• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена win32:malware-gen и .tmp файлы лезут черех Хром

Статус
В этой теме нельзя размещать новые ответы.

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
Добрый вечер.

Аваст жалуется на win32:malware-gen и .тмп файлы с рандомными названиями лезут через гугл хром в папку C:\Users\Ruf\AppData\Local\Temp

также в C:\ProgramData появилась папка TuqrOnya. в ней одна .длл и несколько файлов без расширений. если её удалить через секунду опять появится и при включённом Хроме её удалить нельзя так как Хром её использует.

также у меня проблема с логами. Autologger.exe is not responding. а АВЗ при третьем скрипте крашится на скане папки C:\Users\Ruf\AppData\Roaming\AVAST Software\Avast\Cache\Local Storage (кстати папка пустая)
Пожалуйста подскажите как мне логи предоставить. Заранее спасибо.
 

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
забыл сказать, что аваст был выгружен а броусеры открыты
 

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
получилось сделать лог. прикладываю.
 

Вложения

  • CollectionLog-2016.01.27-19.12.zip
    90.2 KB · Просмотры: 5

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\TuqrOnya\JiypUtsuy.dll', '');
 QuarantineFileF('C:\ProgramData\TuqrOnya', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
 DeleteFile('C:\ProgramData\TuqrOnya\JiypUtsuy.dll', '32');
 DeleteFileMask('C:\ProgramData\TuqrOnya', '*', true);
 DeleteDirectory('C:\ProgramData\TuqrOnya');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '2065122356');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2065122356', 'command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
дело в том что за день до вашего поста я просканировал Мбам и он нашел и удалил вирус но возможно остались хвосты. папки в програм дата больше нет. мне все равно выполнить инструкции, что вы написали или предоставить новый collection log?
 

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
сделал
 

Вложения

  • AdwCleaner[S1].txt
    906 байт · Просмотры: 1

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
- Удалите в AdwCleaner всё кроме yahoo - если yahoo не пользуетесь, то тоже удалите. Отчет после удаления прикрепите.


Сообщите как проблемы.
 

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
прикрепляю. всё удалил. в логе что-то новое появилось.
 

Вложения

  • AdwCleaner[S3].txt
    764 байт · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Поисковая система ваша?



Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
uk.ask.com это не моё
 

Вложения

  • Shortcut.txt
    142 KB · Просмотры: 1
  • Addition.txt
    62.6 KB · Просмотры: 1
  • FRST.txt
    57 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Norton Online Backup решили оставить?
Если нет - то удалите через установку и удаление программ.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData:DD706439788D7E26
AlternateDataStreams: C:\Users\All Users:DD706439788D7E26
AlternateDataStreams: C:\ProgramData\Application Data:DD706439788D7E26
AlternateDataStreams: C:\ProgramData\PACE:C9224DD313938EC5
AlternateDataStreams: C:\ProgramData\Temp:CB0AACC9
AlternateDataStreams: C:\Users\Ruf\AppData\Local\Temporary Internet Files:MBY0t2IaYmJRDYCFCbfHMI26
AlternateDataStreams: C:\Users\Ruf\AppData\Local\Temporary Internet Files:S8zB8C8lI1WBMtNjubfYsgihi0jFxV
File: C:\Windows\SysWOW64\muzapp.exe
File: C:\ProgramData\{F59F27AC-CAA9-4410-BC3E-337735C03532}
File: C:\Windows\SysWOW64\ws
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
cmd: copy /y C:\Windows\SysWOW64\Drivers\utewmjiw.sys.vir C:\FRST\Quarantine
cmd: copy /y C:\spyhunter.fix C:\FRST\Quarantine
cmd: copy /y "E:\games\Road Rash\ROADRASH.BAT" C:\FRST\Quarantine
cmd: copy /y "E:\games\Half-Life\Half-Life Engine\Launcher_HLOF.bat" C:\FRST\Quarantine
cmd: copy /y "E:\games\Half-Life\Half-Life Engine\Launcher_HL.bat" C:\FRST\Quarantine
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Упакуйте в архив папку C:\FRSTQuarantine\ с паролем virus и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Сообщите остаются ли проблемы.


  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Rufusld

Активный пользователь
Сообщения
17
Реакции
0
Баллы
81
Norton online backup удалил.

Файлы прилагаю.
проблем вроде нету
 

Вложения

  • Fixlog.txt
    4.4 KB · Просмотры: 1
  • SecurityCheck.txt
    11.8 KB · Просмотры: 2

Кирилл

Команда форума
Администратор
Сообщения
14,179
Реакции
6,208
Баллы
1,003
Исправьте:

Internet Explorer 11.0.9600.17843 Warning! Download Update
Online installation. Last version available when Windows update is enabled throught the Internet.
User Account Control disabled
The elevation prompt for administrators disabled
^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^

PC Tools Performance Toolkit 2.0 v.2.0 Warning! This software is no longer supported. Please use another antimalware tool.

WinRAR 5.21 v.5.21 Warning! Download Update
Microsoft Silverlight v.5.1.30514.0 Warning! Download Update

VLC media player v.2.2.1 Warning! Download Update

Skype™ 7.18 v.7.18.109 Warning! Download Update
^Optional update.^
-----------
JavaFX 2.1.1 v.2.1.1 Warning! Download Update
Java 7 Update 65 v.7.0.650 Warning! Download Update
Uninstall old version and install new one. Should install Java 8.

Bonjour v.3.0.0.10 Warning! Download Update
^Please use Apple Software Update tool.^

Adobe AIR v.14.0.0.110 Warning! Download Update
Adobe Flash Player 14 ActiveX v.14.0.0.145 Warning! Download Update
Adobe Flash Player 15 Plugin v.15.0.0.152 Warning! Download Update
Adobe Reader 9.5.5 MUI v.9.5.5 Warning! Download Update
Uninstall old version and install new one.

Mozilla Firefox 43.0.4 (x86 en-US) v.43.0.4 Warning! Download Update


Папку C:\FRST можно удалять.

Выполните рекомендации после лечения.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу