Показано с 1 по 20 из 20.

Троян/вирус убивает браузер при запуске (заявка № 70806)

  1. #1
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52

    Question Троян/вирус убивает браузер при запуске

    Помогите, поселилась на компе непонятная хрень. Убивает процессы с именами opera.exe, firefox.exe.
    Что делать? Можно как-то посмотреть, какой процесс убивает процесс?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    1. Профиксите в HijackThis как "профиксить в HiJackThis"
    Код:
     R3 - URLSearchHook: (no name) - - (no file)
    2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     SetAVZPMStatus(true);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\alcmtr.exe','');
     QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
     DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','WebCheck');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

    Добавлено через 1 минуту

    Удалите Bonjour
    Последний раз редактировалось polword; 10.02.2010 в 12:08. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    Вот логи

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Что с проблемой?

  6. #5
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    Спасибо большое, все ок!

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Вы можете отблагодарить весь проект VirusInfo тут.

  8. #7
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    Только избавился от этого, как появилась новая напасть. Система заблокировалась каким-то трояном.
    "Внимание! Онлайн проверка показала, что в Вашей системе обнаружен вредоносный вирус, который постепенно заражает все файлы на вашем компьютере..."
    И предлагает отправить sms.
    Почистил диск C: утилитой касперского, но троян все равно остался.
    Во вложении фото экрана.

    P.S. Почему-то не могу создать новую тему в этом разделе.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    попробуйте разблокировать
    Сервисы деактивации вымогателей-блокеров
    virusinfo
    drweb
    drweb 2
    kaspersky
    и сделать логи

    Добавлено через 2 минуты

    не поможет
    На чистой машине скачайте LiveCD Dr.Web и запишите как образ диска.
    Загрузитесь с него и просканируйте "больной" ПК.
    Затем загрузитесь в обычном режиме и просканируйте AVPtool
    Последний раз редактировалось polword; 11.02.2010 в 13:22. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    У меня нет пишущего CD - он на зараженном ноутбуке. Можно ли воспользоватся LiveCD windows, что бы из под него запустить какую-нибудь утилиту?

    Этот вирус при каждом запуске еще на внешние диски себя прописывает, вот он.

    закачка карантина осуществляется в соответствии с правилами
    Последний раз редактировалось Rene-gad; 12.02.2010 в 11:56.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    вложение удалите отсюда... Пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

    Добавлено через 1 минуту

    Воспользуйтесь и просканируйте AVPtool.
    Последний раз редактировалось polword; 12.02.2010 в 10:38. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    Утилита Касперского не помогала, как уже писал.
    Воспользовался Cure IT, подключив зараженный диск к здоровому компьютеру. Она нашла и удалила вирус.
    Но он отклчил видимо многие вещи в компьтере. При запуске теперь видно одну картинку рабочего стола, при вызове диспечера задач пишет что он отключен администратором, windows+R не работает.
    Как быть?

    Вирус прикрепляю через карантин, Dr. Web говорит что это Trojan.Packed.19647

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     ExecuteRepair(9);
     ExecuteWizard('TSW', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  14. #13
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    Заработал explorer, Win+R, диспечер задач.
    Логи прилагаю.

    Не знаю связано это с вирусами или нет, но еще с первого вируса не работает безопасный режим windows, при нажатии F8 загрузка идет в обычном режиме.

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DeleteService('Bonjour Service');
     DeleteFileMask('C:\Program Files\Bonjour\','*.*',true);
     DeleteDirectory('C:\Program Files\Bonjour\');
     DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
     QuarantineFile('C:\WINDOWS\alcmtr.exe','');
     QuarantineFile('C:\WINDOWS\System32\netprotocol.dll','');
     DeleteFile('C:\WINDOWS\System32\netprotocol.dll');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(14);
     BC_DeleteSvc('Bonjour Service');
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторный лог virusinfo_syscheck.zip

  16. #15
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    Логи

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    в логе чисто. Есть еще какие-то проблемы? Если нет то лечение закончено

  18. #17
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    Безопасный режим по прежнему не работает.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    В AVZ меню - Файл - Восстановление системы - в строчке
    10. Восстановление загрузки в Safe Mode
    поставьте галочку. Нажмите кнопку Выполнить ...
    Перезагрузите компьютер.
    Помогло?

  20. #19
    Junior Member Репутация
    Регистрация
    10.02.2010
    Сообщений
    10
    Вес репутации
    52
    К сожалению нет

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения обнаружены вредоносные программы:
      1. \virus\autorun.inf - Trojan.Win32.AutoRun.ym ( NOD32: Win32/LockScreen.AX trojan, AVAST4: VBS:Malware-gen )
      2. \virus\md.exe - Trojan-Ransom.Win32.Chameleon.ck ( DrWEB: Trojan.Packed.19647, NOD32: Win32/AutoRun.LockScreen.A worm, AVAST4: Win32:Malware-gen )


  • Уважаемый(ая) Pr0phet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. браузер открывает рекламу при запуске
      От lat в разделе Помогите!
      Ответов: 19
      Последнее сообщение: 06.05.2012, 14:49
    2. вирус на Windows7 убивает AVZ
      От kosmoflyko в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 24.07.2010, 12:20
    3. Вирус убивает флешки
      От Irion в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.04.2010, 21:43
    4. Ответов: 17
      Последнее сообщение: 22.02.2009, 09:07
    5. Вирус убивает МР3 Хэлп!
      От Svoyak в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 26.10.2008, 11:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00794 seconds with 19 queries