Перейти к содержанию
Правила раздела

Вирус, который запускается после 5-10 минут простоя компа

Саня_Химик

Автор Саня_Химик
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Саня_Химик

Саня_Химик

Опубликовано
Опубликовано

На компе обнаруживаются вредоносные программы, пытающиеся из инета подгрузить ещё нечто из инета (об этом постоянно сообщается антивирусная программа (CRYSATAL))

Кристалл, вроде как вредителя находит, лечит, удаляет и просит перезагрузить комп. Но после перезагрузки, примерно через 5-15 минут простоя сама запускается браузер с какой-нибудь инет страницей (всегда разные). И запускается программа "bbcabfcbcfe.exe" расхоложенная по адресу C:\Users\пользователь\AppData\Local\Temp, которая пытается что-то инсталировать на комп. Какие-то программы похожие на рекламные модули.

Полная проверка навирусы находит какие-то вред проги в парках C:\Users\пользователь\AppData\Local\Temp  Удаление содержимого папок темп не приводит к желаемому результату. После перезагрузки и 5-15 минут простоя, папки темп опять полны мусора.

Далее открываются окна антивируса сообщающие о проблемах, следование которым приводит к перезагрузке компа. И круг замыкается.

Прошу помочь с борьбой нечисти на компе.

Вирус судя посему занёс сын из инета.

 

CollectionLog-2015.01.01-19.19.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
AnySend-->"C:\Users\Андрей\AppData\Roaming\ASPackage\uninstall.exe"
Media Player-->C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha180\uninstall.exe
Media View-->C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3145\uninstall.exe
Media Viewer-->C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha3580\uninstall.exe
Mobogenie-->C:\Program Files (x86)\Mobogenie\uninst.exe

 

 
удалите через Установку программ
 
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\АННА\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','');
 QuarantineFile('C:\Users\A4F7~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','');
 DeleteService('serveras');
 TerminateProcessByName('c:\program files (x86)\mobogenie\mgassist.exe');
 TerminateProcessByName('c:\program files (x86)\mobogenie\daemonprocess.exe');
 TerminateProcessByName('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe');
 QuarantineFile('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe','');
 DeleteFile('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe','32');
 DeleteFile('c:\program files (x86)\mobogenie\daemonprocess.exe','32');
 DeleteFile('c:\program files (x86)\mobogenie\mgassist.exe','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DCR.dll','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\Device.dll','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteFile('C:\Users\A4F7~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','64');
 DeleteFile('C:\Users\АННА\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','32');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи
 
 
  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Ваш запрос успешно отправлен в Департамент исследований и разработки Лаборатории Касперского.

Скрипт выполнил

Сейчас зашёл в C:\Program Files (x86)\ и удалил три папки \MediaPlayerV1\, \MediaViewV1\, \MediaViewerV1\

заглянул в папку AppData\Local\Temp - она полна всякой ерунды ((

файл c:\quarantine.zip открыл (не распаковывая) программой WinRAR, странно, но в нём как бы ничего нету (( Но тем не менее всё равно отправил на https://my.kaspersky.com/ru

У антивирусной программы в карантине 13 файлов!

теперь выполняю заново логи и прикладываю их

Лог после выполнения скрипта

 

CollectionLog-2015.01.01-22.02.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

O2 - BHO: AdobeFlashStable - {D0123838-675F-43DC-9D4C-58498D4D84C9} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

 

 

C:\ProgramData\TimeTasks удалите вручную

 

Что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты
Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Ок. Спасибо. Профиксил и удалил. ща почищу карантин и перезагружу копм.

Потом подожду около 20 минут, и тогда сообщу решена ли проблема.


Ребят, проблема не совсем решилась ((

Как понятно по логам на компе два активных пользователя - АННА и Андрей.

Я в прошлый раз логи делал под АННА

И вроде Анна ща работает стабильно, а вот под Андрей проблема как была так и есть.

Единственное ранее запускалась программа, а ща она больше не запускается, в остальном же проблема как была так и осталась.

Свежие логи, сделанные под пользователем Андрей прилагаю.

И да, лаборатория касперского ответила что архив карантина - ПОВРЕЖДЁН

CollectionLog-2015.01.02-00.03.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
ConvertAd-->"C:\Users\АННА\AppData\Local\ConvertAd\uninstall.exe"
Screeny-->C:\Users\Андрей\AppData\Local\Screeny\uninstall.exe
Software Version Updater-->C:\Users\Андрей\AppData\Local\SwvUpdater\Updater.exe /uninstall

 

 

удалите через Установку программ

 

C:\Windows\tasks\AmiUpdXp.job удалите вручную

 

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да

В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

Ссылка на комментарий
Поделиться на другие сайты
Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Удалить через установку программы - это как? (извините)

Удалить через установку программы - Я захожу через пуск-панельуправления-удаление программ и там уже удаляю если нахожу прогу в списке, если в списке нету, то удаляю в ручную по указанному пути расположения.

