Программы в фоновом режиме

[Хулиган]

Запускаю оперу, она появляется в процессах, но само окно оперы не появляется. Такая же проблема с хромом, с установщиками оперы и хрома. мазила работает но переодически ломится на порно сайт. Так же некоторые программы после запуска появляются в процессах но визуально их не видно. Касперский 6.0 изредка пишет обнаружен Invader в различных процессах но ничего с ним не делает. Помогите плиз.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 11 декабря, 2012 пользователем Хулиган

[Tiare]

Хулиган, здравствуйте.

 

 

Лог Random's System Information Tool (RSIT) прикрепите.

[Хулиган]

Пожалуйста

info.txt

log.txt

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Poevu\zeal.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\m10Cwzrdg1E.exe','');
QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Poevu', '*.*', false, '', 0, 0); 
QuarantineFileF('C:\Documents and Settings\Admin\Application Data\Nuospa', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', false, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\All Users\Application Data\KQ1JvLG6R0Q', '*.*', false, '', 0, 0);
DeleteFile('C:\Documents and Settings\Admin\Application Data\Poevu\zeal.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\m10Cwzrdg1E.exe');
DelBHO('1E796980-9CC5-11D1-A83F-00C04FC99D61');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','{65DFBFFF-0FE6-96D3-FFFD-B12EC4498B83}');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^m10Cwzrdg1E.exe');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Poevu', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\Nuospa', '*.*', true);
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\IBank', '*.*', true);
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\KQ1JvLG6R0Q', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Poevu');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\Nuospa');
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\IBank');
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\KQ1JvLG6R0Q');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

1) Повторите логи AVZ и RSIT

 

2) Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

 

3)

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
   
2. Скопируйте слудующий текст в блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:

   tdsskiller.exe -silent -qmbr -qboot

   
   

3. Запустите файл fix.bat;
   
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
   
5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
   
6. Запустите файл TDSSKiller.exe;
   
7. Нажмите кнопку "Начать проверку";
   
8. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
     
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
     

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

[*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

 

4) Установите Internet Explorer 8 (даже если им не пользуетесь)

 

 

5) меняйте все важные пароли, особенно, от платежных систем!

 

 

 

6) Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 - напишите полную версию продукта?

[Хулиган]

Ваши скрипты выполнил.

Файл Quarantine.zip на исследование в лабораторию Касперского отправил.

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

 

8vVx5cXzQj8.dat,

mnhslst32.dat,

wndsksi.inf,

zeal.exe

 

Файлы в процессе обработки.

 

klpclst.dat - Trojan.Script.Carberp.a

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

 

Новые логи AVZ и RSIT сделал

Скачал Malwarebytes' Anti-Malware лог сделал

TDSSkiller_Quarantine на почту отправил

TDSSKiller я так понимаю ничего не обнаружил

Устанавливаю IE8

 

Все платежные системы, что я использую, проверяют каждую сессию через подтверждение с помощью смс.

Касперский версия 6.0.4.1424 (d.f), дата выпуска баз 12.11.2012 9:33:00

 

 

Установщик оперы заработал...

log.txt

info.txt

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

mbam_log_2012_12_11__17_15_22_.txt

TDSSKiller.2.8.15.0_11.12.2012_17.26.08_log.txt

TDSSKiller.2.8.15.0_11.12.2012_17.28.08_log.txt

Изменено 11 декабря, 2012 пользователем Хулиган

[Tiare]

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\41\7f0e0569-4044a407','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\41\7f0e0569-4044a407');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

- обновите Adobe Reader до актуальной версии

 

TDSSkiller_Quarantine отправьте на почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\distr\разер\MouseTest.exe

 

 

Какие проблемы остались?

[Хулиган]

Да вообщем то вроде все заработало, понаблюдаю еще. Никогда не обращался за помощью в поддержку, был уверен ответа не дождаться, ан нет все быстро и качественно. Спасибо Вам.

[Tiare]

TDSSkiller_Quarantine отправьте на почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему.

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\distr\разер\MouseTest.exe

сделали?

 

 

повторите для контроля логи RSIT и MBAM