Показано с 1 по 13 из 13.

Много вирусов на ноутбуке. Куча неизвестных служб, вылетает Проводник [not-a-virus:AdWare.Win32.Tirrip.bor, not-a-virus:AdWare.Win32.Amonetize.faj ] (заявка № 176929)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39

    Thumbs up Много вирусов на ноутбуке. Куча неизвестных служб, вылетает Проводник [not-a-virus:AdWare.Win32.Tirrip.bor, not-a-virus:AdWare.Win32.Amonetize.faj ]

    На моем ноутбуке при работе в Интернете брат подхватил откуда то целую кучу вирусов.
    Постоянно вылетает Проводник, появилось много непонятных служб, при этом часть не стартует, в событиях сообщения типа таких

    Сбой при запуске службы "PirritDesktop" из-за ошибки
    Не удается найти указанный файл.

    Сбой при запуске службы "dosmshtmlx64.exe" из-за ошибки
    Не удается найти указанный файл.

    Сбой при запуске службы "dosjreBckp.exe" из-за ошибки
    Не удается найти указанный файл.

    В корне системного диска постоянно появляются файлы с расширением tmp.

    CureIt обнаружил и судя по его отчету обезвредил часть из них, но что то видимо осталось.

    Вот прилагаю файлы.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,465
    Вес репутации
    343
    Уважаемый(ая) marvak, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Выполните скрипт в AVZ
    Код:
    procedure DeleteDirectoryF(N: String);
    begin
     DeleteFileMask(N, '*', true);
     DeleteDirectory(N);
    end;
    
