» Помощь при лечении компьютера от вирусов

Mushroomer
Внимание, следующее действие удалит установленные тулбары:

Запустите повторно [COLOR="Blue"]AdwCleaner (by Xplode)[/COLOR] (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [COLOR="Blue"]C:\AdwCleaner[S1].txt[/COLOR].Прикрепите отчет к своему следующему сообщениюВнимание: [COLOR="Red"]Для успешного удаления может потребоваться перезагрузка компьютера!!![/COLOR]


Повторите сканирование и удалите в MBAM
Обнаруженные файлы: 4
C:\Documents and Settings\ASUS\Local Settings\Temp\92.tmp (Trojan.Agent.PE5) -> Действие не было предпринято.
C:\Documents and Settings\ASUS\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\ASUS\Local Settings\Temp\x2z8.exe (Trojan.MBR.FireFX) -> Действие не было предпринято.

У вас роутер сеть раздает?

the_shadows
Цитата:

У вас роутер сеть раздает?

У меня нет, а у девушки не знаю. А это важно?

Цитата:

Запустите повторно ...
Повторите сканирование...

Блин, как чувстовал. Рука вчера прямо тянулась удалить все-то, что нашлось. Но сдержал себя до вашего ответа Просто сканирование в MBAM больше часа продолжалось. А я могу просканировать только указанные пути или нужно опять полное сканирование запускать?

the_shadows
Не слежу за Вашей работой, банально нет времени, но к заметке:

Цитата:

Trojan.MBR.FireFX

Хотя возможно этот момент Вы проверили уже.

the_shadows
Цитата:

Запустите повторно ...
Повторите сканирование...

Сделал. Новые логи. http://rghost.net/private/45200072/7cd3c6ee3993c664c5a4af38c0def851
Проблема осталась.

the_shadows

Цитата:

Что с проблемами?

Исчезла. Спасибо.
По логам можно узнать, откуда прилетела, чтобы убрать грабли ?
Судя по датам в папке C:\Users\Alex\AppData\Roaming\Flash, ошибся с источником.
Может быть здесь ?
Или avg_free_x86_all_2013_3258a6152.exe здесь ? Не с антивирусника же подхватил , который поставил 18.03.13, а папки в Flash от 20.03.
Пока тайна, покрытая мраком.

kosfess
Спасибо за желание помочь

Цитата:

Хотя возможно этот момент Вы проверили уже.

Это дроппер MBRlock, у пользователя судя по всему не та проблема, да и UVS не опознал.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в tEmp.exe

Подробнее в "ComboFix. Руководство по применению."

Добавлено:
alevg

Цитата:

Судя по датам в папке C:\Users\Alex\AppData\Roaming\Flash, ошибся с источником.

Туда подбросили утилиту для майна Bitcoin

the_shadows
Цитата:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Оставлял ComboFix работать на ночь. Сейчас вижу только пустой рабочий стол и указатель мыши. Что собственно делать дальше и как узнать закончил ли он работать или нет?

Поднял (через диспетчер задач) рабочий стол. лог файл ComboFix не обнаружил. Перезагрузился. Windows удачно загрузилась. Проблема осталась. Есть вопросы
1) Был запущен Panda Cloud Antivirus, который я не смог остановить
2) Консоль восстановления ставить не надо было?
3) В трее висел MBAM. Сейчас уже выгрузил.
4) у нетбука срабатывал скринсервер или его заставка, поэтому во время работы ComboFix приходилось нажимать на клавиатуре стрелку вниз.

the_shadows
Удалил Panda Cloud Antivirus, вышел из MBAM, отключил ждущий режим и скринсейвер. Повторно запускаю ComboFix. Пока идет все по инструкции к этой программе.

Добавлено:
log ComboFix http://rghost.net/private/45245269/c7a0231ef0c4d1b2d162066f2a993c63

Спасибо, много полезного!

Времени на решение проблемы остается мало. Пытаюсь разобраться сам. Сделал флешку с Drweb LiveCD. Запустил. Обнаружен Trojan. Carberp.30

Drweb LiveCD вирус убил. Но проблема осталась. Kaspersky Rescue Disk на загрузочной флешке вообще не запустился. Повторно запустил Drweb LiveCD. Вирусов нет, а проблема есть. Тогда я от отчаянья запустил cleanmgr и о чудо проблема ушла.

