После захода на сайт через хром попросил обновится ява или флеш точно не помню - после этого комп перегрузился. После этого хром ничего кроме пустых окон не открывает. Работает только с ключем --no-sandbox.
Касперским поискал он ничего не нашел. CureItом и dr.web нашелся сабж. После каждой перезагрузке рапортует о том что он его удалил с корня диска с. Как его удалить и заставить работать хром в штатном режиме а не через ключ - я так понимаю что это следствие этого трояна. Подскажите плиз.

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

Сорри, вот логи.

Обновление произошло после попытки просмотра видео ?

Попытайтесь удалить Флэш-плеер.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Neff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yYRw3mP2DZ8.exe','');
QuarantineFile('C:\plg.txt','');
DeleteFile('C:\plg.txt');
DeleteFile('C:\Users\Neff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\yYRw3mP2DZ8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/)


1. Обновите базы АВЗ и переделайте логи.

2.Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/files/uvs_v374.zip)

Как подготовить лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


3.
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

Обновление произошло после попытки просмотра видео ? »

Нет не после просмотра видео а скорее после запуска флеш-игрульки

Попытайтесь удалить Флэш-плеер. »

Удалил.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму »

Отправил.1. Обновите базы АВЗ и переделайте логи. »

Логи переделал.

2.Сделайте еще лог Universal Virus Sniffer (UVS) »

Сделал.Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »

Malwarebytes Anti-Malware (Пробная версия) 1.61.0.1400
www.malwarebytes.org

Версия базы данных: v2012.04.18.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 9.0.8112.16421
Neff :: PROBOOK [администратор]

Защитный модуль : Включен

18.04.2012 21:10:52
mbam-log-2012-04-18 (21-40-38).txt

Тип сканирования: Полное сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 343138
Времени прошло: 28 минут , 17 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 8
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{141863CF-0462-4087-93FE-3A7D8EDF4795}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3F22F183-A2AE-42D5-A2AB-942D0E95748A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{61061F30-C7E9-4C9A-A46B-2AF95577B004}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{72611217-BDE7-4416-87CA-DBAAF2A18F09}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{74ACA593-BFD9-4C9A-A7EB-D4F32B670B69}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B00F4CB8-218F-4A13-A9C4-2C512314514A}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B5C51716-2E41-4E1E-913C-D6E1E5EF2A86}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{e29ac6c2-7037-11de-816d-806e6f6e6963}|NameServer (Trojan.DNSChanger) -> Плохо: (134.255.241.122,8.8.8.8) Хорошо: () -> Действие не было предпринято.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 2
C:\Users\Neff\AppData\Local\Temp\msuu0.exe (Trojan.Agent.PCLGen) -> Действие не было предпринято.
C:\Windows\System32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

(конец)

Удалите всё что нашел МБАМ.

я удалил - лог видимо не тот прислал - этот долг до удаления он выдал.

Что с проблемой ?

Лог RSIT тоже повторите.

И вам нужно будет поменять все ваши пароли.

Пойманный вами зловред ворует пароли.

Dr.web перестал после перезагрузки находить троянца. Хром не работает по прежнему. Лог RSIT прилагаю.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\TEMP\w4oumK97.sys','');
DeleteFile('C:\Windows\TEMP\w4oumK97.sys');
DeleteFileMask('C:\Users\Neff\AppData\Roaming\kdVabhN80voa2t6', '*.*', true);
DeleteDirectory('C:\Users\Neff\AppData\Roaming\kdVabhN80voa2t6');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQ uarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.





Повторить логи АВЗ и РСИТ.

Если хром не заработает - удалите его - через панель -скачайте заново и снова установите.

Радмин вы устанавливали ?

Авз сканирует еще. Рсит засылаю.
Хром не работает по прежнему - переставлял практически после каждого рекомендованного действия. Радмин ставил я.

Другие браузеры как работают ? Если установлены

Защитное ПО случаем не блокирует хром ? - пробовали открыть хромом сайт с отключенным защитным ПО ?
Windows Defender включен ?


По логам вижу что вы вроде установили пробную версию МБАМ -удалите ,
активный монитор МБАМ может тоже блокировать.


Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Мбам поставил только сегодня а проблема началась до этого дня за 3. Остальные браузеры работают в штатном режиме (IE Ffox ). Хром с ключем --no-sandbox тоже работает - наверное дело не в фаирволах.

прилепил лог гмера в архиве как остальные логи

Лог гмер присоедините как файл , как другие логи - без копирования и редактирования. Если нет мета залейте на файлообменник.

Если нет мета »

Не понял фразу. Перезалил в архиве в пред. посте

АВЗ находит Trojan.BAT.DelSys.ak

АВЗ находит Trojan.BAT.DelSys.ak »
Ложное срабатывание.
Можете проверить C:\Windows\Installer\4f1d5.msi на https://www.virustotal.com/ru/ если будет предложен выбор - выберите проверить снова - ссылку на проверку сюда .

Я его удалил от греха подалльше :)

Спасибо огромное за потраченное время и оказанную помощь. Почему не хочет работать хром - я не понимаю.

по имеющейся инфо это какая-то проблема несовместимости хрома и встроенной защиты windows .
временное решение
нашлось в службе поддержки Google. Необходимо в свойствах ярлыка дописать параметр –no-sandbox, .
Щелкаем правой кнопкой мыши на ярлыке Google Chrome, выбираем «Свойства», в появившемся окошке переходим на вкладку «Ярлык» и в строке «Объект» после кавычки дописываем параметр "–no-sandbox" (перед — ставим пробел). пишем без кавычек. жмем применить и ОК.

Спасибо, это первое что я сделал. Странно, что ни гугл ни винда не выпускает обновление для решения этой проблем.