• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Браузеры открываются и сразу отключаются

Статус
В этой теме нельзя размещать новые ответы.

Babai

Активный пользователь
Сообщения
11
Реакции
0
Баллы
81
В браузере Мозила попытался зайти на сайт аваста. Браузер выключился. При попытках его включить, он сразу отключается. Хром работал нормально. Я стал искать решение проблемы через хром. Одна из ссылок по поиску вела на сайт касперского - браузер стал так же поступать как и мозила.
Продолжил поиск через интернет експлоер. Нашел информацию пр AVZ. начал качать, потом, что-то нажал и открылась инфа об Avz в хроме. я закрыл вкладку с касперским и хром продолжил работу.
Выполнил скрипты для AVZ. Теперь отсылаю архив.
 

Babai

Активный пользователь
Сообщения
11
Реакции
0
Баллы
81
вот логи собранные
Что самое интересное, даже с торрентов не могу зайти на любую страницу с названиями разных антивирусов.
в процессах так же замечено большое количество файлов с расширением exe*32, в том числе копии обычных программ и с абракадаброй в названии..
попытки завершить процесс ни к чему не привели, т.к. сразу запускаются снова.
удаление найденых на компе файлов с абракадаброй - также ни к чему не приводит - появляются снова.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,398
Реакции
5,988
Баллы
998
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\tigra\appdata\local\temp\wcipzim.exe');
TerminateProcessByName('c:\windows\csiztmaqmygksdlrk.exe');
QuarantineFile('c:\users\tigra\appdata\local\temp\wcipzim.exe', '');
QuarantineFileF('C:\sitenav\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\jcvpmizsrgryjxirnsfy.exe .', '');
QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe', '');
QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe .', '');
QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\ysmhfcuooeqykzlvsymga.exe', '');
QuarantineFile('C:\Windows\system32\jcvpmizsrgryjxirnsfy.exe', '');
QuarantineFile('C:\Windows\system32\vkzpiancxipszjqv.exe', '');
QuarantineFile('C:\Windows\system32\wogzvqgywkuakxhpkoa.exe', '');
QuarantineFile('C:\Windows\system32\ysmhfcuooeqykzlvsymga.exe', '');
QuarantineFile('C:\autorun.inf', '');
QuarantineFile('C:\cksbnyema.bat', '');
QuarantineFile('D:\autorun.inf', '');
QuarantineFile('D:\cksbnyema.bat', '');
QuarantineFile('E:\autorun.inf', '');
QuarantineFile('E:\cksbnyema.bat', '');
QuarantineFile('C:\Users\Tigra\AppData\Local\Temp\csiztmaqmygksdlrk.exe', '');
QuarantineFile('C:\sitenav\newpl.exe', '');
QuarantineFile('c:\windows\csiztmaqmygksdlrk.exe', '');
DeleteFile('c:\users\tigra\appdata\local\temp\wcipzim.exe', '32');
DeleteFile('C:\Users\Tigra\AppData\Local\Temp\jcvpmizsrgryjxirnsfy.exe .', '32');
DeleteFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe', '32');
DeleteFile('C:\Users\Tigra\AppData\Local\Temp\lctlgapgdqzenzipjm.exe .', '32');
DeleteFile('C:\Users\Tigra\AppData\Local\Temp\ysmhfcuooeqykzlvsymga.exe', '32');
DeleteFile('C:\Windows\system32\jcvpmizsrgryjxirnsfy.exe', '32');
DeleteFile('C:\Windows\system32\vkzpiancxipszjqv.exe', '32');
DeleteFile('C:\Windows\system32\wogzvqgywkuakxhpkoa.exe', '32');
DeleteFile('C:\Windows\system32\ysmhfcuooeqykzlvsymga.exe', '32');
DeleteFile('c:\windows\csiztmaqmygksdlrk.exe', '32');
DeleteFile('C:\sitenav\newpl.exe', '32');
DeleteFile('C:\Users\Tigra\AppData\Local\Temp\csiztmaqmygksdlrk.exe', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nyjvkyhsjqts');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'csiztmaqmygksdlrk');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qakvjweoekm');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'vkzpiancxipszjqv');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'venxkwdmbg');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'qakvjweoekm');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nyjvkyhsjqts');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'nanbsitgzinotb');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'qeshzqcqkuacirx');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'mykxncmyqyccg');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(8);
ExecuteRepair(10);
ExecuteRepair(17);
ExecuteWizard('SCU', 2, 3, true);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Babai

