Вирус с самостоятельной загрузкой программ

@D_jul · Регистрация: 16.12.2016

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Подцепила вирус на комп. Теперь у меня масса программ, и даже не надо их устанавливать :-(. Help, ПЛИЗЗ.

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 16.12.2016 21:00:41
Path starting: C:\Users\Юля\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Юля
VersionXML: 3.63is-16.12.2016
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 10.12.2014 06:21:59
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Ineat\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [52.5 Гб] Занято: [32.5 Гб] Свободно: [20 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.16476 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.4763.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Антивирус Касперского (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Антивирус Касперского (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Антивирус Касперского (выключен и обновлен)
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1611
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 4.0.0 (64-разрядная) v.4.0.0 Внимание! Скачать обновления
TeamViewer 11 v.11.0.65452 Внимание! Скачать обновления
TeamViewer 11 (TeamViewer) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 23 ActiveX v.23.0.0.207 Внимание! Скачать обновления
Adobe Flash Player 20 NPAPI v.20.0.0.235 Внимание! Скачать обновления
Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.
Adobe Reader XI (11.0.02) - Russian v.11.0.02 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Internet Explorer\iexplore.exe v.11.0.9600.16428
C:\Program Files (x86)\Internet Explorer\iexplore.exe v.11.0.9600.16428
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus 6.0 (AVP) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe v.6.0.4.1611
Защитник Windows (WinDefend) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
amuleC v.1.0.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Update Service(FirefoxU) (FirefoxU) - Служба работает
C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe v.1.0.0.1
C:\Users\Юля\AppData\Roaming\gjcgj\UvConverter.exe v.0.0.0.0
Archer (Archer) - Служба работает
----------------------------- [ End of Log ] ------------------------------

@Sandor · 19.12.2016, 10:46

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@D_jul · 20.12.2016, 18:48 **[ТС]**

@Sandor · 21.12.2016, 10:29

Внимание! Рекомендации написаны специально для пользователя D_jul. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

amuleC
hd task
youndoo - Uninstall
Zaxar Games Browser 4

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 StopService('52194094183647bd249fea6f29b09759');
 QuarantineFile('C:\Users\Юля\appdata\roaming\mydesktop\linkme.exe','');
 QuarantineFile('C:\Program Files (x86)\Pqapynilesp\zujersp.exe','');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
 QuarantineFile('C:\Windows\system32\drivers\52194094183647bd249fea6f29b09759.sys','');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\gjcgj\UvConverter.exe','');
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk', '');
 ExecuteFile('schtasks.exe', '/delete /TN "VCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Shuvudomsasitain Reports" /F', 0, 15000, true);
 DeleteFile('C:\Users\Юля\AppData\Roaming\gjcgj\UvConverter.exe','32');
 DeleteFile('C:\Windows\system32\drivers\52194094183647bd249fea6f29b09759.sys','32');
 DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Program Files (x86)\Pqapynilesp\zujersp.exe','32');
 DeleteFile('C:\Users\Юля\appdata\roaming\mydesktop\linkme.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe', '32');
 DeleteService('52194094183647bd249fea6f29b09759');
 DeleteService('Convxxxx');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(9);
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@D_jul · 21.12.2016, 18:39 **[ТС]**

@Sandor · 22.12.2016, 09:57

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@D_jul · 24.12.2016, 11:24 **[ТС]**

После выполнения шага 1. компьютер перезагрузился, произошла загрузка windows, после этого сообщение "добро пожаловать". Затем Windows script host "Не удается найти файл сценария "c:\windows\run.vbs"". Затем черный экран и значок мышки (двигается по экрану). и все.

@Sandor · 26.12.2016, 10:01

В безопасном режиме загрузиться можете?

@severnyj · 26.12.2016, 10:13

Ctrl - alt - del - диспетчер задач, новая задача - explorer.exe

@D_jul · 07.01.2017, 12:27 **[ТС]**

с новым годом!!

@D_jul · 07.01.2017, 12:30 **[ТС]**

С Рождеством!

@severnyj · 07.01.2017, 12:34

А логи FRST?

Сообщение от D_jul

С Рождеством!

