Решена Файл greiam.exe в автозапуске

Тема в разделе "Лечение компьютерных вирусов", создана пользователем mikele65, 18 янв 2014.

Статус темы:
Закрыта.
  1. mikele65
    Оффлайн

    mikele65 Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Доброго времени суток.
    В автозапуске появился неизвестный мне файл greiam.exe, при загрузке система спрашивает запустить или отменить этот файл. Если запустить, то через некоторое время выходит сообщение, что прекращена работа этой программы. По субъективным ощущениям система начала откровенно "тупить" именно после появления этого файла, причем не важно - запустил я файл или отменил. Что за зверь, с чем его едят и как с ним бороться? Сканирование и лечение различными оптимизаторами, в том числе и AVZ, не привело к положительному результату. Здесь, на форуме, нашел подобную тему с таким файлом, но ничего не понял. Собрал архив логов по рекомендациям форума, прикрепил к теме.
     

    Вложения:

  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
      SearchRootkit(true, true);
      SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\greiam.exe','');
     DeleteFile('C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\greiam.exe','32');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте при помощи этой формы

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
     
  3. mikele65
    Оффлайн

    mikele65 Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Просканировал диск C или надо было весь комп отсканировать?
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    там даже жирным выделено ;).
     
  5. mikele65
    Оффлайн

    mikele65 Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Да я поставил "Полное сканирование", просто он предоставил выбор дисков, а у меня их пять штук. Я отсканировал только системный:(, уж больно большой объем. Всю ночь сканировать будет. Тогда завтра скину остатки, пусть бормочет до утра.
     
  6. mikele65
    Оффлайн

    mikele65 Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Отсканировал все диски.
     

    Вложения:

  7. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
    В MBAM удалите только:
    Код (Text):
    Обнаруженные папки:  11

    C:\Program Files\Compana\OldProa (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Users\Михаил\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
    C:\Users\Михаил\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.

    Обнаруженные файлы:  162
    C:\Users\Михаил\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8WCN08XS\part-FTC-cpu-coinotron[1].exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\Михаил\AppData\Local\Temp\C468.tmp (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\Михаил\Downloads\SevenZip-setup-on.exe (PUP.Optional.Lollipop) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-3700190446-1691568201-4268673789-1000\$RE5HNZJ.2506\sysrc_trial.exe (PUP.Optional.RegCleanerPro) -> Действие не было предпринято.

    C:\Program Files\Compana\OldProa\egonestaneth.txt (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Compana\OldProa\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Compana\OldProa\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Program Files\Compana\OldProa\usadittsvetami.txt (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Users\Михаил\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
    C:\Users\Михаил\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
    Подготовьте лог лог SecurityCheck by glax24

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    --- Объединённое сообщение, 20 янв 2014 ---
    Что с проблемами?
     
    mikele65 нравится это.
  8. mikele65
    Оффлайн

    mikele65 Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    akok нравится это.
  9. mikele65
    Оффлайн

    mikele65 Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Машина "задышала", greiam куда-то свалил, даже память разгрузилась процентов на 20. Карантин AVZ загрузил на файлообменник, 101MB получился. Ссылку выложил согласно инструкции в теме
    "Сотрудничество SafeZone и разработчика AVZ", рекомендации SecurityCheck выполнил не все. "Ишаком" я не пользуюсь, Оперу тоже удалил, а то все руки не доходили. "Мышка" и ридер у меня русифицированы, если обновляешься русификация слетает, меня и эти версии устраивают. А флэшплеер обновил. Огромное спасибо за помощь!
     

    Вложения:

  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.448
    Симпатии:
    13.950
Статус темы:
Закрыта.

Поделиться этой страницей