Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус, который запускается после 5-10 минут простоя компа

Саня_Химик

Автор Саня_Химик
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Саня_Химик

Саня_Химик

Опубликовано
Опубликовано

На компе обнаруживаются вредоносные программы, пытающиеся из инета подгрузить ещё нечто из инета (об этом постоянно сообщается антивирусная программа (CRYSATAL))

Кристалл, вроде как вредителя находит, лечит, удаляет и просит перезагрузить комп. Но после перезагрузки, примерно через 5-15 минут простоя сама запускается браузер с какой-нибудь инет страницей (всегда разные). И запускается программа "bbcabfcbcfe.exe" расхоложенная по адресу C:\Users\пользователь\AppData\Local\Temp, которая пытается что-то инсталировать на комп. Какие-то программы похожие на рекламные модули.

Полная проверка навирусы находит какие-то вред проги в парках C:\Users\пользователь\AppData\Local\Temp  Удаление содержимого папок темп не приводит к желаемому результату. После перезагрузки и 5-15 минут простоя, папки темп опять полны мусора.

Далее открываются окна антивируса сообщающие о проблемах, следование которым приводит к перезагрузке компа. И круг замыкается.

Прошу помочь с борьбой нечисти на компе.

Вирус судя посему занёс сын из инета.

 

CollectionLog-2015.01.01-19.19.zip

thyrex

thyrex

Опубликовано
Опубликовано
AnySend-->"C:\Users\Андрей\AppData\Roaming\ASPackage\uninstall.exe"
Media Player-->C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha180\uninstall.exe
Media View-->C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3145\uninstall.exe
Media Viewer-->C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha3580\uninstall.exe
Mobogenie-->C:\Program Files (x86)\Mobogenie\uninst.exe

 

 
удалите через Установку программ
 
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\АННА\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','');
 QuarantineFile('C:\Users\A4F7~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','');
 DeleteService('serveras');
 TerminateProcessByName('c:\program files (x86)\mobogenie\mgassist.exe');
 TerminateProcessByName('c:\program files (x86)\mobogenie\daemonprocess.exe');
 TerminateProcessByName('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe');
 QuarantineFile('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe','');
 DeleteFile('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe','32');
 DeleteFile('c:\program files (x86)\mobogenie\daemonprocess.exe','32');
 DeleteFile('c:\program files (x86)\mobogenie\mgassist.exe','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DCR.dll','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\Device.dll','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteFile('C:\Users\A4F7~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','64');
 DeleteFile('C:\Users\АННА\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','32');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Сделайте новые логи
 
 
  • Согласен 2
Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Ваш запрос успешно отправлен в Департамент исследований и разработки Лаборатории Касперского.

Скрипт выполнил

Сейчас зашёл в C:\Program Files (x86)\ и удалил три папки \MediaPlayerV1\, \MediaViewV1\, \MediaViewerV1\

заглянул в папку AppData\Local\Temp - она полна всякой ерунды ((

файл c:\quarantine.zip открыл (не распаковывая) программой WinRAR, странно, но в нём как бы ничего нету (( Но тем не менее всё равно отправил на https://my.kaspersky.com/ru

У антивирусной программы в карантине 13 файлов!

теперь выполняю заново логи и прикладываю их

Лог после выполнения скрипта

 

CollectionLog-2015.01.01-22.02.zip

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

O2 - BHO: AdobeFlashStable - {D0123838-675F-43DC-9D4C-58498D4D84C9} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

 

 

C:\ProgramData\TimeTasks удалите вручную

 

Что с проблемой?

Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Пофиксите в HiJack 

Стесняюсь спросить - а это как? А то с таким впервые сталкиваюсь.

Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Ок. Спасибо. Профиксил и удалил. ща почищу карантин и перезагружу копм.

Потом подожду около 20 минут, и тогда сообщу решена ли проблема.


Ребят, проблема не совсем решилась ((

Как понятно по логам на компе два активных пользователя - АННА и Андрей.

