Решена Браузеры открываются и сразу отключаются

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Babai, 19 май 2015.

Метки:
Статус темы:
Закрыта.
  1. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    В браузере Мозила попытался зайти на сайт аваста. Браузер выключился. При попытках его включить, он сразу отключается. Хром работал нормально. Я стал искать решение проблемы через хром. Одна из ссылок по поиску вела на сайт касперского - браузер стал так же поступать как и мозила.
    Продолжил поиск через интернет експлоер. Нашел информацию пр AVZ. начал качать, потом, что-то нажал и открылась инфа об Avz в хроме. я закрыл вкладку с касперским и хром продолжил работу.
    Выполнил скрипты для AVZ. Теперь отсылаю архив.
     
  2. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    вот логи собранные
    --- Объединённое сообщение, 19 май 2015, Дата первоначального сообщения: 19 май 2015 ---
    Что самое интересное, даже с торрентов не могу зайти на любую страницу с названиями разных антивирусов.
    --- Объединённое сообщение, 19 май 2015 ---
    в процессах так же замечено большое количество файлов с расширением exe*32, в том числе копии обычных программ и с абракадаброй в названии..
    попытки завершить процесс ни к чему не привели, т.к. сразу запускаются снова.
    удаление найденых на компе файлов с абракадаброй - также ни к чему не приводит - появляются снова.
     

    Вложения:

  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    TerminateProcessByName('c:\users\tigra\appdata\local\temp\wcipzim.exe');
    TerminateProcessByName('c:\windows\csiztmaqmygksdlrk.exe');
    QuarantineFile('c:\users\tigra\appdata\local\temp\wcipzim.exe', '');
    QuarantineFileF('C:\sitenav\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
    QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\jcvpmizsrgryjxirnsfy.exe .', '');
    QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe', '');
    QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe .', '');
    QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\ysmhfcuooeqykzlvsymga.exe', '');
    QuarantineFile('C:\Windows\system32\jcvpmizsrgryjxirnsfy.exe', '');
    QuarantineFile('C:\Windows\system32\vkzpiancxipszjqv.exe', '');
    QuarantineFile('C:\Windows\system32\wogzvqgywkuakxhpkoa.exe', '');
    QuarantineFile('C:\Windows\system32\ysmhfcuooeqykzlvsymga.exe', '');
    QuarantineFile('C:\autorun.inf', '');
    QuarantineFile('C:\cksbnyema.bat', '');
    QuarantineFile('D:\autorun.inf', '');
    QuarantineFile('D:\cksbnyema.bat', '');
    QuarantineFile('E:\autorun.inf', '');
    QuarantineFile('E:\cksbnyema.bat', '');
    QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\csiztmaqmygksdlrk.exe', '');
    QuarantineFile('C:\sitenav\newpl.exe', '');
    QuarantineFile('c:\windows\csiztmaqmygksdlrk.exe', '');
    DeleteFile('c:\users\tigra\appdata\local\temp\wcipzim.exe', '32');
    DeleteFile('C:\Users\Tigra\AppData\Local\Temp\jcvpmizsrgryjxirnsfy.exe .', '32');
    DeleteFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe', '32');
    DeleteFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe .', '32');
    DeleteFile('C:\Users\Tigra\AppData\Local\Temp\ysmhfcuooeqykzlvsymga.exe', '32');
    DeleteFile('C:\Windows\system32\jcvpmizsrgryjxirnsfy.exe', '32');
    DeleteFile('C:\Windows\system32\vkzpiancxipszjqv.exe', '32');
    DeleteFile('C:\Windows\system32\wogzvqgywkuakxhpkoa.exe', '32');
    DeleteFile('C:\Windows\system32\ysmhfcuooeqykzlvsymga.exe', '32');
    DeleteFile('c:\windows\csiztmaqmygksdlrk.exe', '32');
    DeleteFile('C:\sitenav\newpl.exe', '32');
    DeleteFile('C:\Users\Tigra\AppData\Local\Temp\csiztmaqmygksdlrk.exe', '32');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nyjvkyhsjqts');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'csiztmaqmygksdlrk');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qakvjweoekm');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'vkzpiancxipszjqv');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'venxkwdmbg');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qakvjweoekm');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nyjvkyhsjqts');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'nanbsitgzinotb');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'qeshzqcqkuacirx');
    RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'mykxncmyqyccg');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteRepair(8);
    ExecuteRepair(10);
    ExecuteRepair(17);
    ExecuteWizard('SCU', 2, 3, true);
    ExecuteWizard('TSW',2,2,true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Kиpилл нравится это.
  4. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    выполнил второй скрипт - файл quarantine не появился.
    --- Объединённое сообщение, 19 май 2015, Дата первоначального сообщения: 19 май 2015 ---
    Отчет о работе
    --- Объединённое сообщение, 19 май 2015 ---
    Вот
    --- Объединённое сообщение, 19 май 2015 ---
    Вауля)
    все заработало.
    пока больше проблем не вижу.
    спасибо!
    я как совершенно не соображающий человек очень благодарен вам, помогающим профессионалам!
    спасибо!
     

