Возможно Brontok

[Хитаров_Тимур]

Добрый день! Помогите с разрешение медленной работы АРМ. В общем обратился пользователь с проблемой что у него очень всё медленно открывается, а еще что иногда сам по себе открывается ГуглХром и кидает на сайт непонятного содержания. Проверяли Касперским Тул и Др веб куреит. Нашли один вирус размноженный, но проблема не исчезла. Еще у него не открывается Диспетчер задач, очень долго думает а потом говорит что он не отвечает. Скачал АВЗ с Сайта, обновил базы и просто запустил сканер. Выделил красным какой то Exe файл с пометкой Brontok.

По правилам раздела прикрепляю отчет.

Заранее, благодарю!

CollectionLog-2017.02.28-16.08.zip

Изменено 23 января, 2018 пользователем Хитаров_Тимур

[regist]

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
 

[Хитаров_Тимур]

Компьютер я отключил от сети, поэтому антивирус этот ругался что не может подключится к серверу лицензий, и при входе в личный кабинет тоже была ошибка. Поэтому премиум версию не получилось активировать, но проверку провел и файл прилагается. Нашел 11 тыс Worm.Brontok.

 

Ссылки

https://virusinfo.info/showthread.php?t=217330

https://virusinfo.info/virusdetector/report.php?md5=BCFD059D6E770F337B59A83BDEA244D9

 

klk.txt

Изменено 23 января, 2018 пользователем Хитаров_Тимур

[regist]

Премиум версия и не требуется. Едиственное что желательно базы обновить (их можно и отдельно скачать и обновить офлайн), но бронток такой допотопный вирус, что его и так должно хорошо видеть.

 

Privoxy и FORMATFACTORY - это ваше или нет? Если не нужны, то их тоже удалите.

 

Повторите сканирование MBAM если его уже закрыли и поместите в карантин всё кроме

PUP.Optional.Privoxy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, Проигнорировано пользователем, [316], [-1],0.0.0
PUP.Optional.Privoxy, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Проигнорировано пользователем, [316], [-1],0.0.0
PUP.Optional.Privoxy, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Проигнорировано пользователем, [316], [-1],0.0.0
PUP.Optional.Privoxy, HKU\S-1-5-21-32421505-2588379312-4251511752-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Проигнорировано пользователем, [316], [-1],0.0.0
PUP.Optional.Privoxy, HKU\S-1-5-21-32421505-2588379312-4251511752-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYSERVER, Проигнорировано пользователем, [316], [-1],0.0.0
PUP.Optional.Privoxy, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Проигнорировано пользователем, [316], [-1],0.0.0
HackTool.FilePatch, C:\PROGRAM FILES (X86)\MOVAVI VIDEO EDITOR 12\VIDEOEDITOR.EXE, Проигнорировано пользователем, [7004], [123997],1.0.3752
HackTool.FilePatch, C:\PROGRAM FILES (X86)\MOVAVI VIDEO EDITOR 12\_VIDEOCAPTURE.EXE, Проигнорировано пользователем, [7004], [123997],1.0.3752
PUP.Optional.InstallCore, C:\PROGRAM FILES (X86)\FORMATFACTORY\UNINST.EXE, Проигнорировано пользователем, [2], [387418],1.0.3752
HackTool.FilePatch, C:\PROGRAM FILES (X86)\MOVAVI VIDEO EDITOR 12\VIDEOCAPTURE.EXE, Проигнорировано пользователем, [7004], [123997],1.0.3752
HackTool.FilePatch, C:\PROGRAM FILES (X86)\MOVAVI VIDEO EDITOR 12\_VIDEOEDITOR.EXE, Проигнорировано пользователем, [7004], [123997],1.0.3752
HackTool.FilePatch, C:\USERS\ADMIN\DOWNLOADS\MOVAVI-VIDEO-EDITOR-12.1.0-KEY.ZIP, Проигнорировано пользователем, [7004], [281135],1.0.3752
PUP.Optional.Privoxy, C:\USERS\ADMIN\DOWNLOADS\SERV-U.FTP.SERVER.V6.4.0.5.CORPORATE.EDITION.CRACKED-MINT.ZIP.ZIP, Проигнорировано пользователем, [316], [117653],1.0.3752

[Хитаров_Тимур]

Еще дополнительная информация, Компьютер работает через прокси сервер. Возможно это имеет смысл упомянуть

[Хитаров_Тимур]

Сделано! Что  дальше делать?