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\125\AppData\Local\18401\Updater.exe','');
     QuarantineFile('C:\Users\Home\AppData\Local\PirritSuggestor\PirritService.exe','');
     DeleteService('PirritDesktop');
     QuarantineFile('C:\Windows\system32\nethtsrv.exe','');
     DeleteService('NetHttpService');
     QuarantineFile('C:\Users\125\AppData\Local\dosmshtmlx64\dosmshtmlx64.exe','');
     QuarantineFile('C:\Users\Home\AppData\Local\EncondingRecycleUtility\EncondingRecycleUtility.exe','');
     DeleteService('EncondingRecycleUtility.exe');
     DeleteService('dosmshtmlx64.exe');
     QuarantineFile('C:\Users\125\AppData\Local\DefaultDesktopText\DefaultDesktopText.exe','');
     QuarantineFile('C:\Users\Home\AppData\Local\DLCInterpreterOS\DLCInterpreterOS.exe','');
     QuarantineFile('C:\Users\125\AppData\Local\dosjreBckp\dosjreBckp.exe','');
     DeleteService('dosjreBckp.exe');
     DeleteService('DLCInterpreterOS.exe');
     DeleteService('DefaultDesktopText.exe');
     QuarantineFile('C:\Users\125\AppData\Local\CursorDebuggerWinsock\CursorDebuggerWinsock.exe','');
     QuarantineFile('C:\Users\125\AppData\Local\CursorFrozenPath\CursorFrozenPath.exe','');
     QuarantineFile('C:\Users\125\AppData\Local\dashboardbitsigd32\dashboardbitsigd32.exe','');
     DeleteService('dashboardbitsigd32.exe');
     DeleteService('CursorFrozenPath.exe');
     DeleteService('CursorDebuggerWinsock.exe');
     DeleteService('clipboardshdocvwx64.exe');
     QuarantineFile('C:\Users\125\AppData\Local\clipboardshdocvwx64\clipboardshdocvwx64.exe','');
     QuarantineFile('C:\Users\Home\AppData\Local\72035941a6ebb79f1d4a371d2aff36cc\c39c34460393163.exe','');
     QuarantineFile('C:\Users\125\AppData\Local\ClassCompileSprite\ClassCompileSprite.exe','');
     QuarantineFile('C:\Users\Home\AppData\Local\ClassKernelSchema\ClassKernelSchema.exe','');
     DeleteService('ClassKernelSchema.exe');
     DeleteService('ClassCompileSprite.exe');
     DeleteService('c39c34460393163.exe');
     QuarantineFile('C:\Users\Home\AppData\Local\APIFormatRepository\APIFormatRepository.exe','');
     DeleteService('APIFormatRepository.exe');
     DeleteService('AddonCronSDK.exe');
     QuarantineFile('C:\Users\125\AppData\Local\AddonCronSDK\AddonCronSDK.exe','');
     QuarantineFile('C:\Users\125\AppData\Local\AddonClassMacro\AddonClassMacro.exe','');
     DeleteService('AddonClassMacro.exe');
     SetServiceStart('8d45255d93937ba.exe', 4);
     DeleteService('8d45255d93937ba.exe');
     SetServiceStart('winsockwysiwygRec.exe', 4);
     DeleteService('winsockwysiwygRec.exe');
     SetServiceStart('wauctla Service', 4);
     DeleteService('wauctla Service');
     SetServiceStart('ServiceUpdater', 4);
     DeleteService('ServiceUpdater');
     SetServiceStart('interpretertooltipapi', 4);
     DeleteService('interpretertooltipapi');
     TerminateProcessByName('c:\users\125\appdata\local\winsockwysiwygrec\winsockwysiwygrec.exe');
     QuarantineFile('c:\users\125\appdata\local\winsockwysiwygrec\winsockwysiwygrec.exe','');
     TerminateProcessByName('c:\windows\wauctla.exe');
     QuarantineFile('c:\windows\wauctla.exe','');
     TerminateProcessByName('c:\windows\system32\netupdsrv.exe');
     QuarantineFile('c:\windows\system32\netupdsrv.exe','');
     TerminateProcessByName('c:\windows\system32\interpretertooltipapi\interpretertooltipapi.exe');
     QuarantineFile('c:\windows\system32\interpretertooltipapi\interpretertooltipapi.exe','');
     TerminateProcessByName('c:\program files\edealpop\edealpop.exe');
     QuarantineFile('c:\program files\edealpop\edealpop.exe','');
     TerminateProcessByName('c:\users\125\appdata\local\winsockwysiwygrec\dosprocessprot.exe');
     QuarantineFile('c:\users\125\appdata\local\winsockwysiwygrec\dosprocessprot.exe','');
     DeleteFile('c:\users\125\appdata\local\winsockwysiwygrec\dosprocessprot.exe','32');
     DeleteFile('c:\program files\edealpop\edealpop.exe','32');
     DeleteFile('c:\windows\system32\interpretertooltipapi\interpretertooltipapi.exe','32');
     DeleteFile('c:\windows\system32\netupdsrv.exe','32');
     DeleteFile('c:\users\125\appdata\local\winsockwysiwygrec\winsockwysiwygrec.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\AddonClassMacro\AddonClassMacro.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\AddonCronSDK\AddonCronSDK.exe','32');
     DeleteFile('C:\Users\Home\AppData\Local\APIFormatRepository\APIFormatRepository.exe','32');
     DeleteFile('C:\Users\Home\AppData\Local\ClassKernelSchema\ClassKernelSchema.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\ClassCompileSprite\ClassCompileSprite.exe','32');
     DeleteFile('C:\Users\Home\AppData\Local\72035941a6ebb79f1d4a371d2aff36cc\c39c34460393163.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\clipboardshdocvwx64\clipboardshdocvwx64.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\dashboardbitsigd32\dashboardbitsigd32.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\CursorFrozenPath\CursorFrozenPath.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\CursorDebuggerWinsock\CursorDebuggerWinsock.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\dosjreBckp\dosjreBckp.exe','32');
     DeleteFile('C:\Users\Home\AppData\Local\DLCInterpreterOS\DLCInterpreterOS.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\DefaultDesktopText\DefaultDesktopText.exe','32');
     DeleteFile('C:\Users\Home\AppData\Local\EncondingRecycleUtility\EncondingRecycleUtility.exe','32');
     DeleteFile('C:\Users\125\AppData\Local\dosmshtmlx64\dosmshtmlx64.exe','32');
     DeleteFile('C:\Windows\system32\nethtsrv.exe','32');
     DeleteFile('C:\Users\Home\AppData\Local\PirritSuggestor\PirritService.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealPop');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealsPop');
     DeleteFile('C:\Users\125\AppData\Local\18401\Updater.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
     DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;	
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите в HiJack
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:10656
    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Скрипт выполнил, карантин закачал. А как закачанный карантин тут указать?
    Вот там выдало следующее:
    Файл сохранён как 150210_113413_virus_54d9b47590b11.zip
    Размер файла 1340126
    MD5 0fa06ba2f03d1ecb40742a3055683fd4

