С наступающим Новым годом! Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.83/6: Рейтинг темы: голосов - 6, средняя оценка - 4.83
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
1

Malwarebytes не лечит Adware.StartPage.BatBitRst

13.06.2018, 09:27. Просмотров 1183. Ответов 71
Метки нет (Все метки)

Немного истории.
На компьютере завелся вирус Bitcoin Miner.
С помощью программы System Explorer я заметил, что один из файлов svchost загружался до 50%.
После перезапуска процесса файла svchost нагрузка снижалась, практически, до 0%.
Запуская Malwarebytes, сканирование останавливалась, указывая на ошибку.
Применяя Spy Hunter, Doctor Web current и др. утилиты, а также вручную, удалось удалить Bitcoin Miner.
Я переустанавливал Malwarebytes, удаляя полностью все остатки и даже с помощью специальной программы для удаления малваре битс, но безрезультатно.
Я бы откатился, но оказалось, что имеющиеся у меня образы диска были с вирусом еще с весны.
Прошу помощи.
0
Миниатюры
Malwarebytes не лечит Adware.StartPage.BatBitRst  
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
13.06.2018, 09:27
Ответы с готовыми решениями:

Adware.mailru.batbitrst
Всем привет помогите избавиться от такой гадости как adware.mailru.batbitrst....

Adware.mailru.batbitrst в браузере Chrome
Собственно, пару дней назад Avast начал резать попытку выхода на сайт с...

DrWeb лечит vault?
На странице http://www.freedrweb.com/show/?i=9689&c=19&lng=ru написано про...

Касперский обнаружил вирус, но не лечит
Сегодня Касперский обнаружил поведение, похожее на PDM.Keylogger. Но никаких...

Несколько вирусов, которые не лечит аваст
Добрый день господа! Привела меня сюда проблема, которую самостоятельно не смог...

71
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,385
13.06.2018, 09:48 2
Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 10:09  [ТС] 3
Сделаю. Дайте время.
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 10:26  [ТС] 4
Sandor,
Не понимаю, скрипт не создается
0
Миниатюры
Malwarebytes не лечит Adware.StartPage.BatBitRst  
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 10:26  [ТС] 5
Sandor,
Не понимаю, скрипт не создается
0
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,385
13.06.2018, 12:01 6
Галочку на диске С зачем поставили?
Какой скрипт Вы собирались загрузить?

Просто запустите Автологер и в точности выполняйте рекомендации.
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 12:33  [ТС] 7
С помощью AutoLogger выполнил.
0
Вложения
Тип файла: log report2.log (1.9 Кб, 1 просмотров)
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,385
13.06.2018, 12:35 8
Читаем правила вместе
Цитата Сообщение от akok Посмотреть сообщение
По окончанию работы в папке AutoLogger расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.11.09-21.04
Прикрепите его к Вашему сообщению,
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 12:39  [ТС] 9
Извините, мало опыта.
0
Вложения
Тип файла: zip CollectionLog-2018.06.13-12.28.zip (168.4 Кб, 2 просмотров)
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,385
13.06.2018, 12:52 10
Эти настройки делали самостоятельно?
Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


Внимание! Рекомендации написаны специально для пользователя alikdio. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Пофиксите в HijackThis следующие строчки:
Код
O1 - Hosts: Reset contents to default
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2 - HKLM\..\BHO: YoutubeAdblocker - {59528D07-B22E-6FD9-99EC-30123C0C21F3} - (no file)
O2 - HKLM\..\BHO: ssuerF aunndd keuep - {B9FBEA89-9E51-EDB8-5782-743E15E57248} - (no file)
O22 - Task (Job): 625K80K549n524.job - C:\Windows\system32\rundll32.exe "C:\ProgramData\625K80K549n524\625K80K549n524.dll",KncCYXKIJ
O22 - Task (Job): AdwCleaner_onReboot.job - C:\Users\Alik\Desktop\РЕМОНТ\Malwarebytes_AdwCleaner_7.1.1.0.exe /r
O22 - Task: 623z334z535l64 - C:\Windows\system32\rundll32.exe "C:\ProgramData\623z334z535l64\623z334z535l64.dll",zlZfXcKZIF
O22 - Task: 623z334z535l64-dll - C:\Windows\system32\rundll32.exe "C:\ProgramData\623z334z535l64\623z334z535l64.dll",zlZfXcKZIF
O22 - Task: 625K80K549n524 - C:\Windows\system32\rundll32.exe "C:\ProgramData\625K80K549n524\625K80K549n524.dll",KncCYXKIJ
O22 - Task: {2233B2A7-2990-C080-A76E-4B686BEC2407} - C:\Windows\FXKDAvaoe.exe /q /i [url]http://myprework.com/opihlrtedeux.xzz[/url]
O22 - Task: {AA86329F-3EEF-B2E6-8676-C3E24E5A5AE4} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [url]http://vive-m.com/cl/?guid=dxgarw3isfbk8f6en4k06a0uhuswgpbk&prid=1&pid=4_1009_0[/url]
O22 - Task: {C07E8316-0599-E7EC-9D63-5B57C4B734A6} - C:\Users\Alik\AppData\Local\UYYeZlaiyYuky.exe /q /i [url]http://myprework.com/necv8fzneujv.iyp[/url]
O22 - Task: {C4F66B0B-8072-FA6E-42F1-34B11A50D5DE} - C:\Windows\SysWOW64\oUEgquiIPivs.exe /q /i [url]http://myprework.com/opihlrtedeux.xzz[/url]
O22 - Task: {EBA4E530-F5D1-15C3-C998-1284E0C8A625} - C:\Windows\SysWOW64\oEUWeHXnZPv.exe /q /i [url]http://myprework.com/necv8fzneujv.naw[/url]

