о угрозе для компьютера, от файла с длинным названием на английском (в общем бред какой-то) по пути C:/ Program Files (x86)/ Adobe. Я нажал удалить вирус (ну или что-то в этом роде), но AVG не смог, произошла ошибка доступа. А вирус похоже продолжал действовать, он закрыл браузер (mozilla firefox), потом удалил все значки на панели задач слева, возле пуска, кроме той же moziill'ы и когда я захотел заново войти в браузер, он начал грузить вот этот сайт http://www.bs.ru/forest/?mid=8424218, до этого пытался загрузить ещё это nnm-club.me. Потом я решил зайти в диспетчер задач и увидел неизвестный мне процесс Form1 и сразу отключи его. Потом вроде уже посторонние действия прекратились, но этот сайт продолжает запускаться http://www.bs.ru/forest/?mid=8424218.
Надеюсь на вашу помощь в этой проблеме.
Вложение 449821
Вложение 449822
Вложение 449823
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Skysprim, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 39
Вот в папке Adobe, появляются подозрительные файлы с названием:
1) ~lmhcgvgbloy 2) ~ptfzjjfymff 3)~pthqvngoozc
Может из-за них возникла проблема которую я описывал выше.
-
Пересоздайте ярлыки запуска браузеров
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\user\appdata\roaming\closer.exe','');
DeleteFile('C:\Users\user\appdata\roaming\closer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
-
Удалите в МВАМ все, кроме
Код:
D:\Games\F1 2013\steam_api.dll (Riskware.Gamehack) -> Действие не было предпринято.
D:\Games\Need For Speed Rivals.Deluxe Edition.v 1.2.0.0\NFS14.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Games\Need For Speed Rivals.Deluxe Edition.v 1.2.0.0\NFS14_x86.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Games\Rayman Legends\steam_api.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\Games\The Bureau - XCOM Declassified\Binaries\Win32\steam_api.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\Soft\DTLite4454-0316.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Soft\Nero\Nero_9_Micro.exe (Trojan.KillAV) -> Действие не было предпринято.
D:\Soft\Player\Winamp\winamp563_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\оля\---saga-curse-of-the-shadow-2013-hdrip-l2_id4599130ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
D:\Программы\avg_tuht_stf_all_2013_3_inst.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
D:\Программы\iLividSetup-r390-n-bi.exe (PUP.Optional.Bandoo) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
Всё выполнил. У меня такой вопрос, после того что я сейчас удалил, программа Bonanza Deals полностью удалилась? Я просто пока MBAM сканировал комп, почитал что эта программа Bonanza Deals какой-то шпионский вирус, то есть из-за него могла произойти моя проблема?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 39
В компьютер уже вроде никто не проникал и сайты самопроизвольно не открывались, но вот сейчас опять при включении браузера выпадает уже другой сайт - http://www.nash-zarabotok.net/. Я просто уже не понимаю что у меня с компьютером, у меня стоит антивирусник avg antivirus free 2014, но вот в его нормальной защите я сильно сомневаюсь.
- - - Добавлено - - -
Вот новые логи:
-
- Выполните в АВЗ:
Код:
begin
QuarantineFile('C:\Users\user\AppData\Roaming\Theta\AdobeFlashPlayerUpdater.exe','');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip');
end.
Файл quarantine1.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
В настройках браузера какая страница стоит?
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\roaming\theta\adobeflashplay erupdater.exe - Trojan.MSIL.Agent.dayu ( BitDefender: Gen:Variant.Kazy.270235, AVAST4: MSIL:Dropper-AAG [Drp] )
-
-
Junior Member
- Вес репутации
- 39
В браузере домашняя страница моего провайдера. Карантин прислал. Проблема наверно решена, так как теперь при запуске странные сайты не выпадают, но вот недавно заметил что на сайте http://www.playground.ru/ при переходе на некоторые страницы, выскакивает в новом окне сайт браузерной игры которую они рекламируют и после этого случая выскочил ещё этот сайт http://nm1386689576.xmztalaikklwne.r...isClickUnder=1 . Не уверен что это оно, так как проверять не рискну, но по истории открытия именно он подходит.
Я хотел бы узнать, это действия вируса на компьютере или же это просто сайт playground'а выдаёт эти странички?