Какой-то вирус нарушает работу браузеров

@Aravin · Регистрация: 02.05.2011

Author24 — интернет-сервис помощи студентам

Все браузеры как-то начали странно работать. Гугл вообще не пашет, сафари тоже - после недавнишнего обновления мозилы, она стала постоянно вылетать и пытается выслать report crash. Посмотрел AVG комп, он нашел какой-то вирус, который постоянно восстанавливает себя после удаления.

"C:\Documents and Settings\QUYT\Start Menu\Programs\Startup\v12FnYNyi80.exe";"Virus found Win32/Cryptor";"Moved to Virus Vault"

Удаляю, перегружаю комп - сканю - опять он здесь.
System Restore не пашет вообще.
В общем я даже не уверен, что именно этот вирус портит мне работу.

@~~Katharsis~~ · 22.07.2012, 01:05

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. скачайте и установите все последние обновления для безопасности windows

обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:

R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
R3 - URLSearchHook: (no name) - - (no file)

нажмите "Fix checked"

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\QUYT\Application Data\639E36.exe','');
 QuarantineFile('C:\Documents and Settings\QUYT\knyxi.exe','');
 DeleteFile('C:\Documents and Settings\QUYT\knyxi.exe');
 DeleteFile('C:\Documents and Settings\QUYT\Application Data\639E36.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Fantasy Grounds');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer');
 DeleteFileMask('C:\Program Files\pchd\', '*.*', true);
 DeleteDirectory('C:\Program Files\pchd\');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
RebootWindows(true);
end.

если PCHD установлен вами (стриптиз на рабочем столе) удалите из скрипта команды:

RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer');
DeleteFileMask('C:\Program Files\pchd\', '*.*', true);
DeleteDirectory('C:\Program Files\pchd\');

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. Обновите базы AVZ (файл - обновление баз) и сделайте повторные логи avz и rsit.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

6. смените пароли

@Aravin · 22.07.2012, 11:07 **[ТС]**

Вроде бы все сделал. А точно не надо ничего удалять, а то MBAM дофига всего нашел?

@~~Katharsis~~ · 22.07.2012, 15:05

Сообщение от Katharsis

4. Обновите базы AVZ (файл - обновление баз) и сделайте повторные логи avz и rsit.

это забыли

@Aravin · 22.07.2012, 23:06 **[ТС]**

Ах да, точно. Вот, надеюсь не перепутал ничего.

@~~Katharsis~~ · 23.07.2012, 07:59

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\LFVmalW2SRI', '*', false, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\QUYT\Application Data\LFVmalW2SRI', '*', false, '', 0, 0);
 QuarantineFile('C:\WINDOWS\AppPatch\cqmzxnl.dat','');
 QuarantineFile('C:\Documents and Settings\QUYT\Application Data\igfxtray.dat','');
 QuarantineFile('C:\WINDOWS\system32\IEUNITDRF.INF','');
 DeleteFile('C:\WINDOWS\AppPatch\cqmzxnl.dat');
 DeleteFile('C:\Documents and Settings\QUYT\Application Data\igfxtray.dat');
 DeleteFile('C:\WINDOWS\system32\IEUNITDRF.INF');
 DeleteFileMask('C:\Documents and Settings\QUYT\Application Data\winxrar', '*', true);
 DeleteFileMask('C:\LFVmalW2SRI', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\QUYT\Application Data\winxrar');
 DeleteDirectory('C:\LFVmalW2SRI');
 DeleteDirectory('C:\Documents and Settings\QUYT\Application Data\LFVmalW2SRI');
 RegKeyDel('HKEY_CURRENT_USER','Software\SkyMedia');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4.сделайте повторный лог rsit.

RelevantKnowledge можете удалить через установку и удаление программ

@Aravin · 23.07.2012, 09:16 **[ТС]**

Вставляю код, пишет "error: ")" expected at position 6:18"

@~~Katharsis~~ · 23.07.2012, 10:06

поправил

@Aravin · 23.07.2012, 11:44 **[ТС]**

Теперь пишет "error: ")" expected at position 20:40"
И еще теперь почему-то когда нажимаю Выключить компьютер, комп виснет, приходится вырубать БП.
Вируса уже нет, проверял)

@~~Katharsis~~ · 23.07.2012, 12:15

скрипт перепостил, ошибок нет

выполните в любом случае, результат покажите

Сообщение от Katharsis

4.сделайте повторный лог rsit.

@Aravin · 23.07.2012, 12:48 **[ТС]**

Все сделал.

@~~Katharsis~~ · 23.07.2012, 13:07

C:\Documents and Settings\QUYT\Application Data\LFVmalW2SRI - удалите вручную

проблемы с отключением только сейчас появились?

с настройкой плана питания что? с дайверами, на видео особенно?

@Aravin · 23.07.2012, 13:19 **[ТС]**

Да недавно. Думал из-за чего-то, но потом вспомнил, что недавно поставил последние дрова для GeForce GTS250. Изредка также экран на 1-2 секунды пропадает (черным становится), потом опять все нормально (но это уже оочень давно).
Удалил ту папку.

@~~Katharsis~~ · 23.07.2012, 13:29

Сообщение от Aravin

недавно поставил последние дрова для GeForce GTS250

вот из за них скорей всего и не выключается

чисто. выполните Рекомендации после удаления вредоносного ПО

@Aravin · 23.07.2012, 23:23 **[ТС]**

Ага) Большое спасибо за помощь)

@~~Katharsis~~ Заблокирован
	23.07.2012, 13:29	14
	Сообщение от Aravin недавно поставил последние дрова для GeForce GTS250 вот из за них скорей всего и не выключается чисто. выполните Рекомендации после удаления вредоносного ПО 1

@~~Katharsis~~ Заблокирован
	22.07.2012, 01:05	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. скачайте и установите все последние обновления для безопасности windows обновите: adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки. 2. В логе сканирования Hijackthis отметьте: R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file) R3 - URLSearchHook: (no name) - - (no file) нажмите "Fix checked" 3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Documents and Settings\QUYT\Application Data\639E36.exe',''); QuarantineFile('C:\Documents and Settings\QUYT\knyxi.exe',''); DeleteFile('C:\Documents and Settings\QUYT\knyxi.exe'); DeleteFile('C:\Documents and Settings\QUYT\Application Data\639E36.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Fantasy Grounds'); RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer'); DeleteFileMask('C:\Program Files\pchd\', '.', true); DeleteDirectory('C:\Program Files\pchd\'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end. если PCHD установлен вами (стриптиз на рабочем столе) удалите из скрипта команды: RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\PCHDPlayer'); DeleteFileMask('C:\Program Files\pchd\', '.', true); DeleteDirectory('C:\Program Files\pchd\'); На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4. Обновите базы AVZ (файл - обновление баз) и сделайте повторные логи avz и rsit. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 5. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда. 6. смените пароли 0

@~~Katharsis~~ Заблокирован
	22.07.2012, 15:05	4
	Сообщение от Katharsis 4. Обновите базы AVZ (файл - обновление баз) и сделайте повторные логи avz и rsit. это забыли 0

@Aravin 0 / 0 / 0 Регистрация: 02.05.2011 Сообщений: 33
	23.07.2012, 09:16 [ТС]	7
	Вставляю код, пишет "error: ")" expected at position 6:18" 0

@~~Katharsis~~ Заблокирован
	23.07.2012, 10:06	8
	поправил 0

@Aravin 0 / 0 / 0 Регистрация: 02.05.2011 Сообщений: 33
	23.07.2012, 11:44 [ТС]	9
	Теперь пишет "error: ")" expected at position 20:40" И еще теперь почему-то когда нажимаю Выключить компьютер, комп виснет, приходится вырубать БП. Вируса уже нет, проверял) 0

@~~Katharsis~~ Заблокирован
	23.07.2012, 12:15	10
	скрипт перепостил, ошибок нет выполните в любом случае, результат покажите Сообщение от Katharsis 4.сделайте повторный лог rsit. 0

@~~Katharsis~~ Заблокирован
	23.07.2012, 13:07	12
	C:\Documents and Settings\QUYT\Application Data\LFVmalW2SRI - удалите вручную проблемы с отключением только сейчас появились? с настройкой плана питания что? с дайверами, на видео особенно? 0

@Aravin 0 / 0 / 0 Регистрация: 02.05.2011 Сообщений: 33
	23.07.2012, 13:19 [ТС]	13
	Да недавно. Думал из-за чего-то, но потом вспомнил, что недавно поставил последние дрова для GeForce GTS250. Изредка также экран на 1-2 секунды пропадает (черным становится), потом опять все нормально (но это уже оочень давно). Удалил ту папку. 0

@Aravin 0 / 0 / 0 Регистрация: 02.05.2011 Сообщений: 33
	23.07.2012, 23:23 [ТС]	15
	Ага) Большое спасибо за помощь) 0