вирус блокирует браузеры

@magik878 · Регистрация: 25.02.2013

Вирус тормозит браузеры, сайты не открываются или открываются с ошибками, в процессе работы связь с сайтом пропадает и выдаются ошибки.
Логи прилагаю, посмотрите пожалуйста.

@~~Katharsis~~ · 26.02.2013, 12:12

C:\Windows\winstart.bat - откройте файл блокнотом и скопируйте текст сюда.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@magik878 · 26.02.2013, 14:03 **[ТС]**

malwarebytes - нечего не найдено, отчет прилагаю
winstart.bat - не открывается, пакетный файл windows, весит 2б, прикрепить как есть, тоже не удалось

@~~Katharsis~~ · 26.02.2013, 14:19

Сообщение от magik878

winstart.bat

запакуйте и в архиве выложите

@magik878 · 26.02.2013, 14:28 **[ТС]**

архив winstart.bat

@~~Katharsis~~ · 26.02.2013, 14:56

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\winstart.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

компьютер перезагрузится.

2. Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

так же удалите лишние тулбары через программы и компоненты

отпишитесь о результате

@magik878 · 26.02.2013, 15:54 **[ТС]**

пунктов:

очистка временных файлов adobe flash player
очистка кэш macromedia

в меню исправлений у меня не было, остальные инструкции выполнены, проблемы остались

@~~Katharsis~~ · 26.02.2013, 15:55

после чистки переподключитесь.

это во всех браузерах или в одном?

@magik878 · 26.02.2013, 16:07 **[ТС]**

да проблемы со всеми браузерами и ошибки начинаются уже при загрузке компьютера (отключен антивирус, бесполезное обновление java, сообщение защитника яндекса)

@~~Katharsis~~ · 26.02.2013, 16:30

в безопасном режиме с поддержкой сети ошибки есть?

@magik878 · 26.02.2013, 16:53 **[ТС]**

да, доступа к сети нет совсем

@~~Katharsis~~ · 26.02.2013, 16:58

загрузитесь в таком режиме: Попробуйте загрузиться в режиме "чистой загрузки"
пуск - выполнить - msconfig
На вкладке Общие выберите параметр Выборочный запуск.
|
В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки.
|
На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все.
|
Нажмите Применить - OK и - Перезапустить.

проверьте, как работают браузеры

@magik878 · 26.02.2013, 17:33 **[ТС]**

стало еще хуже,
неизвесный модуль не отвечает, остановлен и яндекс-браузер полностью завис, explorer кое-как открылся

@~~Katharsis~~ · 26.02.2013, 18:03

После чего это у вас началось?

В msconfig включите обычную загрузку
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

потом Как подготовить лог OTL by oldtimer

@magik878 · 26.02.2013, 19:47 **[ТС]**

логи combofix и otl

@~~Katharsis~~ · 26.02.2013, 21:05

лучше стало?

ничего плохого не видно, кроме множества плагинов\расширений в браузерах.

@magik878 · 27.02.2013, 10:02 **[ТС]**

стало лучше после того, как включила обратно Загружать элементы автозагрузки msconfig (что и вызвало ухудшение)

а что с вирусом делать?
(вирус точно есть, потому, что браузеры виснут, интернет отваливается, почта и личн кабинеты вскрываются, антивирус при загр комп не работает, vba при проверке регулярно находит, удаляет и опять находит malware cryptor и др, combofix тоже не первый раз находит praetorian.exe и PFRO.log)

@~~Katharsis~~ · 27.02.2013, 11:46

Сообщение от magik878

praetorian.exe и PFRO.log

это не вирусы

Сообщение от magik878

почта и личн кабинеты вскрываются

каким образом? пароли перестают подходить или что?