Вас также)

@D_jul · 07.01.2017, 12:35 **[ТС]**

*****

@severnyj · 07.01.2017, 13:00

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
ShellExecuteHooks: No Name - {73538FB6-AB7F-11E6-9B77-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {9283DA12-AA93-11E6-A7AA-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {E2179874-AA94-11E6-9A48-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {DA0E8A06-AA98-11E6-911A-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {EB0D0A78-AAA0-11E6-81FF-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {D248A2C0-AC03-11E6-9CAE-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {5DB1C2B4-AFEF-11E6-B6D9-64006A5CFC23} - C:\Users\Юля\AppData\Roaming\Chataing\Ladusnoverry.dll -> No File
ShellExecuteHooks: No Name - {6477E65A-C5C0-11E6-8017-64006A5CFC35} - C:\Users\Юля\AppData\Roaming\Arerpeckberhpy\Fobich.dll -> No File
HKLM\...\Providers\dk4jtvr7: C:\Program Files (x86)\Thodiing Adapter\local64spl.dll [292864 2016-12-20] ()
HKLM\...\Providers\hl7ipmta: C:\Program Files (x86)\Gredoing Launcher\local64spl.dll [292352 2016-12-21] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\oz9sxxve.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\oz9sxxve.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\oz9sxxve.default -> hxxp://mail.ru/cnt/10445?gp=812273
FF Keyword.URL: Mozilla\Firefox\Profiles\oz9sxxve.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B091B1DDC-76FD-4B94-A123-25D8F68BE66E%7D&gp=812274
FF Extension: (Firefox Hotfix) - C:\Users\Юля\AppData\Roaming\Mozilla\Firefox\Profiles\oz9sxxve.default\Extensions\firefox-hotfix@mozilla.org.xpi [2016-11-20]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Юля\AppData\Roaming\Mozilla\Firefox\Profiles\oz9sxxve.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-11]
FF SearchPlugin: C:\Users\Юля\AppData\Roaming\Mozilla\Firefox\Profiles\oz9sxxve.default\searchplugins\mailru.xml [2016-12-11]
FF DefaultSearchEngine: Firefox\Firefox\Profiles\oz9sxxve.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Firefox\Firefox\Profiles\oz9sxxve.default -> Поиск@Mail.Ru
FF Homepage: Firefox\Firefox\Profiles\oz9sxxve.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=812257
FF Keyword.URL: Firefox\Firefox\Profiles\oz9sxxve.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B091B1DDC-76FD-4B94-A123-25D8F68BE66E%7D&gp=812258
FF Extension: (FF Adr) - C:\Users\Юля\AppData\Roaming\Firefox\Firefox\Profiles\oz9sxxve.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-12-30] [not signed]
FF Extension: (Firefox Hotfix) - C:\Users\Юля\AppData\Roaming\Firefox\Firefox\Profiles\oz9sxxve.default\Extensions\firefox-hotfix@mozilla.org.xpi [2016-11-20]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Юля\AppData\Roaming\Firefox\Firefox\Profiles\oz9sxxve.default\Extensions\homepage@mail.ru [2016-12-10]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Юля\AppData\Roaming\Firefox\Firefox\Profiles\oz9sxxve.default\Extensions\search@mail.ru [2016-12-10]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Юля\AppData\Roaming\Firefox\Firefox\Profiles\oz9sxxve.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-12-10]
FF SearchPlugin: C:\Users\Юля\AppData\Roaming\Firefox\Firefox\Profiles\oz9sxxve.default\searchplugins\mailru.xml [2016-12-03]
FF SearchPlugin: C:\Users\Юля\AppData\Roaming\Firefox\Firefox\Profiles\oz9sxxve.default\searchplugins\searchinme.xml [2016-12-10]
2017-01-03 20:14 - 2017-01-03 20:14 - 00000000 ____D C:\Program Files\f09er35s
2017-01-03 16:14 - 2017-01-04 16:25 - 00000000 ____D C:\Program Files\dk4jtvr7
2016-12-21 18:16 - 2016-12-21 18:24 - 00000000 ____D C:\Users\Юля\AppData\Roaming\Arerpeckberhpy
2016-12-21 18:16 - 2016-12-21 18:16 - 00000000 ____D C:\Users\Юля\AppData\Local\Ghoteghdeqert
2016-12-21 18:16 - 2016-12-21 18:16 - 00000000 ____D C:\Users\Юля\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-12-21 18:16 - 2016-12-21 18:16 - 00000000 ____D C:\Users\￞￫\AppData\Local\Ghoteghdeqert
2016-12-21 18:16 - 2016-12-21 18:16 - 00000000 ____D C:\Users\￞￫\AppData\Local
