Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус не дает загрузиться системе, запускает браузер

Ганс

Автор Ганс
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ганс Постоялец

Ганс

Опубликовано
Опубликовано

Недавно вирус только запускал сообщения типа "вы тысячный посетитель" и запускал браузер с казино, танками и другими сайтами.

Теперь не дает запуститься системе: при загрузке системы черный экран и курсор.

Диспетчер задач запускается, им я снимаю два процесса подозрительных и система загружается.

 

Утилитами удалил некоторые трояны, проблема не исчезла.

 

Программой Getsysteminfo я информацию собрал, но сайт не загружает архив, хотя он целый, вот такое сообщение выдает:

Формат файла GetSystemInfo_X-ЏЉ_x_2016_06_14_13_05_54.zip в GetSystemInfo_X-РџРљ_x_06_14_2016_13_05_45.zip неверный : application/zip

 

Вот логи других программ:

hijackthis.log

 

 

 

 

virusinfo_syscheck.htm

virusinfo_syscheck.zip

 

 

 

 

Это я в AVZ в стандартных скриптах выполнил 2,3 и 7 пункт.

 

Что делать со всем этим?

 

virusinfo_syscheck.xml

Ссылка на комментарий
Поделиться на другие сайты
Elly Мудрец

Elly

Опубликовано
Опубликовано

Что делать со всем этим?  

Прочитать правила и приложить то, что в них написано. Карантин выкладывать вообще запрещено правилами форума.

 

 

Программой Getsysteminfo я информацию собрал, но сайт не загружает архив, хотя он целый, вот такое сообщение выдает:

Вот это "_X-ЏЉ_x_" из названия удалите.

Ссылка на комментарий
Поделиться на другие сайты
Ганс Постоялец

Ганс

Опубликовано
  • Автор
Опубликовано

Я эту информацию собирал, когда был за зараженным компьютером. Сейчас опубликовал со здорового. Я думал, что тут по старым правилам все.

Тогда я когда буду у зараженного компьютера, сделаю по-новому.


Те нечитаемые символы удалял, все равно не загружает.

Ссылка на комментарий
Поделиться на другие сайты
Ганс Постоялец

Ганс

Опубликовано
  • Автор
Опубликовано

Т.к. система не загружалась - черный экран с курсором, я начал собирать логи в безопасном режиме, в логе увидел имя файла, который не давал запустить систему, очистил папку temp, система загрузилась в обычном режиме и сборка логов продолжилась.

 

После загрузки системы я обнаружил, что слетели драйвера у сетевой карты и у клавиатуры, я удалил Drweb, сетевая карта заработала, клавиатура не работает все еще.

 

Когда не работала еще сетевая карта, выскакивали сообщения "была запрошена информация с <рекламный сайт>" и предлагалось подключиться к интернету.

 

CollectionLog-2016.06.17-18.37.zip

 

Логи сделал. Как теперь оживить драйвер клавиатуры?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SmartAdverts for Google Chrome™

sunnyday version 1.1

Zip Extractor Packages

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\x\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe"', '');
 QuarantineFile('C:\Users\x\AppData\Local\Temp\3744101', '');
 QuarantineFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe', '');
 QuarantineFile('C:\Users\x\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 DeleteFile('C:\Windows\Tasks\At1.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 DeleteFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe"', '32');
 DeleteFile('C:\Users\x\AppData\Local\Temp\3744101', '32');
 DeleteFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe', '32');
 DeleteFile('C:\Users\x\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFileMask('c:\users\x\appdata\local\microsoft\extensions', '*', true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: AVdowloads - {375D77F1-EA02-4D3B-976C-79CAA527F956} - (no file)
O2 - BHO: ContentBlockerBrowserHelperObject - {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358} - (no file)
O2 - BHO: Safe Money Plugin - {E3D96E85-529D-4269-AC6A-97CF9E2221E3} - (no file)
O2 - BHO: VirtualKeyboardBrowserHelperObject - {B5D5BB14-C8E2-478D-9C97-574AC10AF9E8} - (no file)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Ссылка на комментарий
Поделиться на другие сайты
Ганс Постоялец

Ганс

Опубликовано
  • Автор
Опубликовано

Все сделал, клавиатуру оживлял отдельно.

 

CollectionLog-2016.06.19-13.06.zip

 

Из лаборатории пришло такое письмо:
 

 

KLAN-4471792688

 

Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

extsetup.log,
le,
updver

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by TollsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Ганс Постоялец

Ганс

Опубликовано
  • Автор
Опубликовано

AdwCleanerC1.txt

AdwCleanerS2.txt

 

Два файла почему-то создались.

 

Я потом очистку нажал, чтобы лишнее удалилось.

 

Еще интернет начинает тормозить, сначала нормально грузятся страницы, потом через 10 минут совсем перестают загружаться.

После перезагрузки снова нормально грузятся.

 

Это может быть от действий лишних программ?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3991094414-1503772035-2140201005-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3991094414-1503772035-2140201005-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF NewTab: hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm
CHR StartupUrls: ChromeDefaultData -> "hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm"
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://d391tbweljugwk.cloudfront.net/chrome.php?q={searchTerms}&ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm
CHR DefaultSearchKeyword: ChromeDefaultData -> yessearches
CHR Extension: (SL for Google Chrome™) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-17]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ehfjihahbphdpljpiadbkmgmhnfehhgi [2016-06-17]
AlternateDataStreams: C:\Windows\win.ini:frp34d [226]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Chrome установлен тестовой версии. Сохраните, если нужно, закладки, удалите браузер. Скачайте и установите актуальную версию.

 

Сообщите что с проблемой.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • bzhero
      Вирус не дает закончить установку антивируса
      Автор bzhero
      Добрый день. Выполняю установку Kaspersky Standart с официального сайта. В окне с установщиком доходит до 90%, а далее вирус закрывает установщик, когда заново пытаюсь установить - все сначала. И так уже несколько раз. Когда пытаюсь зайти в антивирус (открыть приложение) из "Безопасности Windows" - ничего не происходит. Помогите пожалуйста
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • Pomka.
      Рейтинговая система мотивации участников клуба: обсуждение
      Автор Pomka.
      короче простым клубням тут не место ?
    • Victor_R
      Kaspersky plus и Adguard. Adguard не установлен в системе.
      Автор Victor_R
      Доброго дня всем! Версия Plus заканчивается пробный период. И вдруг Касперский начинает находить (раньше такого не видел в своей системе) и ругается на несовместимость с AdGuard. Предлагает настоятельно удалить его, но его НЕТ в системе! Смотрел и средствами Windows и есть Uninstall Tool. Но нигде нет Adguard.  Как реагировать на это? А точнее как исправить?
    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
×
×
  • Создать...