[regist]

Пароли смените, свежий лог MBAM для контроля сделайте.

 

и что с проблемой?

[Хитаров_Тимур]

Компьютер тормозит, но проверка МВАМ ничего не нашла, как и куреит и каперский тулс. Может он какие то системные файлы побить или реестр к примеру?

Еще вопрос, есть также 2 компьютера, все пользуются одной флешкой. Достаточно будет проверки этими же программами для излечения ПК?

[regist]

 

 

Еще вопрос, есть также 2 компьютера, все пользуются одной флешкой. Достаточно будет проверки этими же программами для излечения ПК?

создайте для них отдельную тему.

 

 

Может он какие то системные файлы побить или реестр к примеру?

Системные файлы он не трогает, в реестре прописывает некоторые блокировки, но и по архиву с логами из первого поста должно было бы видно и MBAM подобное видит. На всякий случай ещё раз логи по правилам сделайте.

 

 

Еще вопрос, есть также 2 компьютера, все пользуются одной флешкой. Достаточно будет проверки этими же программами для излечения ПК?

создайте для них отдельную тему.

 

 

Может он какие то системные файлы побить или реестр к примеру?

Системные файлы он не трогает, в реестре прописывает некоторые блокировки, но и по архиву с логами из первого поста должно было бы видно и MBAM подобное видит. На всякий случай ещё раз логи по правилам сделайте.

[Хитаров_Тимур]

Спасибо за помощь, компьютер проверял уже тройку раз всеми всякими и веб и касперский и МВАМ и мелкими утилитками. Проблема с этим решена ))). Я почему спросил за действия вируса, просто сейчас не могу поставить антивирус т.к. выдает ошибку, но значит проблема не из-за этого вируса. ТЕКСТ ошибки Служба базового модуля фильтрации (BFE) отсутствует или повреждена это может указывать на наличие угроз безопасности ПК. Сама служба отключена и не включается, сейчас работаю с интернетом.

Еще раз спасибо за помощь!

[Sandor]

На всякий случай ещё раз логи по правилам сделайте.

Ждем.

[regist]

 

 

ТЕКСТ ошибки Служба базового модуля фильтрации (BFE) отсутствует или повреждена это может указывать на наличие угроз безопасности ПК. Сама служба отключена и не включается, сейчас работаю с интернетом.

есть некоторые вирусы, которые её отключает, но Бронток не трогает. А может и по причине связанной с вирусами поломалось. В интернете в том числе на сайтах некоторых вендоров должен быть фикс для её ремонта. А также можете попробовать мастер устранения проблем от MS, но насколько помню он не помогал с этой проблемой, а помогала именно утилита кажись от Avira. Суть фикса кажись заключалась в твике реестра и исправление прав ACL. Но по поводу фикса подробности могу неточно помнить, давно с такой проблемой не сталкивался.
И если что дальше по этой проблему лучше в разделе Компьютерная помощь разбираться.

[Хитаров_Тимур]

Извините что так долго

123.txt

[regist]

В MBAM удалите только

PUP.Optional.MailRu, C:\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Проигнорировано пользователем, [611], [454830],1.0.3752
PUP.Optional.MailRu, C:\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [611], [454830],1.0.3752

 

 

ещё раз логи по правилам сделайте.

всё ждём.

[Хитаров_Тимур]

Логи

CollectionLog-2018.02.05-10.47.zip