Я в прошлый раз логи делал под АННА

И вроде Анна ща работает стабильно, а вот под Андрей проблема как была так и есть.

Единственное ранее запускалась программа, а ща она больше не запускается, в остальном же проблема как была так и осталась.

Свежие логи, сделанные под пользователем Андрей прилагаю.

И да, лаборатория касперского ответила что архив карантина - ПОВРЕЖДЁН

CollectionLog-2015.01.02-00.03.zip

thyrex

thyrex

Опубликовано
Опубликовано
ConvertAd-->"C:\Users\АННА\AppData\Local\ConvertAd\uninstall.exe"
Screeny-->C:\Users\Андрей\AppData\Local\Screeny\uninstall.exe
Software Version Updater-->C:\Users\Андрей\AppData\Local\SwvUpdater\Updater.exe /uninstall

 

 

удалите через Установку программ

 

C:\Windows\tasks\AmiUpdXp.job удалите вручную

 

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да

В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Удалить через установку программы - это как? (извините)

Удалить через установку программы - Я захожу через пуск-панельуправления-удаление программ и там уже удаляю если нахожу прогу в списке, если в списке нету, то удаляю в ручную по указанному пути расположения.

Что указано было - я удалил.

Перед SITlig выключил касперского, навсякий случай.

SITlog прикладываю

SITLog.txt

SITLog_Info.txt

Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Ауу! Дын-дын!

Про меня наверное забыли?


Не знаю тут ли об этом надо писать... Но напишу, уж тут пока мне логи просвечивают.

Сегодня приехал на работу и у нас на работе, в двух независимых местах компы не могут выйти в инет. В обоих случаях стоят   Wi-Fi роутеры. Но из двух, один комп к роутеру подключен через кабель. Начинаю ковырять тот комп, что к роутеру через кабель. Нахожу слеlы присутствия вируса Baidu. Чищу комп (служ команды-очиска диска+ручная очиска папок Temp+панель упр.- удаление прогр.) и инет сам запускается.

Запускаю копм в безопасном режиме и лечу лечилкой от Dr.W - который находит вирус Baidu (в папке \device\...

! ?? У меня вопрос к "санитарам" не кажется ли Вам, что пора объявить об эпидемии китайского вируса Baidu ???

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://inews.pw/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
O2 - BHO: Niooiee@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [Screeny] C:\Users\Aia?ae\AppData\Local\Screeny\Screeny.exe
O4 - HKCU\..\Run: [Timestasks] "C:\ProgramData\TimeTasks\TimeTasksSetup.exe" /adv= /S

 

 

 

Расширения для Firefox

NetworkSecurity v14.3.9
MegaSmiles
Speed Analysis 3
Screeny
BonanzaDeals
superpromokody
Video Player

 

удалите

 

C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml удалите

 

 

 
Саня_Химик

Саня_Химик

Опубликовано
  • Автор
Опубликовано

Профиксил все пунткры

Удалил, файл

А вот деинсталировать плагины фокса - я не знаю как. Браузера мозилы как такового нету, удалён. Потому, где нашёл - удалил папка мозилы с вообще вем содержимым.

 

Перезагрузил комп и ... проблема так и осталась ((

1) после входа пользователя Андрея, запускается программа майл.агент

2) запускается браузер поумолчанию Maxthon. И если ранее запускаясь, браузер запускал какую-то (кажд. ра новыую) траницу какого-нибудь рекламного сайта, то ща открывается страница почты и вход выполнен.

3) сейчас уже включен пользователю АНДРЕЙ родительский контроль на антивирусе. И вот этот антивирус постоянно сообщает, что блокирует открытия страниц (####.mail#.#####)

 

Прикладываю, новые логи.

 

PS. Сейчас нахожусь далеко от компа и потому все процедуры выполнял посредством программы TeamViewer

CollectionLog-2015.01.03-18.50.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...