Я был бы признателен, если бы хелперы все-таки посмотрели последний лог.

подскажите троян залез в оперативную память и не удаляется,чё делать,винду переустанавливать?

karambos
Выполните написанное в шапке темы

Mushroomer
Плохого в логе не вижу

karambos

Цитата:

подскажите троян залез в оперативную память и не удаляется

А как вы это определили?

Цитата:

чё делать,винду переустанавливать?

Лечить систему, используя полезные программы, созданные умными людьми (всё здесь)
Дополнительно: всегда читайте шапку темы перед тем, как задавать вопрос (люди же не зря всё это писали).

karambos
Andreyxpv7
Пожалуйста, воздержитесь от безынформативных постов в этой теме.

nod обнаружил троян в оперативке,и не какой браузер не открывается просят телефон а с телефона отправить смс это нормально?запустил dr.web он не ищет проблему.

karambos

Цитата:

это нормально?

Нормально, ненормально - судить вам...
Спрашивайте тут

спс.помогло,удачи.

Криптующий вирус, повсюду TXT файлы "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt"

Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
отправьте смс с текстом 4215436395 на номер 1055
Стоимость смс сообщения состовляет200 рублей.

У вас есть 5 попыток ввода кода. При превышении этого
количества, все данные необратимо испортятся. Будьте
внимательны при вводе кода!

Ярлыки, документы (даже txt (кроме своего ) и html) картинки дополнены расширением .enciphered.

Выкладываю примеры зашифрованных файлов:
http://yadi.sk/d/fuhkS_e64O7nI

Сканирование Kaspersky Removal Tool из под другой системы на системном диске обнаружил тела вирусов в папке TMP: del пароль стандартный.

Удалил вирус, откатил систему назад, ярлыки восстановились (все файл по маске *.lnk..enciphered и "КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt" прибил ). В системе стало возможно работать. Зашифрованные фотки доки и тд будут ждять лучших времен для расшифровки.

Здравствуйте, люди добрые. Прошу помощи.

Система: Microsoft Windows 7 Ultimate Edition Service Pack 1 (build 7601) 64
Language : Russian. ANSI Code Page : 1251. OEM Code Page : 866
DirectX : DirectX 11. Internet Explorer : 9.10.9200.16540 (Build 99200)

Симптомы:

- Зависание программ. То одна, то другая загружает ЦП.
- Антивирусы не доводят проверку до конца. Установлен бесплатный AVG, который останавливается на 56%. Проверка вроде бы идёт, количество проверенных файлов растёт, но проверяется, насколько могу судить, одна и та же папка: С:\Users\Denndroid\AppData\Local\Microsoft\Windows
В этой папке должны быть подкаталоги с временными интернет-файлами, но я их не вижу, хотя в свойствах папок указано, чтобы отображались скрытые и системные файлы.
Антивирусные утилиты тоже не доводят проверку до конца: Kaspersky Virus Removal Tool буксует на
1%, ESET - на 99%. Cureit проверку завершает, но толку никакого.
- Не работает "Очистка системы" (ни встроенная, ни CCleaner): запускается, но не очищает, висит.
- ОЗУ загружена не менее чем на 50%.
- Постоянно висит в процессах dllhost (возможно, это и нормально).
- При выключении компа появляется сообщение, что выключение блокирует Task Host.
Отключил через "Планировщик заданий" Rac Task и все тгриггеры (вычитал совет где-то в англоязычном инете). При включении "Планировщика заданий" теперь выскакивает сообщение:
"Выбранная задача 0 больше не существует". Отключение Rac Task yе помогло: выключение компа всё равно тормозит Task Host.

Лог AVZ http://rghost.ru/45659951

Лог rsit http://rghost.ru/45659237

На всякий случай лог стандартного скрипта AVZ для 64-битной системы http://rghost.ru/45657781

IvANANvI
Похоже, подхватили Xorist, попробуйте вот эту утилиту для расшифровки.
Ссылки на вирусы - немедленно удалите!