2016-12-21 18:16 - 2016-12-21 18:16 - 00000000 ____D C:\Users\￞￫\AppData
2016-12-21 18:16 - 2016-12-21 18:16 - 00000000 ____D C:\Users\￞￫
2016-12-20 18:19 - 2017-01-04 19:40 - 00000000 ____D C:\Program Files (x86)\y290r3qk
2016-12-20 18:14 - 2016-12-20 20:25 - 00000000 ____D C:\Program Files (x86)\Pqapynilesp
2016-12-20 18:13 - 2016-12-20 18:13 - 00000000 ____D C:\Users\Юля\AppData\Local\Grinwardchtas
2016-12-20 16:41 - 2016-12-21 18:24 - 00000000 ____D C:\Users\Юля\AppData\Roaming\Chataing
2016-12-20 16:41 - 2016-12-21 18:16 - 00000000 ____D C:\Users\Юля\AppData\Roaming\Profiles
2016-12-20 16:41 - 2016-12-20 18:19 - 00000000 ____D C:\Program Files (x86)\Thodiing Adapter
2016-12-20 16:41 - 2016-12-20 18:19 - 00000000 ____D C:\Program Files (x86)\Grofelepleck
2016-12-20 16:41 - 2016-12-20 16:41 - 00000000 ____D C:\Users\Юля\AppData\Local\Thejaiedphebtain
2016-12-16 17:56 - 2016-12-16 17:56 - 00000000 ____D C:\Program Files (x86)\Oingplberph
2016-12-16 17:55 - 2016-12-16 17:55 - 00000000 ____D C:\Users\Юля\AppData\Local\Lukotion
2016-12-14 18:37 - 2016-12-14 18:37 - 00000000 ____D C:\Users\Юля\AppData\Local\Anoeinggrply
2016-12-14 18:22 - 2016-12-14 18:22 - 00000000 ____D C:\Program Files (x86)\Ineat
2016-12-12 18:42 - 2016-12-12 18:42 - 00000000 ____D C:\Users\Юля\AppData\Local\Fumoch
2016-12-12 18:41 - 2016-12-12 18:41 - 00000000 ____D C:\Users\Юля\AppData\Local\Bemike
2016-12-11 18:19 - 2016-12-11 18:19 - 00000000 ____D C:\Users\Юля\AppData\Local\Daerly
2016-12-11 18:17 - 2016-12-11 18:17 - 00000000 ____D C:\Users\Юля\AppData\Local\Lahusy
2016-12-11 10:49 - 2016-12-21 18:22 - 00000000 ____D C:\Users\Юля\AppData\Roaming\MyDesktop
2016-12-11 10:48 - 2016-12-11 11:43 - 00000000 ____D C:\Users\Юля\AppData\Roaming\Prejesh
2016-12-30 17:47 - 2016-12-02 17:09 - 00000000 ____D C:\Users\Юля\AppData\Roaming\PBot
2016-12-23 17:45 - 2016-12-02 17:16 - 00000008 __RSH C:\Users\Юля\ntuser.pol
2016-12-23 17:45 - 2016-12-02 17:08 - 00000008 __RSH C:\Users\Все пользователи\ntuser.pol
2016-12-23 17:45 - 2016-12-02 17:08 - 00000008 __RSH C:\ProgramData\ntuser.pol
2016-12-09 17:34 - 2016-12-02 17:10 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-09 17:34 - 2016-12-02 17:10 - 00000000 ____D C:\ProgramData\ProductData
C:\Users\Юля\AppData\Local\Temp\libeay32.dll
C:\Users\Юля\AppData\Local\Temp\msvcr120.dll
C:\Users\Юля\AppData\Local\Temp\sqlite3.dll
C:\Users\Юля\AppData\Local\Temp\ya_downloader.exe
C:\Users\Юля\AppData\Local\Temp\~ct10A.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct276E.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct2E36.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct3755.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct47BA.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct4F0A.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct66ED.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct6A0D.tmp.dll
C:\Users\Юля\AppData\Local\Temp\~ct9E0.tmp.dll
HKU\S-1-5-21-2029714910-2823261097-875661835-1000\...\ChromeHTML: -> C:\Program Files (x86)\Ineat\Application\chrome.exe (Google Inc.) <==== ATTENTION
Task: {9E1136CB-A0B6-4A91-B8C7-DD3B376B547D} - System32\Tasks\Microsoft\Windows\Multimedia\MailruSetup => C:\Users\Юля\AppData\Local\MailruSetup\MailruSetup.exe <==== ATTENTION
WMI_ActiveScriptEventConsumer_ASEC: <===== ATTENTION
ShortcutWithArgument: C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.LNK -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Юля\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Юля\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnеt Ехрlоrеr.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Юля\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Ineat\Application\chrome.exe (Google Inc.) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Ineat\Application\chrome.exe (Google Inc.) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Ineat\Application\chrome.exe (Google Inc.) -> hxxp://qtipr.com/
Hosts:
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@D_jul · 07.01.2017, 13:27 **[ТС]**

@severnyj · 07.01.2017, 13:31

Новые логи Автологгером сделайте + AdwCleaner

@D_jul · 07.01.2017, 14:00 **[ТС]**

@severnyj · 07.01.2017, 14:13

Да где ж вы всего столько нахватались-то?((

Выполните скрипт в AVZ

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Юля\AppData\Roaming\Adobe\Manager.exe', '');
 QuarantineFile('c:\programdata\microsoft\visualstudio\14.0\2052\resourcecache.dll', '');
 QuarantineFile('c:\program files (x86)\fawelegehaght\atumuckcogathercmm.dll', '');
 DeleteFile('C:\Program Files (x86)\Fawelegehaght\Atumuckcogathercmm.dll', '32');
 DeleteFile('C:\ProgramData\Microsoft\VisualStudio\14.0\2052\ResourceCache.dll', '32');
 DeleteFile('C:\Users\Юля\AppData\Roaming\Adobe\Manager.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager', '64');
 DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}');
 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\Fawelegehaght\', '*.*', true);
 DeleteDirectory('C:\Program Files (x86)\Fawelegehaght\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Cliptycubis\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MSLN\Parameters', 'ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Скачайте и распакуйте из архива программу ClearLNK.exe

Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.

http://dragokas.com/tools/move.gif

ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

@D_jul · 07.01.2017, 18:43 **[ТС]**

@severnyj · 07.01.2017, 18:57

Уже хорошо, активных зловредов нет.

Сделайте лог сканирования MBAM: https://www.cyberforum.ru/post6500033.html (скриншоты устарели, но думаю разберетесь)

@D_jul 0 / 0 / 0 Регистрация: 16.12.2016 Сообщений: 17
		1
	Вирус с самостоятельной загрузкой программ 16.12.2016, 21:19. Показов 2021. Ответов 31 Метки нет (Все метки) Доброго времени суток. Подцепила вирус на комп. Теперь у меня масса программ, и даже не надо их устанавливать :-(. Help, ПЛИЗЗ. SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16] WebSite: www.safezone.cc DateLog: 16.12.2016 21:00:41 Path starting: C:\Users\Юля\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Юля VersionXML: 3.63is-16.12.2016 ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419) Дата установки ОС: 10.12.2014 06:21:59 Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Ineat\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [52.5 Гб] Занято: [32.5 Гб] Свободно: [20 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.16476 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба остановлена Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ------------------------------ [ MS Office ] ------------------------------ Microsoft Office 2010 x86 v.14.0.4763.1000 ---------------------------- [ Antivirus_WMI ] ---------------------------- Антивирус Касперского (выключен и обновлен) ---------------------------- [ Firewall_WMI ] ----------------------------- Антивирус Касперского (отключен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Антивирус Касперского (выключен и обновлен) Windows Defender (включен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1611 --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 4.0.0 (64-разрядная) v.4.0.0 Внимание! Скачать обновления TeamViewer 11 v.11.0.65452 Внимание! Скачать обновления TeamViewer 11 (TeamViewer) - Служба работает --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 23 ActiveX v.23.0.0.207 Внимание! Скачать обновления Adobe Flash Player 20 NPAPI v.20.0.0.235 Внимание! Скачать обновления Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player. Adobe Reader XI (11.0.02) - Russian v.11.0.02 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files\Internet Explorer\iexplore.exe v.11.0.9600.16428 C:\Program Files (x86)\Internet Explorer\iexplore.exe v.11.0.9600.16428 ------------------ [ AntivirusFirewallProcessServices ] ------------------- Kaspersky Anti-Virus 6.0 (AVP) - Служба работает C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe v.6.0.4.1611 Защитник Windows (WinDefend) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- amuleC v.1.0.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Update Service(FirefoxU) (FirefoxU) - Служба работает C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe v.1.0.0.1 C:\Users\Юля\AppData\Roaming\gjcgj\UvConverter.exe v.0.0.0.0 Archer (Archer) - Служба работает ----------------------------- [ End of Log ] ------------------------------ 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,124
	19.12.2016, 10:46	2
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 2

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,124
	22.12.2016, 09:57	6
	1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@D_jul 0 / 0 / 0 Регистрация: 16.12.2016 Сообщений: 17
	24.12.2016, 11:24 [ТС]	7
	После выполнения шага 1. компьютер перезагрузился, произошла загрузка windows, после этого сообщение "добро пожаловать". Затем Windows script host "Не удается найти файл сценария "c:\windows\run.vbs"". Затем черный экран и значок мышки (двигается по экрану). и все. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,124
	26.12.2016, 10:01	8
	В безопасном режиме загрузиться можете? 1

@severnyj 3930 / 2135 / 355 Регистрация: 04.04.2012 Сообщений: 7,857
	26.12.2016, 10:13	9
	Ctrl - alt - del - диспетчер задач, новая задача - explorer.exe 1

@D_jul 0 / 0 / 0 Регистрация: 16.12.2016 Сообщений: 17
	07.01.2017, 12:30 [ТС]	11
	С Рождеством! 0

@severnyj 3930 / 2135 / 355 Регистрация: 04.04.2012 Сообщений: 7,857
	07.01.2017, 12:34	12
	А логи FRST? Сообщение от D_jul С Рождеством! Вас также) 1

@severnyj 3930 / 2135 / 355 Регистрация: 04.04.2012 Сообщений: 7,857
	07.01.2017, 13:31	16
	Новые логи Автологгером сделайте + AdwCleaner 1

@severnyj 3930 / 2135 / 355 Регистрация: 04.04.2012 Сообщений: 7,857
	07.01.2017, 14:13	18
	Да где ж вы всего столько нахватались-то?(( Выполните скрипт в AVZ Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Юля\AppData\Roaming\Adobe\Manager.exe', ''); QuarantineFile('c:\programdata\microsoft\visualstudio\14.0\2052\resourcecache.dll', ''); QuarantineFile('c:\program files (x86)\fawelegehaght\atumuckcogathercmm.dll', ''); DeleteFile('C:\Program Files (x86)\Fawelegehaght\Atumuckcogathercmm.dll', '32'); DeleteFile('C:\ProgramData\Microsoft\VisualStudio\14.0\2052\ResourceCache.dll', '32'); DeleteFile('C:\Users\Юля\AppData\Roaming\Adobe\Manager.exe', '32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager', '64'); DelBHO('{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}'); DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}'); ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true); DeleteFileMask('C:\Program Files (x86)\Fawelegehaght\', '.', true); DeleteDirectory('C:\Program Files (x86)\Fawelegehaght\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Cliptycubis\Parameters', 'ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\MSLN\Parameters', 'ServiceDll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!! Скачайте и распакуйте из архива программу ClearLNK.exe Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы. http://dragokas.com/tools/move.gif ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой. Если отчет слишком большой, упакуйте его в архив формата ZIP. Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger 1

@severnyj 3930 / 2135 / 355 Регистрация: 04.04.2012 Сообщений: 7,857
	07.01.2017, 18:57	20
	Уже хорошо, активных зловредов нет. Сделайте лог сканирования MBAM: https://www.cyberforum.ru/post6500033.html (скриншоты устарели, но думаю разберетесь) 1