2. Подготовьте и прикрепите лог сканирования AdwCleaner.
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 13:37  [ТС] 11
1. Если вы о VPN, то я его не правил, просто выбрал страну.

2. virusinfo_auto_DIO.zip меньше 250
Файл успешно загружен и поставлен в очередь

3. Hosts я правил, т.е. дописывал нужное по необходимости.
Я старый hosts, на всякий случай, запаковал в архив, вдруг пригодится.
HijackThis пофиксил, то что вы указали.
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 13:45  [ТС] 12
И по adwcleaner считает, что spy hunter - угроза, но я не согласился на чистку.
0
Вложения
Тип файла: txt AdwCleaner[S05].txt (1.8 Кб, 4 просмотров)
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,385
13.06.2018, 14:09 13
Цитата Сообщение от alikdio Посмотреть сообщение
но я не согласился на чистку
Согласитесь и почитайте статью.
(В адресной строке слово resources замените на threads)
Тем более, что самой программы больше нет, а остались ненужные записи.

1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 14:11  [ТС] 14
Перезагрузил и проверил Malwarebytes
Снова остановлен.
0
Миниатюры
Malwarebytes не лечит Adware.StartPage.BatBitRst  
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 14:11  [ТС] 15
Перезагрузил и проверил Malwarebytes
Снова остановлен.
0
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,385
13.06.2018, 14:13 16
Еще раз читаем вместе правила:
Цитата Сообщение от akok Посмотреть сообщение
Внимание!
Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации полученные вне раздела лечения, а так же в личных сообщениях.
Не удаляйте и не перемещайте никаких файлов без указаний Консультанта.
Не запускайте самостоятельно утилиты лечения без рекомендации Консультанта - это может привести к негативным последствиям, вплоть до утраты работоспособности операционной системы и потере пользовательских данных!
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 14:48  [ТС] 17
Выполнил.
0
Вложения
Тип файла: txt AdwCleaner[S06].txt (1.9 Кб, 2 просмотров)
Тип файла: rar FRST.rar (14.7 Кб, 2 просмотров)
Тип файла: rar Addition.rar (40.6 Кб, 3 просмотров)
Sandor
Вирусоборец
13221 / 11410 / 1790
Регистрация: 08.10.2012
Сообщений: 46,385
13.06.2018, 14:58 18
Отчет об очистке AdwCleaner прикрепили не тот. Нужен [Cxx], а не [Sxx].

Далее:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    BootExecute: autocheck autochk * sh4native Sh4Removal
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-3269064430-3971966779-1918045882-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} -  No File
    S2 TuneUp.UtilitiesSvc; no ImagePath
    Task: {0810A555-FAA9-4CA7-B8A9-531086196629} - \{F875971A-A876-4B00-A1EE-5B40B9C52DB7} -> No File <==== ATTENTION
    Task: {0CCBC7E1-C5AD-4744-9121-8B4D7E026CD0} - \b7e9f9d2-ad19-4b3c-9f7f-f3fc098fc566 -> No File <==== ATTENTION
    Task: {6BE61C94-4848-4561-AAB7-338F7350D1AD} - System32\Tasks\phone\skype => C:\Windows\system32\rundll32.exe "C:\ProgramData\625K80K549n524\625K80K549n524.dll",KncCYXKIJ
    Task: {D0501542-572A-454C-A6B9-2026F0BA601F} - no filepath
    Task: {DD86A7AE-D302-42E8-912F-674470F185AB} - no filepath
    Task: {DFBCCC86-4F34-4952-9AC8-52551E20C667} - no filepath
    Task: {E896340B-EB2F-4835-8EC5-CAE31521FAC4} - \3da1eff0-b932-4650-a212-1378f8995d7f -> No File <==== ATTENTION
    Task: {F1B01EC6-3E40-4738-B903-27E34B0ABCCB} - System32\Tasks\browser\skypebrowserhost => C:\Windows\system32\rundll32.exe "C:\ProgramData\625K80K549n524\625K80K549n524.dll",KncCYXKIJ
    AlternateDataStreams: C:\ProgramData:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\Users\All Users:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\Users\Все пользователи:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\Users\Alik\Local Settings:SlxNiWutkHVDhJPUv9pAbcDK [3018]
    AlternateDataStreams: C:\Users\Alik\Local Settings:UWC1m6rsPnbVc420B8JbEzucCPid [2656]
    AlternateDataStreams: C:\Users\Alik\AppData\Local:SlxNiWutkHVDhJPUv9pAbcDK [3018]
    AlternateDataStreams: C:\Users\Alik\AppData\Local:UWC1m6rsPnbVc420B8JbEzucCPid [2656]
    AlternateDataStreams: C:\Users\Alik\AppData\Local\Application Data:SlxNiWutkHVDhJPUv9pAbcDK [3018]
    AlternateDataStreams: C:\Users\Alik\AppData\Local\Application Data:UWC1m6rsPnbVc420B8JbEzucCPid [2656]
    AlternateDataStreams: C:\Users\Alik\AppData\Local\Temporary Internet Files:8prDxIaDDoZf6OgfiPmo3bqX3 [2762]
    AlternateDataStreams: C:\Users\Alik\AppData\Local\Temporary Internet Files:l2zCjtVp5umVeBr73I [2404]
    AlternateDataStreams: C:\Users\Alik\AppData\Local\Temporary Internet Files:OAjZN6kXA3iQ3rXLzwnIyWm [3088]
    AlternateDataStreams: C:\ProgramData\Application Data:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\ProgramData\Microsoft:7xtsa68aHM1hVQQQerBVp2jMGXV [595]
    AlternateDataStreams: C:\ProgramData\Microsoft:BHKyEUkbRWhYSXmE0dnMiPiFPvY [2630]
    AlternateDataStreams: C:\ProgramData\Microsoft:cZtj8ioY7D44T3MxIKU46Fj1NJ [2988]
    AlternateDataStreams: C:\ProgramData\Microsoft:e1bxHYlBM7P72oVb8YKACA [604]
    AlternateDataStreams: C:\ProgramData\Microsoft:FhGOp36bDTMeB2nyz6wPO5jF [2564]
    AlternateDataStreams: C:\ProgramData\Microsoft:ID03wALMImeKO9oioSQ5F2RC [3040]
    AlternateDataStreams: C:\ProgramData\PACE:9F5B20AE7C1CBF85 [217]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:482EE99B1E21CE8C [217]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:7xtsa68aHM1hVQQQerBVp2jMGXV [595]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:BHKyEUkbRWhYSXmE0dnMiPiFPvY [2630]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:cZtj8ioY7D44T3MxIKU46Fj1NJ [2988]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:e1bxHYlBM7P72oVb8YKACA [604]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:FhGOp36bDTMeB2nyz6wPO5jF [2564]
    AlternateDataStreams: C:\Users\Все пользователи\Microsoft:ID03wALMImeKO9oioSQ5F2RC [3040]
    AlternateDataStreams: C:\Users\Все пользователи\PACE:9F5B20AE7C1CBF85 [217]
    HKLM\...\regfile\DefaultIcon: C:\Windows\regedit.exe,1 <==== ATTENTION
    HKLM\...\batfile\DefaultIcon: C:\Windows\SysWow64\imageres.dll,-68 <==== ATTENTION
    HKLM\...\cmdfile\DefaultIcon: C:\Windows\SysWow64\imageres.dll,-68 <==== ATTENTION
    FirewallRules: [{66C64006-8B3D-4FD3-9306-B90C5F01DF8B}] => (Allow) 㩃啜敳獲䅜楬屫灁䑰瑡屡潒浡湩屧潮整慰㍤屫潮整慰㍤⹫硥e
    FirewallRules: [{F859FE3C-DA31-47DF-B899-246FBF2F97F8}] => (Allow) 㩃啜敳獲䅜楬屫灁䑰瑡屡潒浡湩屧潮整慰㍤屫潮整灵⹤硥e
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 15:19  [ТС] 19
Пока выкладываю AdwCleaner [Cxx]
0
Вложения
Тип файла: txt AdwCleaner[C06].txt (2.1 Кб, 3 просмотров)
alikdio
1 / 1 / 0
Регистрация: 25.07.2014
Сообщений: 71
13.06.2018, 15:45  [ТС] 20
Только не казните. Я сперва отрубил антивирусы и получил лог. Затем была перезагрузка и я снова запустил FRST64.exe, думая, что будет ещё один лог. А они наверное перезаписались. Вот и выкладываю последний.
0
Вложения
Тип файла: txt Fixlog.txt (10.4 Кб, 3 просмотров)
13.06.2018, 15:45
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.06.2018, 15:45

Каспер не лечит MEM:Trojan.Win64.EquationDrug.gen
Добрый день! Прошу помочь вылечить компьютер - Каспер не справляется. Пишет -...

Поймал trojan multi proxy changer. Kaspersky Anti-Virus 17 не лечит
Здравствуйте, комрады вирусологи! Компьютер стал жутко тормозить. Касперский...

Adware
Приветствую, прошу помочь удалить вирусы. Постоянно вылетает сообщение от nod32...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru