Показано с 1 по 10 из 10.

Скачал песочницу с нета, подарил себе кучу проблем, помогите ребят! :) [Trojan.Win32.Crypt.dbp, not-a-virus:AdWare.Win32.Agent.gypa ] (заявка № 176728)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    07.02.2015
    Сообщений
    5
    Вес репутации
    11

    Скачал песочницу с нета, подарил себе кучу проблем, помогите ребят! :) [Trojan.Win32.Crypt.dbp, not-a-virus:AdWare.Win32.Agent.gypa ]

    Привью:
    1) Постоянно запущен в фоновом режиме експлорер, грузит память и цп, время от времени запускает аудиофайл, там мужчины и женщины говорят на инглише разные цифры в рандоме, или запускает еще всякие ролики, но сам експлорер открыть нельзя. Закрываю через диспечер, он заново запускается.
    2) В процессах куча новых программ, удалить которые не могу из-за того что ни постоянно используются системой, моментами грузит ЦП на 100 и валит систему как может.

    Отправляю все логи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) Женя Кисель, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,538
    Вес репутации
    3021
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.erolpxei.bat','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat','');
     QuarantineFile('C:\Users\Администратор\AppData\Local\wincheck\wincheck.exe','');
     DeleteService('servervo');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\SoftwareUpdater\SUsrv.exe','');
     DeleteService('serversu');
     TerminateProcessByName('c:\users\Администратор\appdata\local\temp\temp454120050.exe');
     QuarantineFile('c:\users\Администратор\appdata\local\temp\temp454120050.exe','');
     DeleteFile('c:\users\Администратор\appdata\local\temp\temp454120050.exe','32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\SoftwareUpdater\SUsrv.exe','32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\VOPackage\VOsrv.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkInformer');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver');
     DeleteFile('C:\Users\Администратор\AppData\Local\wincheck\wincheck.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck','command');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.emorhc.bat','32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
     DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
     DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
     DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
     DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;	
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте логи RSIT
    Сделайте лог Check Browsers' LNK
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member (OID) Репутация
    Регистрация
    07.02.2015
    Сообщений
    5
    Вес репутации
    11
    Обновил логи, добавил карантин
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,538
    Вес репутации
    3021
    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Удалите вручную
    C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    C:\Users\Администратор\AppData\Roaming\AnyProtectE x
    C:\Users\Администратор\AppData\Roaming\SoftwareUpd ater
    C:\Users\Администратор\AppData\Roaming\VOPackage
    C:\Users\Администратор\AppData\Roaming\Browsers
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Junior Member (OID) Репутация
    Регистрация
    07.02.2015
    Сообщений
    5
    Вес репутации
    11
    Сделал
    По итогам: звуки и екслорер больше не беспокоят, цп все еще завышено.
    Вложения Вложения

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,538
    Вес репутации
    3021
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Junior Member (OID) Репутация
    Регистрация
    07.02.2015
    Сообщений
    5
    Вес репутации
    11
    Готово :3
    Вложения Вложения

  11. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,538
    Вес репутации
    3021
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      FF Extension: Free Games 111 - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\freegames4357@BestOffers [2014-03-08]
      FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\itnet@new-come.ru [2015-01-23]
      FF Extension: Tutnedorogo.ru - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-04-17]
      FF Extension: Speed Test 127 - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\speedtest4354@BestOffers [2014-03-08]
      FF Extension: Візуальныя закладкі - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\vb@yandex.ru [2014-04-17]
      FF Extension: Кампанент &quot;Элементы Яндекса&quot; - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru [2014-01-09]
      FF Extension: Визуальные закладки @Mail.Ru - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2015-01-23]
      FF Extension: WebAlta - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2012-11-21]
      FF Extension: No Name -  C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [Not Found]
      FF Extension: No Name -  C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [Not Found]
      FF Extension: No Name -  C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\freegames4357@BestOffers [Not Found]
      FF Extension: No Name -  C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\speedtest4354@BestOffers [Not Found]
      FF Extension: No Name -  C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
      FF Extension: No Name - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [Not Found]
      FF Extension: No Name -  C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
      CHR Extension: (SuperMegaBest.com) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2014-02-11]
      CHR Extension: (FullProtected) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfmnkhhioonhiehehedmnjibmampjiab [2015-01-24]
      CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
      CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Администратор\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
      CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
      2015-01-30 10:56 - 2015-02-07 18:37 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
      2015-01-23 22:03 - 2015-01-23 22:03 - 00000000 __SHD () C:\Users\Администратор\AppData\Roaming\AnyProtectEx
      2015-01-23 20:51 - 2015-02-07 11:36 - 00000000 ____D () C:\Users\Администратор\AppData\Local\wincheck
      2015-01-23 20:50 - 2015-01-23 20:50 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
      Task: {2240C586-95E8-4AC3-AB19-46DBE6005E7F} - \BonanzaDealsUpdate No Task File <==== ATTENTION
      Task: {690AFBCB-0BD7-4CE4-95FE-B75BC6BB1CA5} - \PC Performer_DEFAULT No Task File <==== ATTENTION
      Task: {805DD10B-38F2-4C3F-9CBE-3F76C7B64481} - \chrome5 No Task File <==== ATTENTION
      Task: {8C9A8672-2089-441E-B24C-D6F97B5C1170} - \PC Performer_UPDATES No Task File <==== ATTENTION
      Task: {A1DD2464-317A-42D6-B64C-DD4E061D4CB7} - \PC Performer No Task File <==== ATTENTION
      Task: {BA1392EE-5D87-4493-92AB-AA8C57544EF1} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File <==== ATTENTION
      Task: {DE09D8A0-FADD-4375-A229-5D74EB7B8F55} - \chrome5_logon No Task File <==== ATTENTION
      Task: {F9947DD3-9190-40A6-A1D5-B9466E1E364A} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File <==== ATTENTION
      AlternateDataStreams: C:\Users\Администратор\Local Settings:wa
      AlternateDataStreams: C:\Users\Администратор\AppData\Local:wa
      AlternateDataStreams: C:\Users\Администратор\AppData\Local\Application Data:wa
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 6
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\администратор\appdata\local\temp\temp4541 20050.exe - Trojan.Win32.Crypt.dbp ( AVAST4: Win32:Trojan-gen )
      2. c:\users\администратор\appdata\roaming\browsers\ex e.emorhc.bat - Trojan-Clicker.BAT.Small.bv
      3. c:\users\администратор\appdata\roaming\browsers\ex e.erolpxei.bat - Trojan-Clicker.BAT.Small.bv
      4. c:\users\администратор\appdata\roaming\vopackage\v osrv.exe - not-a-virus:AdWare.Win32.Agent.gypa ( AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Женя Кисель, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Аваст Оперу в песочницу кидает.
      От JaneYa в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.05.2011, 19:16
    2. Опыт: «Доктор Веб» взломал песочницу «Касперского»
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 36
      Последнее сообщение: 07.10.2009, 12:12

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00281 seconds with 17 queries