Решена win32:malware-gen и .tmp файлы лезут черех Хром

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Rufusld, 26 янв 2016.

Метки:
Статус темы:
Закрыта.
  1. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Добрый вечер.

    Аваст жалуется на win32:malware-gen и .тмп файлы с рандомными названиями лезут через гугл хром в папку C:\Users\Ruf\AppData\Local\Temp

    также в C:\ProgramData появилась папка TuqrOnya. в ней одна .длл и несколько файлов без расширений. если её удалить через секунду опять появится и при включённом Хроме её удалить нельзя так как Хром её использует.

    также у меня проблема с логами. Autologger.exe is not responding. а АВЗ при третьем скрипте крашится на скане папки C:\Users\Ruf\AppData\Roaming\AVAST Software\Avast\Cache\Local Storage (кстати папка пустая)
    Пожалуйста подскажите как мне логи предоставить. Заранее спасибо.
     
  2. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    забыл сказать, что аваст был выгружен а броусеры открыты
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.839
    Симпатии:
    8.593
  4. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    получилось сделать лог. прикладываю.
     

    Вложения:

  5. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\ProgramData\TuqrOnya\JiypUtsuy.dll', '');
     QuarantineFileF('C:\ProgramData\TuqrOnya', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     DeleteFile('C:\ProgramData\TuqrOnya\JiypUtsuy.dll', '32');
     DeleteFileMask('C:\ProgramData\TuqrOnya', '*', true);
     DeleteDirectory('C:\ProgramData\TuqrOnya');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2065122356');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2065122356', 'command');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  6. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    дело в том что за день до вашего поста я просканировал Мбам и он нашел и удалил вирус но возможно остались хвосты. папки в програм дата больше нет. мне все равно выполнить инструкции, что вы написали или предоставить новый collection log?
     
  7. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    да.
     
  8. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    сделал
     

    Вложения:

  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    - Удалите в AdwCleaner всё кроме yahoo - если yahoo не пользуетесь, то тоже удалите. Отчет после удаления прикрепите.


    Сообщите как проблемы.
     
  10. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    прикрепляю. всё удалил. в логе что-то новое появилось.
     

    Вложения:

  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Поисковая система ваша?


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  12. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    uk.ask.com это не моё
     

    Вложения:

    • Shortcut.txt
      Размер файла:
      142 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      62,6 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      57 КБ
      Просмотров:
      2
  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Norton Online Backup решили оставить?
    Если нет - то удалите через установку и удаление программ.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    AlternateDataStreams: C:\ProgramData:DD706439788D7E26
    AlternateDataStreams: C:\Users\All Users:DD706439788D7E26
    AlternateDataStreams: C:\ProgramData\Application Data:DD706439788D7E26
    AlternateDataStreams: C:\ProgramData\PACE:C9224DD313938EC5
    AlternateDataStreams: C:\ProgramData\Temp:CB0AACC9
    AlternateDataStreams: C:\Users\Ruf\AppData\Local\Temporary Internet Files:MBY0t2IaYmJRDYCFCbfHMI26
    AlternateDataStreams: C:\Users\Ruf\AppData\Local\Temporary Internet Files:S8zB8C8lI1WBMtNjubfYsgihi0jFxV
    File: C:\Windows\SysWOW64\muzapp.exe
    File: C:\ProgramData\{F59F27AC-CAA9-4410-BC3E-337735C03532}
    File: C:\Windows\SysWOW64\ws
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
    cmd: copy /y C:\Windows\SysWOW64\Drivers\utewmjiw.sys.vir C:\FRST\Quarantine
    cmd: copy /y C:\spyhunter.fix C:\FRST\Quarantine
    cmd: copy /y "E:\games\Road Rash\ROADRASH.BAT" C:\FRST\Quarantine
    cmd: copy /y "E:\games\Half-Life\Half-Life Engine\Launcher_HLOF.bat" C:\FRST\Quarantine
    cmd: copy /y "E:\games\Half-Life\Half-Life Engine\Launcher_HL.bat" C:\FRST\Quarantine
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Упакуйте в архив папку C:\FRSTQuarantine\ с паролем virus и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    Сообщите остаются ли проблемы.


    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  14. Rufusld
    Оффлайн

    Rufusld Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Norton online backup удалил.

    Файлы прилагаю.
    проблем вроде нету
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      4,4 КБ
      Просмотров:
      1
    • SecurityCheck.txt
      Размер файла:
      11,8 КБ
      Просмотров:
      2
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Исправьте:

    Internet Explorer 11.0.9600.17843 Warning! Download Update
    Online installation. Last version available when Windows update is enabled throught the Internet.
    User Account Control disabled
    The elevation prompt for administrators disabled
    ^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^

    PC Tools Performance Toolkit 2.0 v.2.0 Warning! This software is no longer supported. Please use another antimalware tool.

    WinRAR 5.21 v.5.21 Warning! Download Update
    Microsoft Silverlight v.5.1.30514.0 Warning! Download Update

    VLC media player v.2.2.1 Warning! Download Update

    Skype™ 7.18 v.7.18.109 Warning! Download Update
    ^Optional update.^
    -----------
    JavaFX 2.1.1 v.2.1.1 Warning! Download Update
    Java 7 Update 65 v.7.0.650 Warning! Download Update
    Uninstall old version and install new one. Should install Java 8.

    Bonjour v.3.0.0.10 Warning! Download Update
    ^Please use Apple Software Update tool.^

    Adobe AIR v.14.0.0.110 Warning! Download Update
    Adobe Flash Player 14 ActiveX v.14.0.0.145 Warning! Download Update
    Adobe Flash Player 15 Plugin v.15.0.0.152 Warning! Download Update
    Adobe Reader 9.5.5 MUI v.9.5.5 Warning! Download Update
    Uninstall old version and install new one.

    Mozilla Firefox 43.0.4 (x86 en-US) v.43.0.4 Warning! Download Update


    Папку C:\FRST можно удалять.

    Выполните рекомендации после лечения.
     
Статус темы:
Закрыта.

Поделиться этой страницей