Resing Posted November 18, 2015 Report Share Posted November 18, 2015 Здраствуйте. У меня постоянно перезагружается компьютер (ноут-бук), при запуске CCleaner, когда делал логи (сделал в безопасном режиме), когда пытался посмотреть что стоит в автозапуске, когда хотел попасть на сайт CCleaner, когда какой то файл хотел удалить подозрительный. Ещё когда ноут долго находится в бездействии, появляется очень много процессов csrss.exe. CollectionLog-2015.11.18-23.33.zip CollectionLog-2015.11.18-23.33.zip Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 19, 2015 Report Share Posted November 19, 2015 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): beginExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\ShellNew\RakyatKelaparan.exe', ''); QuarantineFile('C:\Users\Lenovo\AppData\Local\br4149on.exe', ''); QuarantineFile('C:\Windows\KesenjanganSosial.exe', ''); QuarantineFile('C:\Windows\system32\cmd-brontok.exe', ''); QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif', ''); QuarantineFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com', ''); QuarantineFile('C:\Users\Lenovo\AppData\Local\Temp\IS3571~1\uninstaller.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\csrss.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\lsass.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\services.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\smss.exe', ''); QuarantineFile('C:\Users\Lenovo\appdata\local\winlogon.exe', ''); QuarantineFile('C:\Users\Lenovo\documents\documents.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "At1.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At2.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At3.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At4.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "At5.job" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{095CD286-9658-4A0D-AC2E-ED95975B4890}" /F', 0, 15000, true); DeleteFile('C:\Windows\ShellNew\RakyatKelaparan.exe', '32'); DeleteFile('C:\Users\Lenovo\AppData\Local\br4149on.exe', '32'); DeleteFile('C:\Windows\KesenjanganSosial.exe', '32'); DeleteFile('C:\Windows\system32\cmd-brontok.exe', '32'); DeleteFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif', '32'); DeleteFile('C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.com', '32'); DeleteFile('C:\Users\Lenovo\AppData\Local\Temp\IS3571~1\uninstaller.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\csrss.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\lsass.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\services.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\smss.exe', '32'); DeleteFile('C:\Users\Lenovo\appdata\local\winlogon.exe', '32'); DeleteFile('C:\Users\Lenovo\documents\documents.exe', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Bron-Spizaetus'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tok-Cirrhatus-1563'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SafeBoot','AlternateShell');ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(8); ExecuteRepair(10); ExecuteRepair(16); ExecuteRepair(17); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');RebootWindows(true);end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger (уже в обычном режиме) и подготовьте свежий CollectionLog. Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 CollectionLog-2015.11.19-19.48.zip CollectionLog-2015.11.19-19.48.zip Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 19, 2015 Report Share Posted November 19, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Если "не помещаются", упакуйте.Подробнее читайте в этом руководстве. Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 Addition.txt FRST.txt Shortcut.txt Addition.txt FRST.txt Shortcut.txt Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 19, 2015 Report Share Posted November 19, 2015 (edited) Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. startCreateRestorePoint:HKU\S-1-5-21-248898247-2030311211-3320289827-1000\...\Run: [Tok-Cirrhatus-1563] => "C:\Users\Lenovo\AppData\Local\br4149on.exe"HKU\S-1-5-21-248898247-2030311211-3320289827-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) <==== ATTENTIONCHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTIONHKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437972361&z=ffb83a36280f9a86133a7f4g3z1ccmctfmbwcbdmbb&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&q={searchTerms}HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437972361&z=ffb83a36280f9a86133a7f4g3z1ccmctfmbwcbdmbb&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&q={searchTerms}SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2396973SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}SearchScopes: HKU\S-1-5-21-248898247-2030311211-3320289827-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=FUJITSUXMHY2250BH_K407T812AC57T812AC57X&ts=1437972435&type=default&q={searchTerms}CHR Extension: (NetSecurity) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2014-05-16]CHR Extension: (CinemaLoad) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-08-18]CHR Extension: (No Name) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkcpopggjcjkiicpenikeogioednjeac [2013-07-02]CHR Extension: (DivX Plus Web Player HTML5 <video>) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\nneajnkjbffgblleaoojgaacokifdkhm [2013-07-21]CHR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-18]2015-11-18 00:00 - 2015-11-18 00:00 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-182015-11-17 00:07 - 2015-11-17 00:07 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-172015-11-16 13:46 - 2015-11-16 13:46 - 00033617 _____ C:\Users\Lenovo\AppData\Local\Bron.tok.A16.em.bin2015-11-16 00:00 - 2015-11-16 00:00 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-162015-11-15 01:56 - 2015-11-15 01:56 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Bron.tok-16-152015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At5.job2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At4.job2015-11-19 19:32 - 2014-10-24 01:19 - 00000446 _____ C:\Windows\Tasks\At3.job2015-11-19 19:32 - 2014-10-24 00:54 - 00000446 _____ C:\Windows\Tasks\At2.job2015-11-19 19:32 - 2014-10-09 22:34 - 00000446 _____ C:\Windows\Tasks\At1.job2015-11-15 01:10 - 2013-04-26 21:46 - 00000000 ____D C:\Users\Lenovo\AppData\Local\VirtualStore2014-09-25 21:37 - 2014-09-25 21:37 - 0000051 _____ () C:\Users\Lenovo\AppData\Local\Kosong.Bron.Tok.txt2014-09-26 03:06 - 2014-09-26 03:06 - 0026541 _____ () C:\Users\Lenovo\AppData\Local\ListHost16.txtTask: {32471500-6734-430E-9E0F-076DC80E0188} - \At5 -> No File <==== ATTENTIONTask: {45394A29-2888-4662-917A-A9DF62C19656} - \At3 -> No File <==== ATTENTIONTask: {4BD48C9A-7F21-4F91-93B5-088F147C1BE4} - \At1 -> No File <==== ATTENTIONTask: {6BFD6646-E963-4E22-B8D3-1F982657842E} - \Windows Updater -> No File <==== ATTENTIONTask: {8013925B-10F9-4118-8507-8C437DF2BC08} - \At2 -> No File <==== ATTENTIONTask: {EF660775-F238-44B0-B098-CCD2612A695C} - \At4 -> No File <==== ATTENTIONTask: C:\Windows\Tasks\At1.