-
Junior Member
- Вес репутации
- 43
Вылетает IE, открываются лишние страницы, прописывается проксик [not-a-virus:AdWare.Win32.Tirrip.b
]
Добрый день!
На одном из подведомственных компьютеров следующий комплекс проблем:
1. Периодически вылетает IE (завершение работы программы)
2. прописывается проксик на 127.0.0.1:9880, который не работает (нет инета в браузере)
3. в IE и в Amigo Browser (от мейл ру) открываются левые страницы. В ИЕ они не прописаны в стартовой, но появляются все равно.
4. часто вылетают WerFault.exe и WerMgr.exe с ошибкой приложения память не может быть read.
5. периодические зависания Explorer'а (самого проводника)
CureIt! выполнен не в безопасном режиме (сейф мод уходит в перезагрузку).
Заранее спасибо.
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Fouriki, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('PirritDesktop');
StopService('AdobeFlashPlayerUpdateSvc');
QuarantineFile('C:\Users\Бухгалтер\AppData\Local\PirritSuggestor\PirritService.exe','');
QuarantineFile('C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe','');
QuarantineFile('C:\Users\Бухгалтер\AppData\Local\41\a18467.exe','');
DeleteFile('C:\Users\Бухгалтер\AppData\Local\41\a18467.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
DeleteFile('C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe','32');
DeleteFile('C:\Users\Бухгалтер\AppData\Local\PirritSuggestor\PirritService.exe','32');
RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyServer', '');
RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
DeleteService('PirritDesktop');
DeleteService('AdobeFlashPlayerUpdateSvc');
DeleteFileMask('C:\Users\Бухгалтер\AppData\Local\PirritSuggestor','*',true);
DeleteDirectory('C:\Users\Бухгалтер\AppData\Local\PirritSuggestor');
BC_ImportDeletedList;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Последний раз редактировалось Vvvyg; 21.05.2014 в 13:20.
WBR,
Vadim
-
-
Junior Member
- Вес репутации
- 43
Добрый день!
Выполнено.
Карантин добавлен.
virusinfo_syscheck.zip
AdwCleaner[R0].txt
-
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите следующие галочки, если используете программы и сервисы Mail.Ru и Яндекс:
на вкладке Папки
Код:
C:\Program Files\Mail.Ru
C:\Program Files\Yandex
C:\Users\Бухгалтер\AppData\Local\Mail.Ru
C:\ProgramData\Yandex
C:\Users\Бухгалтер\AppData\Local\Yandex
C:\Users\Бухгалтер\AppData\LocalLow\Yandex
C:\Users\Бухгалтер\AppData\Roaming\Mozilla\Firefox\Profiles\mykv9uef.default\Yandex
C:\Users\Бухгалтер\AppData\Roaming\Yandex
Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.
Очистите кэш и cookies-файлы браузеров и проверьте проблему.
-
-
Junior Member
- Вес репутации
- 43
Добрый день!
Почему то на следующий день после выполнения скриптов винда перестала грузиться на экране "Добро пожаловать" (крутился курсор и все, несколько часов) и пришлось откатиться на последнюю удачную конфигурацию.
После этого заново выполнил указанные скрипты и чистку.
Стало гораздо стабильнее, но была одна ошибка WerFault.exe (память не может быть read) и вылетел (судя по логам, WMI).
Имя сбойного приложения: wmiprvse.exe, версия: 6.1.7601.17514, отметка времени: 0x4ce79267
Имя сбойного модуля: SspiCli.dll, версия: 6.1.7601.18443, отметка времени 0x5348a0c0
Код исключения: 0xc0000005
Смещение ошибки: 0x00005bf5
Идентификатор сбойного процесса: 0x560
Время запуска сбойного приложения: 0x01cf7e594c790370
Путь сбойного приложения: C:\Windows\system32\wbem\wmiprvse.exe
Путь сбойного модуля: C:\Windows\system32\SspiCli.dll
Код отчета: 9793ba30-ea4c-11e3-9cdc-485b39529b2c
Что еще можно сделать?
- - - Добавлено - - -
Также, при запуске IE в качестве стартовой открывается http://pwgamers.ru/. В настройках стоит about:blank, куки сбрасывал. Пока писал это сообщение, еще два раза вылетело с память не может быть read.
прикладываю новые логи
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
-
-
-
Junior Member
- Вес репутации
- 43
Готово
Result.txt
пробовал установить аваст - так же вылетает с соообщением "Память не может быть read"
ESET Nod32 - не может запустить службу
Последний раз редактировалось Fouriki; 02.06.2014 в 17:29.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\users\бухгалтер\appdata\local\pirritsuggestor\p irritservice.exe - not-a-virus:AdWare.Win32.Tirrip.b ( DrWEB: Adware.Downware.4353 )
-