    Вложения:

  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    вот это сделайте, чтобы проверить не осталось ли чего.

    И карантин должен был появиться. Посмотрите, а в папке avz4\Quarantine есть файлы?

    + файлы
    Код (Text):
    C:\autorun.inf
    C:\cksbnyema.bat
    D:\autorun.inf
    D:\cksbnyema.bat
    E:\autorun.inf
    E:\cksbnyema.bat
    предполагаю вам не знакомы?
    Пришлите их в карантин по этой инструкции.

    А также папка C:\sitenav\ вам знакома?
     
    Babai нравится это.
  6. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    файлы и папка не знакомы
    --- Объединённое сообщение, 19 май 2015 ---
    в папке avz/quarantine ничего нет
    --- Объединённое сообщение, 19 май 2015, Дата первоначального сообщения: 19 май 2015 ---
    Нашел архив карантин в корне AVZ
    отослал по форме/
    в карантин предложенные файлы отослал, и сохранились они вроде как в приложенный сюда файл. по форме отослать не смог - не совпадает имя
     
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Babai, повторюсь, жду от вас повторные логи
    +
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    затем
    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
  8. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    а
    --- Объединённое сообщение, 20 май 2015, Дата первоначального сообщения: 19 май 2015 ---
    логи.
    программой сканируется.. до утра походу..
    завтра скину лог сканирования
    --- Объединённое сообщение, 20 май 2015 ---
    Результаты сканирования,
    МБАМ предлагает удалить.
    что делать?
     

    Вложения:

  9. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Папку
    Код (Text):
    C:\Users\Tigra\Documents\avz4[1]\avz4\Quarantine\
    удалите вручную и из корзины её также удалите.

    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве.

    Код (Text):

    C:\mykxncmyqyccg.bat (Trojan.Chydo) -> Действие не было предпринято.
    C:\qakvjweoekm.bat (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\jcvpmizsrgryjxirnsfy.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\lctlgapgdqzenzipjm.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\pkfbayrmnerandqbzgvqlh.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\vkzpiancxipszjqv.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\wogzvqgywkuakxhpkoa.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\ysmhfcuooeqykzlvsymga.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\System32\csiztmaqmygksdlrk.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\System32\lctlgapgdqzenzipjm.exe (Trojan.Chydo) -> Действие не было предпринято.
    C:\Windows\System32\pkfbayrmnerandqbzgvqlh.exe (Trojan.Chydo) -> Действие не было предпринято.
    D:\mykxncmyqyccg.bat (Trojan.Chydo) -> Действие не было предпринято.
    D:\qakvjweoekm.bat (Trojan.Chydo) -> Действие не было предпринято.
    E:\mykxncmyqyccg.bat (Trojan.Chydo) -> Действие не было предпринято.
    E:\qakvjweoekm.bat (Trojan.Chydo) -> Действие не было предпринято.

     
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
     
    Kиpилл и akok нравится это.
  10. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    просканировал
     

    Вложения:

  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    а лог старый прикрепили ;).

    + папку
    Код (Text):
    C:\sitenav\
    удалите если ещё не удалили.
     
  12. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    вот лог
    папку удалил
     

    Вложения:

  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    лог MBAM свежий нужен.
     
  14. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    только перед отправкой сделал
     
  15. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    может вы его и сделали, но прикрепили старый.
     
  16. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    вот опять.. новый, только что сделанный.
     

    Вложения:

  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
     
  18. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    затупил... сейчас просканирует и сделаю лог.
    --- Объединённое сообщение, 20 май 2015, Дата первоначального сообщения: 20 май 2015 ---
    вот
     

    Вложения:

  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.452
    Симпатии:
    13.952
    Какие проблемы еще остались?
     
  20. Babai
    Оффлайн

    Babai Новый пользователь

    Сообщения:
    11
    Симпатии:
    0
    вроде никакик. спасибо.
    еще раз спасибо!
    ps а МВАМ можно использовать как антивирус, или все же установить чего?
     
Статус темы:
Закрыта.

Поделиться этой страницей