куча процессов грузит цп,сообщения об странных ошибках,самоперезагруз,синий экран [Worm.Win32.Ngrbot.aihd, Trojan-Proxy.Win32.Lethic.cbs ]

**Аннушка Сёмина** · 24.09.2014, 12:19

Предположительно с этого момента все началось: вставила в ноутбук чужую флешку, в которой все папки были ярлыками (вместо настоящих папок) , пыталась открыть одну из папок по незнанию. С тех пор компьютер подводит. Вылезает куча процессов типа calc.exe или абракадабр и грузят цп, ноут стал сам отрубаться синим экраном- причем даже если я закрыла крышку, он продолжает работать сам и в этом состоянии может перезагрузиться.
Теперь все МОИ флешки с ярлыками вместо настоящих папок. При серфинге в инете окно браузера может парализовать и поверх этого окна еле-еле различимо, почти бесцветные слева становятся видимыми какие-то рекламки или банеры, не знаю что, кторые прокручиваются колесом мыши и пропадают сами.

Только что включенный ноут, на котором еще ничего не запускалось из програм\браузеров, вдруг может воспроизводить непонятно из какого процесса фрагменты, толи рекламы, то ли чего-то еще, кусочки голосов или музыки, в процессах их нет, они сами воспроизводятся и сами обрываются.

При попытке проверить Dr.Web Cureit (антивируса нету) в безопасном режиме выявлялось от 50 до 140 троянов и бэкдоров. После перезагрузки- снова появлялись ошибки, грузилось ЦП и опять в безопасном режиме проверка Курейтом находила вирусы. Затем даже когда проверка была чистой, после перезагрузки опять были проблемы и опять новая проверка курэйтом уже что-то находила

На флешках вирусы не обнаруживаются(один раз только зацепило Бэкдор). Когда пыталась найти по инструкциям в интернете на флешках папку RECYKLER ее там в адресе ярлыка нету,ибо ярлык ссылается на файл cmd.exe в папке диска С, sistem32.

процессы и ошибки.jpg

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.09.2014, 12:20

Уважаемый(ая) Аннушка Сёмина, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 24.09.2014, 14:43

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\asus\appdata\local\temp\w6iv6.exe');
 TerminateProcessByName('c:\users\asus\appdata\local\temp\0cnk5.exe');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Update\MSupdate.exe','');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Update\Explorer.exe','');
 QuarantineFile('C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Vvrurp.exe','');
 QuarantineFile(',C:\Users\Asus\AppData\Roaming\Update\MSupdate.exe,Explorer.exe','');
 QuarantineFile('c:\users\asus\appdata\local\temp\w6iv6.exe','');
 QuarantineFile('c:\users\asus\appdata\local\temp\0cnk5.exe','');
 DeleteFile('c:\users\asus\appdata\local\temp\0cnk5.exe','32');
 DeleteFile('c:\users\asus\appdata\local\temp\w6iv6.exe','32');
 DeleteFile(',C:\Users\Asus\AppData\Roaming\Update\MSupdate.exe,Explorer.exe','32');
 DeleteFile('C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Vvrurp.exe','32');
 DeleteFile('C:\Users\Asus\AppData\Roaming\Update\Explorer.exe','32');
 DeleteFile('C:\Users\Asus\AppData\Roaming\Update\MSupdate.exe','32');
ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

**Аннушка Сёмина** · 24.09.2014, 23:57

Спасибо за ответ!

**Vvvyg** · 25.09.2014, 09:31

Давайте ещё флэшку проверим. Какая буква диска ей присваивается?

**Аннушка Сёмина** · 25.09.2014, 10:29

буду очень признательна! Увы, я вставляла разные флешки и usb, и через встроенный картридер, и телефон по юсб- они все теперь заразные?(во всяком случае ярлыки появились минимум на трех носителях) буквы были разные вроде бы...

я помню только I:/ и G:/

**Vvvyg** · 25.09.2014, 12:14

Скачайте программу Universal Virus Sniffer.

Вставьте флэшку (не открывайте её, но не бойтесь, ничего страшного не произойдёт).
Сообщите букву, которая присвоена флэшке.

**Аннушка Сёмина** · 14.10.2014, 14:39

H: присвоена

**Vvvyg** · 14.10.2014, 16:26

Распакуйте полностью архив с uVS (правой кнопкой мыши по архиву -> "Извлечь") в отдельную папку.
Выполните скрипт в uVS:

Код:

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

adddir H:
crimg

Будет сформирован полный образ автозапуска uVS - файл в папке с UVS с расширением .7z. Прикрепите его к своему сообщению.

**Аннушка Сёмина** · 14.10.2014, 22:55

есть еще флешки с G: и F: с ними надо что-то делать?

**Vvvyg** · 14.10.2014, 23:02

Для начала с этой разберёмся. Образ автозапуска приложите.

**Аннушка Сёмина** · 14.10.2014, 23:14

вот

**Vvvyg** · 14.10.2014, 23:28

А флэшку-то не воткнули на время выполнения скрипта, мы же её проверяем...

**Аннушка Сёмина** · 16.10.2014, 03:22

Извините)

**Vvvyg** · 16.10.2014, 08:53

C подключённой флэшкой выполните скрипт в uVS:

Код:

;uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
offsgnsave
; H:\QNEEAWP.EXE
addsgn 1A22129A5583528CF42B254E3143FE5474DC71B375C9E9280CB63935252E990A7417C30EBB95E9447DD6D2C910FECCF57DDF6BB64157F5D47D9FC378C7067BF6 8 Backdoor.Win32.Androm.cyc [Kaspersky]

zoo H:\QNEEAWP.EXE
chklst
delvir

del H:\.TRASHES.LNK
del H:\1311345.PDF.LNK
del H:\SOUND_FORGE.LNK
del H:\НОВАЯ_ПАПКА.LNK
del H:\DATA.LNK
del H:\FIIZKULTURA_REFERAT(1).RTF.LNK
del H:\IMSLP115814-WIMA.E469-QUIAR.PDF.LNK
del H:\LINE.LNK
del H:\MIC.LNK
del H:\MUSIC.LNK
del H:\ПАСПОРТ.LNK
czoo

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Затем в Universal Virus Sniffer меню "Дополнительно" -> "Сбросить атрибуты для всех файлов/каталогов в...", поставить курсор на диск H: и нажать "выбрать".

Проверьте, всё ли на месте на флэшке.

**CyberHelper** · 16.10.2014, 09:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\users\asus\appdata\local\temp\w6iv6.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Graftor.152138, AVAST4: Win32:Malware-gen )
2. c:\users\asus\appdata\local\temp\0cnk5.exe - Trojan-Proxy.Win32.Lethic.cbs ( DrWEB: Trojan.PWS.Panda.7278, BitDefender: Trojan.GenericKD.1877471, AVAST4: Win32:Kryptik-OIG [Trj] )
3. c:\users\asus\appdata\roaming\microsoft\windows\vv rurp.exe - Backdoor.Win32.Androm.cyc ( BitDefender: Trojan.GenericKD.1868498, AVAST4: Win32:Kryptik-OHJ [Trj] )
4. c:\users\asus\appdata\roaming\update\explorer.exe - Worm.Win32.Ngrbot.aihd ( DrWEB: BackDoor.IRC.NgrBot.42, BitDefender: Trojan.GenericKD.1877439, AVAST4: Win32:Kryptik-OIG [Trj] )
5. c:\users\asus\appdata\roaming\update\msupdate.exe - Trojan-Proxy.Win32.Lethic.cbs ( DrWEB: Trojan.PWS.Panda.7278, BitDefender: Trojan.GenericKD.1877471, AVAST4: Win32:Kryptik-OIG [Trj] )

куча процессов грузит цп,сообщения об странных ошибках,самоперезагруз,синий экран [Worm.Win32.Ngrbot.aihd, Trojan-Proxy.Win32.Lethic.cbs ] (заявка № 167133)

Опции темы

куча процессов грузит цп,сообщения об странных ошибках,самоперезагруз,синий экран [Worm.Win32.Ngrbot.aihd, Trojan-Proxy.Win32.Lethic.cbs ]

Это понравилось:

Итог лечения

Похожие темы

Сообщения об ошибках приложений

Появляются сообщения о ошибках

Вирусы и сообщения об ошибках

Синий экран.. Сообщения фаэрволла.. Хрень какая-то..

Сообщения об ошибках

Метки для этой темы

Ваши права в разделе