Перейти к содержимому


Фотография
- - - - -

Помогите удалить вирус

троян тормозит систему

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 15

#1 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 05 Октябрь 2019 - 01:43

Антивирус касперского тотал секюрити обнаруживает загрузочного трояна, но вылечить или удалить не может, помогите!


добавил отчеты ещё

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 05 Октябрь 2019 - 04:30

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://yambler.net/?im
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text={searchTerms}
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [CustomizeSearch] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text=
R0-32 - HKLM\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bb103d8f1b9dc3773b5100a3c5621c4c&text=
R3 - HKCU\..\URLSearchHooks: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: 31D3DFAx3D - C:\Windows\system32\cmd.exe /c "C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat"
O23 - Service S2: BDMRTP Service - (BDMRTP) - (no file)
O23 - Service S3: PSPR Control Service - (PSPRSERV) - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 SetServiceStart('BDMNetMon', 4);
 SetServiceStart('BDAntiExp', 4);
 SetServiceStart('BDEnhanceBoost', 4);
 QuarantineFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', '');
 DeleteFile('C:\Users\ALEX\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat', '64');
 DeleteSchedulerTask('31D3DFAx3D');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
  • 0

#3 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 05 Октябрь 2019 - 20:31

лог AdwCleaner 


https://virusinfo.in...016#post1505016

Прикрепленные файлы


  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 06 Октябрь 2019 - 00:29


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
  • 0

#5 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 06 Октябрь 2019 - 02:45

Сделал

Прикрепленные файлы


  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 06 Октябрь 2019 - 04:24


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
  • 0

#7 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 06 Октябрь 2019 - 06:04

сделал

Прикрепленные файлы


  • 0

#8 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 06 Октябрь 2019 - 12:35

Вот такого показывает трояна

Прикрепленные файлы


  • 0

#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 06 Октябрь 2019 - 13:48

Отключите ВСЕ установленные в браузерах расширения и проверьте проблему.
  • 0
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#10 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 06 Октябрь 2019 - 14:46

Отключил все установленные в браузерах расширения 


Отключил все установленные в браузерах расширения 


Обнаружено: Trojan.Multi.BroSubsc.gen

Расположение: System Memory

Прикрепленные файлы


  • 0

#11 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 668

Награды

           

Отправлено 06 Октябрь 2019 - 14:49

Очистите отчеты антивируса с найденными угрозами, перезагрузите компьютер. Выполните проверку антивирусом и сообщите результат.
  • 0
  • Спасибо x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#12 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 06 Октябрь 2019 - 17:21

Если проблема будет воспроизводиться и дальше приложите пожалуйста следующий лог:

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
  • 0

#13 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 08 Октябрь 2019 - 17:23

При полной проверке Kaspersky Total Security вирусов не находит. Но время от времени продолжает вылазить окно с попыткой лечить TROJAN.MULTI.BROSUBSC.gen 

 

Описание

Зловреды этого семейства устанавливаются в браузеры обманным путём на мошеннических и рекламных ресурсах и показывают рекламные уведомления, даже если окно браузера не активно.

Окна с рекламой в браузере хром постоянно вылазят.

Прикрепленные файлы


  • 0

#14 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 895

Отправлено 08 Октябрь 2019 - 17:56

Закройте и сохраните все открытые приложения.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\PROGRAM FILES (X86)\ITOOLS 3\ITOOLS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

После выполнения ПК перегрузиться.
 
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите этот архив через данную форму
 
.
 
Браузер хром у Вас синхронизирован? 

  • 0

#15 OFF   krpnovosel

krpnovosel

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 08 Октябрь 2019 - 19:51

скрипт выполнил, перезагрузился, но архива ZIP с именем, начинающимся с ZOO_  не появилось.

Браузер хром - да, синхронизирован 


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных