После установки расширения в Chrome появились вирусы

@bagatelle · Регистрация: 20.08.2013

Author24 — интернет-сервис помощи студентам

Добрый день!

После установки расширения в Chrome с одного всем известного сайта с сериалами стал перегружаться процессор. Возможно, что вирусы понахватала не только оттуда. Постоянно вылезает файл cstr.exe.

Когда-то уже обращалась к Вам за помощью. Тогда Вы мне очень помогли

@Sandor · 23.07.2018, 13:45

Здравствуйте!

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию и повторите CollectionLog.

@bagatelle · 23.07.2018, 14:17 **[ТС]**

Ок, поняла

@Sandor · 23.07.2018, 14:34

Внимание! Рекомендации написаны специально для пользователя bagatelle. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\iis\cpuinfo.exe');
 QuarantineFile('c:\windows\iis\cpuinfo.exe', '');
 QuarantineFile('C:\WINDOWS\system32\64.exe', '');
 QuarantineFile('C:\Windows\System32\boy.exe', '');
 DeleteFile('c:\windows\iis\cpuinfo.exe', '32');
 DeleteFile('C:\WINDOWS\system32\64.exe', '');
 DeleteFile('C:\Windows\System32\boy.exe32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!

"Пофиксите" в HijackThis:

Код

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\KASPER~1\KASPER~1\mzvkbd3.dll (file missing)
O23 - Service S2: Waayac gssosawyw - (FSzsks gmedkjwxo) - C:\WINDOWS\system32\cmd.exe

Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@bagatelle · 23.07.2018, 15:26 **[ТС]**

Файла quarantine.7z нет. Есть архив с карантином и папка Quarantine. Дважды пробовала.

@Sandor · 23.07.2018, 16:02

Сообщение от bagatelle

Есть архив с карантином

Его и отправьте. Если даже не получится, продолжайте.

@bagatelle · 23.07.2018, 16:59 **[ТС]**

Архив с карантином отправила

@Sandor · 24.07.2018, 16:23

Пофиксите в HijackThis следующие строчки:

Код

F3 - HKCU\..\Windows: [load] = C:\Windows\System32\boy.exe
F3 - HKCU\..\Windows: [run] = C:\Windows\System32\boy.exe
F3 - HKU\.DEFAULT\..\Windows: [load] = C:\Windows\System32\boy.exe
F3 - HKU\.DEFAULT\..\Windows: [run] = C:\Windows\System32\boy.exe
O24 - Desktop Component 0: (no name) - (no file)

Вручную перезагрузите компьютер и еще раз соберите новый CollectionLog.

@bagatelle · 24.07.2018, 23:22 **[ТС]**

Пофиксила

@Sandor · 25.07.2018, 08:47

В логах теперь порядок. Что из проблем осталось?

@bagatelle · 25.07.2018, 22:18 **[ТС]**

Процессор не перегружен вроде. Но вот ccleaner показывает большое количество файлов в интернет кэше хрома, аж 684.

@Sandor · 26.07.2018, 09:05

Сообщение от bagatelle

большое количество файлов в интернет кэше хрома, аж 684

Уверяю Вас, что это не много

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@bagatelle · 26.07.2018, 15:20 **[ТС]**

Сделано

@Sandor · 26.07.2018, 15:50

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 7.0.5730.13 Внимание! Скачать обновления
------------------------------- [ HotFix ] --------------------------------
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 NPAPI v.30.0.0.113 Внимание! Скачать обновления

Рекомендации после удаления вредоносного ПО

@bagatelle · 27.07.2018, 11:57 **[ТС]**

Спасибо Вам большое за помощь!

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	23.07.2018, 13:45	2
	Здравствуйте! Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию и повторите CollectionLog. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	23.07.2018, 14:34	4
	Внимание! Рекомендации написаны специально для пользователя bagatelle. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\iis\cpuinfo.exe'); QuarantineFile('c:\windows\iis\cpuinfo.exe', ''); QuarantineFile('C:\WINDOWS\system32\64.exe', ''); QuarantineFile('C:\Windows\System32\boy.exe', ''); DeleteFile('c:\windows\iis\cpuinfo.exe', '32'); DeleteFile('C:\WINDOWS\system32\64.exe', ''); DeleteFile('C:\Windows\System32\boy.exe32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! "Пофиксите" в HijackThis: Код O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\Program Files\KASPER~1\KASPER~1\mzvkbd3.dll (file missing) O23 - Service S2: Waayac gssosawyw - (FSzsks gmedkjwxo) - C:\WINDOWS\system32\cmd.exe Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@bagatelle 0 / 0 / 0 Регистрация: 20.08.2013 Сообщений: 49
	23.07.2018, 15:26 [ТС]	5
	Файла quarantine.7z нет. Есть архив с карантином и папка Quarantine. Дважды пробовала. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	23.07.2018, 16:02	6
	Сообщение от bagatelle Есть архив с карантином Его и отправьте. Если даже не получится, продолжайте. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	24.07.2018, 16:23	8
	Пофиксите в HijackThis следующие строчки: Код F3 - HKCU\..\Windows: [load] = C:\Windows\System32\boy.exe F3 - HKCU\..\Windows: [run] = C:\Windows\System32\boy.exe F3 - HKU\.DEFAULT\..\Windows: [load] = C:\Windows\System32\boy.exe F3 - HKU\.DEFAULT\..\Windows: [run] = C:\Windows\System32\boy.exe O24 - Desktop Component 0: (no name) - (no file) Вручную перезагрузите компьютер и еще раз соберите новый CollectionLog. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	25.07.2018, 08:47	10
	В логах теперь порядок. Что из проблем осталось? 0

@bagatelle 0 / 0 / 0 Регистрация: 20.08.2013 Сообщений: 49
	25.07.2018, 22:18 [ТС]	11
	Процессор не перегружен вроде. Но вот ccleaner показывает большое количество файлов в интернет кэше хрома, аж 684. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	26.07.2018, 09:05	12
	Сообщение от bagatelle большое количество файлов в интернет кэше хрома, аж 684 Уверяю Вас, что это не много Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	26.07.2018, 15:50	14
	------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 7.0.5730.13 Внимание! Скачать обновления ------------------------------- [ HotFix ] -------------------------------- HotFix KB3197835 Внимание! Скачать обновления HotFix KB4012598 Внимание! Скачать обновления HotFix KB4012583 Внимание! Скачать обновления HotFix KB4022747 Внимание! Скачать обновления HotFix KB4024323 Внимание! Скачать обновления HotFix KB4025218 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 30 NPAPI v.30.0.0.113 Внимание! Скачать обновления Рекомендации после удаления вредоносного ПО 0

@bagatelle 0 / 0 / 0 Регистрация: 20.08.2013 Сообщений: 49
	27.07.2018, 11:57 [ТС]	15
	Спасибо Вам большое за помощь! 0