Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Вирус из-за нагруженности или сбоя беспроводной сети

Ответить
Настройки темы
Вирус из-за нагруженности или сбоя беспроводной сети

Аватара для alert30

Ветеран


Сообщения: 1096
Благодарности: 162


Конфигурация

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: zip CollectionLog-2019.05.04-17.40.zip
(118.9 Kb, 2 просмотров)
Здравствуйте.
После запуска компьютера появляется проблема с доступом к Интернету или сайту. Зайдя в диспетчер задач, я обнаружил на подозрительные файлы всякие winabcfd.exe, которые я в n-ый раз удаляю и в процессе и в реестре автозапуска, но не помогает.

Отправлено: 14:45, 04-05-2019

 

Аватара для akok

Ветеран


Консультант


Сообщения: 686
Благодарности: 169

Профиль | Сайт | Отправить PM | Цитировать


- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код: Выделить весь код
>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"   -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> "hxxp://rugooglee.ru"]
>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera Unofficial.lnk"         -> ["C:\Program Files\Opera Unofficial\OperaLauncher.exe"  =>> "hxxp://rugooglee.ru"]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
 begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('BrsHelper', 4);
 SetServiceStart('sbmntr', 4);
 StopService('sbmntr');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '');
 QuarantineFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '');
 QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '');
 QuarantineFile('C:\Program Files\Common Files\lsass.exe', '');
 QuarantineFile('C:\ProgramData\csrss.exe', '');
 QuarantineFile('C:\Users\Denis\AppData\Local\GoToMeeting\12933\g2mupdate.exe', '');
 QuarantineFile('C:\windows\3622157919425178\winlpwq.exe', '');
 QuarantineFile('C:\windows\4898364518958176\winutmx.exe', '');
 QuarantineFile('C:\windows\7485253215635974\winbjyv.exe', '');
 QuarantineFile('c:\windows\8677886615281465\winxbbk.exe', '');
 QuarantineFile('C:\windows\TEMP\13784225D.sys', '');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '64');
 DeleteFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '64');
 DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '64');
 DeleteFile('C:\Program Files\Common Files\lsass.exe', '64');
 DeleteFile('C:\ProgramData\csrss.exe', '64');
 DeleteFile('C:\windows\3622157919425178\winlpwq.exe', '32');
 DeleteFile('C:\windows\4898364518958176\winutmx.exe', '32');
 DeleteFile('C:\windows\7485253215635974\winbjyv.exe', '32');
 DeleteFile('C:\windows\8677886615281465\winxbbk.exe', '32');
 DeleteFile('C:\windows\TEMP\13784225D.sys', '64');
 DeleteService('BrsHelper');
 DeleteService('sbmntr');
 DeleteSchedulerTask('{09399987-F793-40B0-B656-CC867CFA2123}');
 DeleteSchedulerTask('{12604B4A-F4E6-4B87-B33E-44B53D190937}');
 DeleteSchedulerTask('{178360DF-B20C-4A83-ACD3-705BB4602DB4}');
 DeleteSchedulerTask('{308572E5-0208-4AF5-A4DB-2985F5656709}');
 DeleteSchedulerTask('{37723531-5D36-48C3-BB27-8729662544D4}');
 DeleteSchedulerTask('{436A0DC9-D57F-4F47-9D3C-37B7CE4C7A51}');
 DeleteSchedulerTask('{4ED37E70-E849-4099-BBA6-BB644C7A95F3}');
 DeleteSchedulerTask('{65EDA0D1-369D-4884-A6F4-D77BB423A742}');
 DeleteSchedulerTask('{6AB136DB-E49D-497D-A17C-BC233FDBBF1F}');
 DeleteSchedulerTask('{6B7E0833-E63A-4AA5-A3BF-4CCFAB0C99A8}');
 DeleteSchedulerTask('{A240B0D5-E5E7-4E10-94D1-885B57E771DF}');
 DeleteSchedulerTask('{B8AB0158-C4AB-498A-81B2-1ECA206B52A4}');
 DeleteSchedulerTask('{C45BD810-8B63-4B2F-B539-2B2C88B540B7}');
 DeleteSchedulerTask('{CD0DCB76-2622-4939-9BEF-1AAF6D637FAB}');
 DeleteSchedulerTask('{D4DD82C2-03A7-416C-B9C1-B35B0E6DD8DA}');
 DeleteSchedulerTask('{E0EB5928-6342-4B39-AD5D-CD0B73DF9C73}');
 DeleteSchedulerTask('{E4F926E9-85CC-4620-97DE-5BFBB485ACD3}');
 DeleteSchedulerTask('{EB223C7B-1C75-44DD-AB60-295F36F20620}');
 DeleteSchedulerTask('{EB6F3EDC-3D1C-464B-9D66-3037975573AD}');
 DeleteSchedulerTask('{F46A1C3A-BFB7-4184-B846-A5FD9724F226}');
 DeleteSchedulerTask('{FBD68C56-6230-4623-B52C-6BEE2CC938AD}');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\SMupdate2');
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\SMupdate3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Audio Driver', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsoft Windows Services', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows DDGG', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update 39405', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WindowsServicesUpdates32', 'x32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
 ExecuteRepair(3);
 ExecuteRepair(4);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: Выделить весь код
O4-32 - HKLM\..\Run: [Microsoft Windows Services] = C:\windows\8677886615281465\winxbbk.exe
O4-32 - HKLM\..\Run: [Windows DDGG] = C:\windows\7485253215635974\winbjyv.exe
O4-32 - HKLM\..\Run: [Windows Update 39405] = C:\windows\3622157919425178\winlpwq.exe
O4-32 - HKLM\..\Run: [WindowsServicesUpdates32] = C:\windows\4898364518958176\winutmx.exe
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

-------
https://safezone.cc


Отправлено: 16:42, 04-05-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для akok

Ветеран


Консультант


Сообщения: 686
Благодарности: 169

Профиль | Сайт | Отправить PM | Цитировать


+++ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

-------
https://safezone.cc


Отправлено: 16:58, 04-05-2019 | #3


Аватара для alert30

Ветеран


Сообщения: 1096
Благодарности: 162

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt AdwCleaner[S00].txt
(14.0 Kb, 1 просмотров)

http://rgho.st/8cPm6PGJ8

Отправлено: 19:12, 04-05-2019 | #4


Аватара для akok

Ветеран


Консультант


Сообщения: 686
Благодарности: 169

Профиль | Сайт | Отправить PM | Цитировать


  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

-------
https://safezone.cc


Отправлено: 19:30, 04-05-2019 | #5


Аватара для alert30

Ветеран


Сообщения: 1096
Благодарности: 162

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt AdwCleaner[C01].txt
(12.1 Kb, 1 просмотров)
Тип файла: txt FRST.txt
(53.8 Kb, 1 просмотров)

Готово

Отправлено: 08:37, 05-05-2019 | #6


Аватара для alert30

Ветеран


Сообщения: 1096
Благодарности: 162

Профиль | Отправить PM | Цитировать


Addition.txt: http://rgho.st/8JGQ68TSD

Отправлено: 08:39, 05-05-2019 | #7


Аватара для akok

Ветеран


Консультант


Сообщения: 686
Благодарности: 169

Профиль | Сайт | Отправить PM | Цитировать


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: Выделить весь код
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [] => [X]
    HKLM-x32\...\Run: [] => [X]
    Folder: C:\windows\3622157919425178
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\Policies\Explorer: [] 
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: H - H:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: I - I:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {17d27bdf-768c-11e3-bbd9-047d7b6949df} - H:\LGAutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3ef4-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3f25-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd4488-88cd-11e8-a5e6-005056c00008} - H:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd44a8-88cd-11e8-a5e6-005056c00008} - I:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7ff1f962-6615-11e7-a477-047d7b6949df} - H:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {8827601e-9ef0-11e6-b28c-047d7b6949df} - H:\AutoRun.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059413-ab71-11e5-ba9a-047d7b6949df} - E:\Setup.exe
    HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059419-ab71-11e5-ba9a-047d7b6949df} - F:\Setup.exe
    HKLM\Software\Microsoft\Active Setup\Installed Components: [{26b4dfbc-5f94-11e1-875a-806e6f6e6963}] -> C:\ProgramData\csrss.exe -r
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {45FAE777-2D90-44D9-847C-72DA4EBB32FB} - \rory7ihpig -> No File <==== ATTENTION
    Task: {FB98DB9B-E851-4A46-B09C-64710533F6A9} - \sjrz -> No File <==== ATTENTION
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
    2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\Users\Все пользователи\nEzJvZquBf
    2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\ProgramData\nEzJvZquBf
    2019-05-04 12:43 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\3622157919425178
    2019-05-04 09:57 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\4898364518958176
    2019-05-04 09:50 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\7485253215635974
    2019-05-04 09:46 - 2019-05-04 09:46 - 000000000 _RSHD C:\windows\5270756811253549
    2019-05-04 09:36 - 2019-05-04 20:40 - 000000000 _RSHD C:\windows\8677886615281465
    2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\8101774216216741
    2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\7319727413249434
    2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\75246811161510802
    2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\1752447710921977
    2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\9853673610025696
    2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\5299812016362449
    2019-04-29 13:48 - 2019-04-29 13:48 - 000000000 _RSHD C:\windows\4243399818925060
    2019-04-29 13:40 - 2019-04-29 13:40 - 000000000 _RSHD C:\windows\7894998110239847
    2019-04-29 13:12 - 2019-04-29 13:12 - 000000000 _RSHD C:\windows\6116276619711755
    ContextMenuHandlers1_S-1-5-21-2753881654-3679568051-3330406590-1000: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} =>  -> No File
    AlternateDataStreams: C:\ProgramData\Temp:07BF512B [150]
    AlternateDataStreams: C:\Users\Denis\Local Settings:init [954685]
    AlternateDataStreams: C:\Users\Denis\Local Settings:wa [178]
    AlternateDataStreams: C:\Users\Denis\AppData\Local:init [954685]
    AlternateDataStreams: C:\Users\Denis\AppData\Local:wa [178]
    AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:init [954685]
    AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:wa [178]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [150]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

-------
https://safezone.cc


Отправлено: 18:17, 06-05-2019 | #8



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Вирус из-за нагруженности или сбоя беспроводной сети

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] DNS-сервер не пускает из сети на сайт из-за совпадения имен домена и сайта walterzedman Microsoft Windows NT/2000/2003 4 15-03-2011 16:31
[решено] Не определяется принтер из-за сбоя Plug&Play (вирусы) Illusion_2010 Лечение систем от вредоносных программ 9 16-11-2010 09:43
Прочее - Какая причина сбоя - Провайдер или Модем wjet Сетевые технологии 22 13-08-2010 19:05
Интерфейс - Что за глюк или вирус? Wadikkk Microsoft Windows 2000/XP 7 14-05-2008 00:29
Новый винт на грани сбоя! Реальность или или глюк софта? zhecka Непонятные проблемы с Железом 17 13-03-2006 20:16




 
Переход