Что указано было - я удалил.

Перед SITlig выключил касперского, навсякий случай.

SITlog прикладываю

SITLog.txt

SITLog_Info.txt

Ссылка на комментарий
Поделиться на другие сайты
Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Ауу! Дын-дын!

Про меня наверное забыли?


Не знаю тут ли об этом надо писать... Но напишу, уж тут пока мне логи просвечивают.

Сегодня приехал на работу и у нас на работе, в двух независимых местах компы не могут выйти в инет. В обоих случаях стоят   Wi-Fi роутеры. Но из двух, один комп к роутеру подключен через кабель. Начинаю ковырять тот комп, что к роутеру через кабель. Нахожу слеlы присутствия вируса Baidu. Чищу комп (служ команды-очиска диска+ручная очиска папок Temp+панель упр.- удаление прогр.) и инет сам запускается.

Запускаю копм в безопасном режиме и лечу лечилкой от Dr.W - который находит вирус Baidu (в папке \device\...

! ?? У меня вопрос к "санитарам" не кажется ли Вам, что пора объявить об эпидемии китайского вируса Baidu ???

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://inews.pw/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
O2 - BHO: Niooiee@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [Screeny] C:\Users\Aia?ae\AppData\Local\Screeny\Screeny.exe
O4 - HKCU\..\Run: [Timestasks] "C:\ProgramData\TimeTasks\TimeTasksSetup.exe" /adv= /S

 

 

 

Расширения для Firefox

NetworkSecurity v14.3.9
MegaSmiles
Speed Analysis 3
Screeny
BonanzaDeals
superpromokody
Video Player

 

удалите

 

C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml удалите

 

 

 
Ссылка на комментарий
Поделиться на другие сайты
Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Профиксил все пунткры

Удалил, файл

А вот деинсталировать плагины фокса - я не знаю как. Браузера мозилы как такового нету, удалён. Потому, где нашёл - удалил папка мозилы с вообще вем содержимым.

 

Перезагрузил комп и ... проблема так и осталась ((

1) после входа пользователя Андрея, запускается программа майл.агент

2) запускается браузер поумолчанию Maxthon. И если ранее запускаясь, браузер запускал какую-то (кажд. ра новыую) траницу какого-нибудь рекламного сайта, то ща открывается страница почты и вход выполнен.

3) сейчас уже включен пользователю АНДРЕЙ родительский контроль на антивирусе. И вот этот антивирус постоянно сообщает, что блокирует открытия страниц (####.mail#.#####)

 

Прикладываю, новые логи.

 

PS. Сейчас нахожусь далеко от компа и потому все процедуры выполнял посредством программы TeamViewer

CollectionLog-2015.01.03-18.50.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • XOMA302
      Не запускается Kaspersky
      Автор XOMA302
      Привет я сделал все что было указанно в Порядке оформления запроса о помощи CollectionLog-2025.07.30-19.49.zip вот логи что просили прикрепить, помогите люди
    • XOMA302
      Не устанавливается или не запускается Kaspersky
      Автор XOMA302
      я не знаю что вам прикрепить просто читал что вы помогали другим пользователям. Я не хочу просто винду сносить вот и пишу на форум помогите люди(
    • anonymous7
      [РЕШЕНО] Появился вирус на компе, когда удаляю после перезагрузки он воостанавливается. Помогите пожалуйста!
      Автор anonymous7
      Подозреваю что зашел на какой-нибудь сайт который мне и подкинул вирус. в диспетчере задач появились 2 setup.exe, я их отключаю но после перезапуска компа они снова работают и вирус после удаление тоже востанавливается. Скинул скрин пути к вирусу. Malwarebytes после перезагрузки сразу помещает в карантин вирус

    • ChanyRi
      Есть ли вирусы которые сразу после выключения включают ПК?
      Автор ChanyRi
      Столкнулся с проблемой, что где то раз в две недели после выключения мой ПК сам включается. Сначало думал дело в блоке питания и заменил его, но через неделю все тоже самое. Проверил саму кнопку включения и настройки BIOS, но это тоже не дало результат. Так же точно знаю, что это не спящий режим или перезагрузка, так как при спящем режиме или перезагрузке кулера не отключаются. Теперь я подозреваю, что это какой то вирус. Есть ли вообще вирус который может включать ПК? Антивирус никаких проблем не видит. Заранее спасибо
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
×
×
  • Создать...