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.comTask: C:\Windows\Tasks\At2.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.comTask: C:\Windows\Tasks\At3.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.comTask: C:\Windows\Tasks\At4.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.comTask: C:\Windows\Tasks\At5.job => C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Templates\6480-NendangBro.comFirewallRules: [{EE54A0CB-D14A-44D3-9A1D-3A2BEFFA27A4}] => (Allow) C:\Windows\SysWOW64\muzapp.exeFirewallRules: [{740827E6-9885-4207-A558-85E0F48E3314}] => (Allow) C:\Windows\SysWOW64\muzapp.exeEmptyTemp:Reboot:end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Смените все важные пароли на веб-сервисах, могли быть украдены. Сообщите что с проблемой. Edited November 19, 2015 by Sandor Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 Fixlog.txt Fixlog.txt Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 19, 2015 Report Share Posted November 19, 2015 Сообщите что с проблемой ?? Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию. Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 Сообщите что с проблемой ?? Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию. Компьютер больше не перезагружается при запуске различных программ. Меня смущает csrss.exe в процессах, он там должен быть? И для меня важно теперь проверить компьютер на факт кражи паролей Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 Дополнительно: у Вас Хром установлен тестовой версии. Удалите с сохранением данных, скачайте и установите актуальную версию. У меня хром стоит???? :tooth: Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 (edited) И для меня важно теперь проверить компьютер на факт кражи паролей *Другой, основной мой компьютер. ps/ следов хрома на буке я не обнаружил. Edited November 19, 2015 by Resing Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 19, 2015 Report Share Posted November 19, 2015 Меня смущает csrss.exe в процессах, он там должен быть? Нормальный системный процесс. Тот, что удалили, под него маскировался. У меня хром стоит? В логах был виден. Другой, основной мой компьютер Другой компьютер - другая тема. Здесь в завершение: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Подробнее читайте в этом руководстве. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 SecurityCheck.txt SecurityCheck.txt Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 adwcleaner.exe мы вроде не устанавливали Quote Link to comment Share on other sites More sharing options...
Sandor Posted November 19, 2015 Report Share Posted November 19, 2015 adwcleaner.exe мы вроде не устанавливали Да, виноват, это я "промахнулся")) ------------------------------- [ Windows ] ------------------------------- Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления VLC media player 1.0.5 v.1.0.5 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8 ^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-x64.exe). Желательно отключить Java-плагин в браузере!!!^ Java 7 Update 5 v.7.0.50 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8 ^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше (jre-7u80-windows-i586.exe). Желательно отключить Java-плагин в браузере!!!^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.3.4.0.2710 Внимание! Скачать обновления Прочтите и выполните Рекомендации после удаления вредоносного ПО Установите антивирус. Этот Бронток давным давно всем известен и удивительно, как Вы его подхватили. 1 Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 Этот Бронток давным давно всем известен и удивительно, как Вы его подхватили. Ну моя супруга многое может))), Это её бук. Quote Link to comment Share on other sites More sharing options...
Resing Posted November 19, 2015 Author Report Share Posted November 19, 2015 SecurityCheck by glax24 v.1.4.0.32 [01.11.15] WebSite: www.safezone.cc DateLog: 20.11.2015 01:01:59 Path starting: C:\Users\Lenovo\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Lenovo VersionXML: 2.08is-18.11.2015 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 26.04.2013 13:45:52 Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe Системный диск: C: ФС: [NTFS] Емкость: [97.6 Гб] Занято: [42.5 Гб] Свободно: [55.1 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18097 Контроль учётных записей пользователя включен Уведомлять о загрузке и установке обновлений Дата установки обновлений: 2015-11-14 19:01:09 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и устарел) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.30 beta 6 (64-bit) v.5.30.6 [+] 7-Zip 9.20 (x64 edition) v.9.20.00.0 DivX Setup v.2.6.1.8 VLC media player v.2.2.1 -------------------------------- [ Java ] --------------------------------- Java 8 Update 66 (64-bit) v.8.0.660.18 [+] --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.19.0.0.241 Adobe Flash Player 19 ActiveX v.19.0.0.245 Adobe Flash Player 19 NPAPI v.19.0.0.245 ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 42.0 (x86 ru) v.42.0 Opera 12.17 v.12.17.1863 Opera Stable 33.0.1990.122 v.33.0.1990.122 [+] --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.42.0.0.5780 ----------------------------- [ End of Log ] ------------------------------ Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.