    В hijack не нашел строки R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:10656
    есть строка
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:11296
    отличаются последние 5 цифр. Фиксить ее?
    Логи сделаю чуть позже.

    - - - - -Добавлено - - - - -

    Логи сделал, в т.ч. MBAM.

    - - - - -Добавлено - - - - -

    После скрипта АВЗ левые службы похоже удалились, пока нет ни одного похожего сообщения в журнале Винды.
    MBAM правда нашел несколько десятков подозрительных объектов, логи я приложил выше.
    Странно что Microsoft Essentials никак не реагирует вообще.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Поместите в карантин МВАМ все найденное

    Цитата Сообщение от marvak Посмотреть сообщение
    есть строка
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:11296
    отличаются последние 5 цифр. Фиксить ее?
    Да

    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    ХиДжеком строку пофиксил, логи RSIT прилагаю

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Удалите вручную
    C:\Windows\system32\PublicQuickWizard
    C:\Program Files\DolkaRuIePlugin
    C:\Windows\system32\GammaKeyboardMySQL
    C:\Windows\system32\CodecDesktopRuby
    C:\Program Files\GamesRS
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Удалил.
    В журнале системы и в корне диска С чисто.
    Проводник вроде не зависает, но надо еще проверить пару дней.
    А так вроде все нормально.
    Брат говорит что его еще постоянно из игр (типа Need For Speed) выкидывало.
    И я еще заметил, что ноут грелся очень сильно, аж пахло немного пластиком,
    сейчас греется как обычно.
    Это может быть тоже связано с вирусами, или нет?

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Цитата Сообщение от marvak Посмотреть сообщение
    Это может быть тоже связано с вирусами, или нет?
    Могло

    Удалите МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    MBAM удалил.
    Все получается нормально сейчас?
    Может логи новые сделать?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,565
    Вес репутации
    3022
    Не нужно новых логов
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    22.08.2007
    Сообщений
    62
    Вес репутации
    39
    Большое Вам спасибо!

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 56
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\125\appdata\local\winsockwysiwygrec\dospr ocessprot.exe - not-a-virus:AdWare.Win32.Tirrip.bor ( AVAST4: Win32:Dropper-gen [Drp] )
      2. c:\users\125\appdata\local\18401\updater.exe - not-a-virus:AdWare.Win32.Amonetize.faj ( DrWEB: Adware.Downware.8816, BitDefender: Gen:Variant.Application.Bundler.Amonetize.17 )


  • Уважаемый(ая) marvak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 08.06.2014, 20:27
    2. Карантин E3E7257D9D233B18E5BE17E878D3B05E [not-a-virus:AdWare.Win32.Amonetize.pg, not-a-virus:AdWare.Win32.Tirrip.f ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 02.06.2014, 15:15
    3. Ответов: 18
      Последнее сообщение: 25.05.2014, 19:17
    4. Ответов: 10
      Последнее сообщение: 13.05.2014, 15:08
    5. Ответов: 7
      Последнее сообщение: 11.05.2014, 17:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00528 seconds with 16 queries