Denndroid
В логах ничего вредоносного не видно. Или у Вас что-то глубоко залезшее в систему (в случае х64 это можно и не заметить), или - просто слишком "настроенная" система.
Попробуйте скачать любой из антивирусов из шапки, анпример, CureIt - и просканировать систему. Если ничего не найдёт - дело не в вирусах.

gjf,

спасибо за помощь. Действительно - что-то малопонятное с моим компьютером. Вчера запустил Cureit с диска Dr.Web Live CD. Утилита работает, находит подозрительные файлы: архивы cab, которые помечает как "слишком большой файл". Проработала всю ночь, но процент выполнения так и остался на нуле. Запускаю снова - работает, но процент выполнения не увеличивается. Только когда останавливаешь сканирование, циферка (процент выполнения) появляется. И так со всеми антивирусами - что в обычном, что в безопасном режиме. Загадка, однако.

Здравствуйте! Проблема с самопроизвольным открыванием рекламы в новых вкладках в браузере ОПЕРА.
Вылазит сайт http://www.zarabotat-v-inete.com/
Вот логи:
avz http://rghost.ru/45713379
rsit http://rghost.ru/private/45713428/fc157b905443ad5ef8b0988e0c3da9b3 , http://rghost.ru/private/45713453/b567cb839c6251234e7c89ccf48a89f3

Pahen337
Сделайте логи вот этой утилитой: TDSS Killer.

gif, не могли бы вы уделить ещё немного внимания моим проблемам? Они таки никуда не делись.

А именно: очистка диска не работает: запускается, но виснет.
То же самое - утилиты, запущенные с Live CD. Касперский просто отрубается, Cureit не виснет, но пашет на одном месте и до конца не доходит.
А ещё такая странная вещь. Утилиты (включая "Очистку диска") видят в папке С:\Users\Denndroid\AppData\Local\Microsoft\Windows подкаталог Temporary Internet Files. Собственно, на этой папке они и зависают, кажется. А я в Проводнике этой папки не вижу. Думаю, здесь корень проблемы: папка вроде бы есть, но её как бы нет (как мёд у Винни Пуха).
Может, появятся какие-нибудь идеи? Что это и как лечить?

Цитата:

подкаталог Temporary Internet Files.

Так как каталог системный, то по умолчанию он скрыт, требуется временно включить показ системных файлов в Параметры папок (хотя как вы ранее писали, что это у вас включено).
Я ещё попробовал бы проверится этим.

KismetT, в Параметрах папок включено "показывать все папки" и убран флажок №скрывать системные папки", а утилита Касперского, загруженная с Live CD, как я писал, просто отрубается (в какой-то момент перестаёт работать и больше не запускается).

Т.е. антивирусные утилиты паку видят, а система нет. Но на этой папке утилиты либо зависают, либо отключаются, либо "буксуют" сутками (вроде работают, но процент выполнения не увеличивается и сканирование не доходит до конца).

Denndroid
Можно с диска DrWeb или Касперского (в них есть Midnight Commander и Dolphin) зайти через файловый менеджер в эту папку и снести оттуда всё подозрительное.


Цитата:

а утилита Касперского, загруженная с Live CD

Что вы конкретно имеете ввиду - Kaspersky Virus Removal Tool, запускаемая с Live CD или ещё что либо?

KismetT, под утилитой я имел именно Virus Removal Tool.

Вариант снести всё на фиг и мне приходил в голову. А можно удалить эту папку целиком?

Попробую удалить через Dolfin, отчитаюсь.

Цитата:

под утилитой я имел именно Virus Removal Tool.

KRD на мой взгляд лучше.

Цитата:

А можно удалить эту папку целиком?

Лучше не стоит, посмотри всё содержимое в этой папке и подозрительное удаляй.
Проведи также поиск по папке User\Denndroid\ по маске .exe.
Кстати в Dolfin-е необходимо настроить показ скрытых файлов и для всех директорий.
Ещё бы на всякий случай провёл chkdsk для системного диска.