Избавиться от вирусов timetasks, ZaxarGameBrowser и ZaxarLoader

@Oksimoro · Регистрация: 18.03.2016

Author24 — интернет-сервис помощи студентам

В Автозагрузке диспетчера задач висит три подозрительных процесса timetasks, ZaxarGameBrowser и ZaxarLoader. При этом в любом браузере при открытии новых вкладок (сайтов) начинает загружаться реклама, а иногда при ее закрытии открываются новые окна с рекламой. После остановки процессов ничего не поменялось. Логи прилагаются.

@Chinaski_Henry · 19.03.2016, 00:26

Oksimoro, Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   TerminateProcessByName('c:\users\user\appdata\roaming\privoxy\privoxy.exe');
 QuarantineFileF('C:\Program Files (x86)\Zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\TimeTasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 QuarantineFileF('c:\users\user\appdata\roaming\privoxy', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.com', true, '', 0, 0);
 DeleteService('privoxy');
 DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
 DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);
 DeleteFileMask('c:\users\user\appdata\roaming\privoxy', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Zaxar');
 DeleteDirectory('C:\ProgramData\TimeTasks');
 DeleteDirectory('c:\users\user\appdata\roaming\privoxy');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

@Oksimoro · 21.03.2016, 16:43 **[ТС]**

Логи и отчет AdwCleaner[S1] после выполнения скрипта.

@Chinaski_Henry · 21.03.2016, 22:03

Oksimoro, - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

что с проблемой?

@Oksimoro · 23.03.2016, 15:33 **[ТС]**

Проблема больше не беспокоит. Большое спасибо. Отчет AdwCleaner после удаления прилагаю.

@Chinaski_Henry · 23.03.2016, 20:12

Oksimoro, - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

сделайте повторные логи по правилам.

@Oksimoro · 24.03.2016, 10:20 **[ТС]**

Логи

@Chinaski_Henry · 24.03.2016, 22:49

Oksimoro,

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

@Oksimoro · 29.03.2016, 09:36 **[ТС]**

Деинсталляцию провела. В блокноте открылся файл со следующим содержанием:

Поиск критических уязвимостей
Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downl... fdbce457cb
Для установки этого обновления требуется установить SP2 для Office 2010
http://www.microsoft.com/ru-ru... x?id=39667

Обнаружено уязвимостей: 1

Скачала обновление по первой ссылке, попыталась установить, на что мне выдалось сообщение "В системе не найдена ожидаемая версия продукта". Второе обновление не устанавливала, ибо это тоже обновление для Microsoft Office 2010 32-разрядный выпуск, а у меня 64-разрядная система.

P.S.: Ссылка на рекомендации после лечения выдает ошибку.

@Sandor · 29.03.2016, 09:40

Сообщение от Oksimoro

Ссылка на рекомендации после лечения выдает ошибку

Вот другая - Рекомендации после удаления вредоносного ПО

@Chinaski_Henry 943 / 310 / 44 Регистрация: 25.02.2015 Сообщений: 981
	19.03.2016, 00:26	2
	Oksimoro, Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\user\appdata\roaming\privoxy\privoxy.exe'); QuarantineFileF('C:\Program Files (x86)\Zaxar', '.exe, .dll, .sys, .bat, .vbs, .js, .com', true, '', 0, 0); QuarantineFileF('C:\ProgramData\TimeTasks', '.exe, .dll, .sys, .bat, .vbs, .js, .com', true, '', 0, 0); QuarantineFileF('c:\users\user\appdata\roaming\privoxy', '.exe, .dll, .sys, .bat, .vbs, .js, .com', true, '', 0, 0); DeleteService('privoxy'); DeleteFileMask('C:\Program Files (x86)\Zaxar', '', true); DeleteFileMask('C:\ProgramData\TimeTasks', '', true); DeleteFileMask('c:\users\user\appdata\roaming\privoxy', '', true); DeleteDirectory('C:\Program Files (x86)\Zaxar'); DeleteDirectory('C:\ProgramData\TimeTasks'); DeleteDirectory('c:\users\user\appdata\roaming\privoxy'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 0

@Chinaski_Henry 943 / 310 / 44 Регистрация: 25.02.2015 Сообщений: 981
	21.03.2016, 22:03	4
	Oksimoro, - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите. что с проблемой? 0

@Chinaski_Henry 943 / 310 / 44 Регистрация: 25.02.2015 Сообщений: 981
	23.03.2016, 20:12	6
	Oksimoro, - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите. сделайте повторные логи по правилам. 0

@Chinaski_Henry 943 / 310 / 44 Регистрация: 25.02.2015 Сообщений: 981
	24.03.2016, 22:49	8
	Oksimoro, Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Подробнее читайте в этом руководстве. Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему. Выполните рекомендации после лечения. 0

@Sandor 21552 / 15504 / 2987 Регистрация: 08.10.2012 Сообщений: 63,035
	29.03.2016, 09:40	10
	Сообщение от Oksimoro Ссылка на рекомендации после лечения выдает ошибку Вот другая - Рекомендации после удаления вредоносного ПО 0

Опции темы