Сообщение от magik878

vba при проверке регулярно находит, удаляет и опять находит malware cryptor

что именно находит? дословно

ничего плохого у вас не видно. Попробуйте отключить в браузерах все сторонние расширения\плагины, переподключиться и проверить работу без них

@magik878 · 27.02.2013, 12:22 **[ТС]**

почта и личн кабинеты вскрываются
каким образом? пароли перестают подходить или что?
на почтовом ящике значок замка раскрыт; в личном кабинете программ вместо зеленой защищенной строки с замком, появляется красная строка с сообщением о том, что лич кабинет вскрыт, данные в свободном доступе, поверх изображения страница заполнена программным кодом

vba при проверке регулярно находит, удаляет и опять находит malware cryptor
что именно находит? дословно:
/mnt/sda2/Program Files/MetaTrader - Teletrade/liveupdate.exe : инфицирован Malware-Cryptor.Win32.0073
/mnt/sda2/Program Files/MetaTrader - Teletrade/liveupdate.exe : удален
находит при каждой проверке,
так же может найти agent или др.
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/chrome_launcher.exe : инфицирован Trojan.Agent.fvl
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/chrome_launcher.exe : удален
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/delegate_execute.exe : инфицирован Trojan.Agent.awxw
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/delegate_execute.exe : удален
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/libglesv2.dll : инфицирован Trojan.Agent.arjs
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/libglesv2.dll : удален
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/npchrome_frame.dll : инфицирован Trojan.Agent.doqi
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/npchrome_frame.dll : удален
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/ppgooglenaclpluginchrome.dll : инфицирован Trojan.Agent.aha
/mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/ppgooglenaclpluginchrome.dll : удален

ничего плохого у вас не видно. Попробуйте отключить в браузерах все сторонние расширения\плагины, переподключиться и проверить работу без них
как это сделать, поясните пожалуйста?

@~~Katharsis~~ · 27.02.2013, 12:31

прежде всего обновите хром до последней версии. вообще это достаточно защищенный браузер и левые расширения туда без вашего ведома не установятся.

в хроме откройте в меню "о браузере google crome" и скачайте обновление. переподключитесь, потом на вкладке "инструменты" - расширения" отключите все что вы не устанавливали. почистите кэш и куки, переподключитесь, еще раз проверьте

смените пароль от почты и лк и сделайте его посложнее. проверьте, возможно он был угнан у вас раньше.

Сообщение от Katharsis

После чего это у вас началось?

а?

@~~Katharsis~~ Заблокирован
	26.02.2013, 12:12	2
	C:\Windows\winstart.bat - откройте файл блокнотом и скопируйте текст сюда. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!! Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 1

@~~Katharsis~~ Заблокирован
	26.02.2013, 14:19	4
	Сообщение от magik878 winstart.bat запакуйте и в архиве выложите 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 14:56	6
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Windows\winstart.bat'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. компьютер перезагрузится. 2. Почистите браузеры с помощью AVZ меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте: очистка папки TEMP очистка временных файлов adobe flash player очистка кэш macromedia очистка системной папки TEMP очистка кэша всех браузеров, какие есть в списке так же удалите лишние тулбары через программы и компоненты отпишитесь о результате 0

@magik878 0 / 0 / 0 Регистрация: 25.02.2013 Сообщений: 14
	26.02.2013, 15:54 [ТС]	7
	пунктов: очистка временных файлов adobe flash player очистка кэш macromedia в меню исправлений у меня не было, остальные инструкции выполнены, проблемы остались 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 15:55	8
	после чистки переподключитесь. это во всех браузерах или в одном? 0

@magik878 0 / 0 / 0 Регистрация: 25.02.2013 Сообщений: 14
	26.02.2013, 16:07 [ТС]	9
	да проблемы со всеми браузерами и ошибки начинаются уже при загрузке компьютера (отключен антивирус, бесполезное обновление java, сообщение защитника яндекса) 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 16:30	10
	в безопасном режиме с поддержкой сети ошибки есть? 0

@magik878 0 / 0 / 0 Регистрация: 25.02.2013 Сообщений: 14
	26.02.2013, 16:53 [ТС]	11
	да, доступа к сети нет совсем 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 16:58	12
	загрузитесь в таком режиме: Попробуйте загрузиться в режиме "чистой загрузки" пуск - выполнить - msconfig На вкладке Общие выберите параметр Выборочный запуск. \| В разделе Выборочный запуск снимите флажок Загружать элементы автозагрузки. \| На вкладке Службы установите флажок Не отображать службы Майкрософт и нажмите кнопку Отключить все. \| Нажмите Применить - OK и - Перезапустить. проверьте, как работают браузеры 0

@magik878 0 / 0 / 0 Регистрация: 25.02.2013 Сообщений: 14
	26.02.2013, 17:33 [ТС]	13
	стало еще хуже, неизвесный модуль не отвечает, остановлен и яндекс-браузер полностью завис, explorer кое-как открылся 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 18:03	14
	После чего это у вас началось? В msconfig включите обычную загрузку Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." потом Как подготовить лог OTL by oldtimer 0

@~~Katharsis~~ Заблокирован
	26.02.2013, 21:05	16
	лучше стало? ничего плохого не видно, кроме множества плагинов\расширений в браузерах. 0

@magik878 0 / 0 / 0 Регистрация: 25.02.2013 Сообщений: 14
	27.02.2013, 10:02 [ТС]	17
	стало лучше после того, как включила обратно Загружать элементы автозагрузки msconfig (что и вызвало ухудшение) а что с вирусом делать? (вирус точно есть, потому, что браузеры виснут, интернет отваливается, почта и личн кабинеты вскрываются, антивирус при загр комп не работает, vba при проверке регулярно находит, удаляет и опять находит malware cryptor и др, combofix тоже не первый раз находит praetorian.exe и PFRO.log) 0

@~~Katharsis~~ Заблокирован
	27.02.2013, 11:46	18
	Сообщение от magik878 praetorian.exe и PFRO.log это не вирусы Сообщение от magik878 почта и личн кабинеты вскрываются каким образом? пароли перестают подходить или что? Сообщение от magik878 vba при проверке регулярно находит, удаляет и опять находит malware cryptor что именно находит? дословно ничего плохого у вас не видно. Попробуйте отключить в браузерах все сторонние расширения\плагины, переподключиться и проверить работу без них 0

@magik878 0 / 0 / 0 Регистрация: 25.02.2013 Сообщений: 14
	27.02.2013, 12:22 [ТС]	19
	почта и личн кабинеты вскрываются каким образом? пароли перестают подходить или что? на почтовом ящике значок замка раскрыт; в личном кабинете программ вместо зеленой защищенной строки с замком, появляется красная строка с сообщением о том, что лич кабинет вскрыт, данные в свободном доступе, поверх изображения страница заполнена программным кодом vba при проверке регулярно находит, удаляет и опять находит malware cryptor что именно находит? дословно: /mnt/sda2/Program Files/MetaTrader - Teletrade/liveupdate.exe : инфицирован Malware-Cryptor.Win32.0073 /mnt/sda2/Program Files/MetaTrader - Teletrade/liveupdate.exe : удален находит при каждой проверке, так же может найти agent или др. /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/chrome_launcher.exe : инфицирован Trojan.Agent.fvl /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/chrome_launcher.exe : удален /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/delegate_execute.exe : инфицирован Trojan.Agent.awxw /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/delegate_execute.exe : удален /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/libglesv2.dll : инфицирован Trojan.Agent.arjs /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/libglesv2.dll : удален /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/npchrome_frame.dll : инфицирован Trojan.Agent.doqi /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/npchrome_frame.dll : удален /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/ppgooglenaclpluginchrome.dll : инфицирован Trojan.Agent.aha /mnt/sda2/Program Files/Google/Chrome/Application/23.0.1271.97/ppgooglenaclpluginchrome.dll : удален ничего плохого у вас не видно. Попробуйте отключить в браузерах все сторонние расширения\плагины, переподключиться и проверить работу без них как это сделать, поясните пожалуйста? 0

@~~Katharsis~~ Заблокирован
	27.02.2013, 12:31	20
	прежде всего обновите хром до последней версии. вообще это достаточно защищенный браузер и левые расширения туда без вашего ведома не установятся. в хроме откройте в меню "о браузере google crome" и скачайте обновление. переподключитесь, потом на вкладке "инструменты" - расширения" отключите все что вы не устанавливали. почистите кэш и куки, переподключитесь, еще раз проверьте смените пароль от почты и лк и сделайте его посложнее. проверьте, возможно он был угнан у вас раньше. Сообщение от Katharsis После чего это у вас началось? а? 0