Активный пользователь
Сообщения
11
Реакции
0
Баллы
81
выполнил второй скрипт - файл quarantine не появился.
Отчет о работе
Вот
Вауля)
все заработало.
пока больше проблем не вижу.
спасибо!
я как совершенно не соображающий человек очень благодарен вам, помогающим профессионалам!
спасибо!
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,398
Реакции
5,988
Баллы
998
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
вот это сделайте, чтобы проверить не осталось ли чего.

И карантин должен был появиться. Посмотрите, а в папке avz4\Quarantine есть файлы?

+ файлы
Код:
C:\autorun.inf
C:\cksbnyema.bat
D:\autorun.inf
D:\cksbnyema.bat
E:\autorun.inf
E:\cksbnyema.bat
предполагаю вам не знакомы?
Пришлите их в карантин по этой инструкции.

А также папка C:\sitenav\ вам знакома?
 

Babai

Активный пользователь
Сообщения
11
Реакции
0
Баллы
81
файлы и папка не знакомы
в папке avz/quarantine ничего нет
Нашел архив карантин в корне AVZ
отослал по форме/
в карантин предложенные файлы отослал, и сохранились они вроде как в приложенный сюда файл. по форме отослать не смог - не совпадает имя
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,398
Реакции
5,988
Баллы
998
Babai, повторюсь, жду от вас повторные логи
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
+
  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

затем
Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 

Babai

Активный пользователь
Сообщения
11
Реакции
0
Баллы
81
а
логи.
программой сканируется.. до утра походу..
завтра скину лог сканирования
Результаты сканирования,
МБАМ предлагает удалить.
что делать?
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,398
Реакции
5,988
Баллы
998
Папку
Код:
C:\Users\Tigra\Documents\avz4[1]\avz4\Quarantine\
удалите вручную и из корзины её также удалите.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
C:\mykxncmyqyccg.bat (Trojan.Chydo) -> Действие не было предпринято.
C:\qakvjweoekm.bat (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\jcvpmizsrgryjxirnsfy.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\lctlgapgdqzenzipjm.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\pkfbayrmnerandqbzgvqlh.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\vkzpiancxipszjqv.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\wogzvqgywkuakxhpkoa.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\ysmhfcuooeqykzlvsymga.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\System32\csiztmaqmygksdlrk.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\System32\lctlgapgdqzenzipjm.exe (Trojan.Chydo) -> Действие не было предпринято.
C:\Windows\System32\pkfbayrmnerandqbzgvqlh.exe (Trojan.Chydo) -> Действие не было предпринято.
D:\mykxncmyqyccg.bat (Trojan.Chydo) -> Действие не было предпринято.
D:\qakvjweoekm.bat (Trojan.Chydo) -> Действие не было предпринято.
E:\mykxncmyqyccg.bat (Trojan.Chydo) -> Действие не было предпринято.
E:\qakvjweoekm.bat (Trojan.Chydo) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,398
Реакции
5,988
Баллы
998
лог MBAM свежий нужен.
 

Babai

Активный пользователь
Сообщения
11
Реакции
0
Баллы
81
только перед отправкой сделал
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,398
Реакции
5,988
Баллы
998
может вы его и сделали, но прикрепили старый.
 

akok

Команда форума
Администратор
Сообщения
17,972
Реакции
13,569
Баллы
2,203
Какие проблемы еще остались?
 

Babai

Активный пользователь
Сообщения
11
Реакции
0
Баллы
81
вроде никакик. спасибо.
еще раз спасибо!
ps а МВАМ можно использовать как антивирус, или все же установить чего?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу