Вирус (скачал Exel)

@Koxpit · Регистрация: 11.07.2017

Author24 — интернет-сервис помощи студентам

Проверил файл антивирусом, ничего не обнаружилось и решил установить. После установки начали устанавливаться различные программы, иконки разные появились, обнаружил файлы tmp и сам файл Exel. Удалить Exel не получилось, так как он открыт в tmp файле. Зайти в ВК не могу, выводит, что это сайт подделка. Ноутбук виснет даже в безопасном режиме.

@Sandor · 04.04.2018, 10:32

Здравствуйте!

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Внимание! Рекомендации написаны специально для пользователя Koxpit. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DriverPack Cloud
My-top-apps, версия 1.0
One System Care
Security Task Manager 2.1j
Smart Application Controller
Unity Web Player
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\lenovo\appdata\local\temp\is-hlh6t.tmp\my-top-apps.tmp');
 QuarantineFile('c:\users\lenovo\appdata\local\temp\is-hlh6t.tmp\my-top-apps.tmp', '');
 DeleteFile('c:\users\lenovo\appdata\local\temp\is-hlh6t.tmp\my-top-apps.tmp', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Koxpit · 04.04.2018, 15:34 **[ТС]**

Обновление баз недоступно, нежелательное ПО удалил

Добавлено через 21 минуту
Скрипт выполнять?

@Sandor · 04.04.2018, 15:49

Сообщение от Koxpit

Обновление баз недоступно

Проделайте процедуру без обновления баз.

Сообщение от Koxpit

Скрипт выполнять?

Да.

@Koxpit · 04.04.2018, 16:29 **[ТС]**

Выполнил

@Sandor · 04.04.2018, 16:42

Web Viewer Pro - ставили самостоятельно? Если нет, тоже удалите.

Подготовьте и прикрепите лог сканирования AdwCleaner.

@Koxpit · 04.04.2018, 17:02 **[ТС]**

Выполнил

@Sandor · 04.04.2018, 17:03

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Koxpit · 04.04.2018, 17:48 **[ТС]**

Прикрепил

@Sandor · 05.04.2018, 08:37

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
FF Homepage: Mozilla\Firefox\Profiles\iulc50gl.default -> hxxp://mail.ru/cnt/10445?gp=811600
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\iulc50gl.default\Extensions\homepage@mail.ru.xpi [2018-04-03]
FF Extension: (Поиск Mail.Ru) - C:\Users\lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\iulc50gl.default\Extensions\search@mail.ru.xpi [2018-04-03]
FF Extension: (Визуальные закладки) - C:\Users\lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\iulc50gl.default\Extensions\vb@yandex.ru.xpi [2018-02-08]
FF Extension: (Пульт) - C:\Users\lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\iulc50gl.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-04-03]
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811600
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811600"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B845809B7-2648-4806-914D-ACCA203FA7B0%7D&gp=811610
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
C:\Users\lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\npielheglhjmemlcbbdamaopkadoefac
2018-04-03 21:42 - 2018-04-03 21:52 - 209712703 _____ ( ) C:\Users\lenovo\Downloads\Excel_2010_Windows.exe
HKLM\...\StartupApproved\StartupFolder: => "Zaxar Games Browser.lnk"
HKU\S-1-5-21-1182111495-2822884121-3090915649-1001\...\StartupApproved\Run: => "IrbaDwpuCykvwZ.exe"
HKU\S-1-5-21-1182111495-2822884121-3090915649-1001\...\StartupApproved\Run: => "BMSMKSUEQY.exe"
HKU\S-1-5-21-1182111495-2822884121-3090915649-1001\...\StartupApproved\Run: => "3V4jSSkH0NMEpf.exe"
HKU\S-1-5-21-1182111495-2822884121-3090915649-1001\...\StartupApproved\Run: => "LIQLHMSWXK.exe"
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Koxpit · 05.04.2018, 14:08 **[ТС]**

Выполнил

@Sandor · 05.04.2018, 15:16

Что сейчас с проблемой?

@Koxpit · 05.04.2018, 15:30 **[ТС]**

Вроде все в порядке

@Sandor · 05.04.2018, 15:40

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Koxpit · 05.04.2018, 16:15 **[ТС]**

Прикрепил

@Sandor · 05.04.2018, 16:20

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.309.16299.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player 2.1.3 v.2.1.3 Внимание! Скачать обновления
7-Zip 9.32 (x64 edition) v.9.32.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
VLC media player v.2.2.8 Внимание! Скачать обновления
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Telegram Desktop version 1.2.6 v.1.2.6 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u162-windows-x64.exe)^
Java SE Development Kit 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u162-windows-x64.exe)^
Java SE Development Kit 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u162-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 58.0.2 (x64 ru) v.58.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.18.2.1.174 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Mozilla Firefox 54.0 (x86 ru) v.54.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Safari v.5.34.57.2 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Менеджер браузеров v.3.0.6.829 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Рекомендации после удаления вредоносного ПО

Новые блоги и статьи
Как написать микросервис на C# с Kafka, MediatR, Redis и GitLab CI/CD InfoMaster 15.01.2025 В современной разработке программного обеспечения микросервисная архитектура стала стандартом де-факто для создания масштабируемых и гибких приложений. Этот подход позволяет разделить сложную систему. . .	Что такое CQRS и как это реализовать на C# с MediatR InfoMaster 15.01.2025 Концепция CQRS и её роль в современной разработке В современном мире разработки программного обеспечения архитектурные паттерны играют ключевую роль в создании масштабируемых и поддерживаемых. . .	Как настроить CI/CD с Azure DevOps InfoMaster 15.01.2025 CI/ CD, или непрерывная интеграция и непрерывное развертывание, представляет собой современный подход к разработке программного обеспечения, который позволяет автоматизировать и оптимизировать процесс. . .	Как настроить CI/CD с помощью Jenkins InfoMaster 15.01.2025 Введение в CI/ CD и Jenkins В современной разработке программного обеспечения непрерывная интеграция (CI) и непрерывная доставка (CD) стали неотъемлемыми элементами процесса создания качественных. . .	Как написать микросервис на Go/Golang с Kafka, REST и GitHub CI/CD InfoMaster 14.01.2025 Определение микросервиса, преимущества использования Go/ Golang Микросервис – это архитектурный подход к разработке программного обеспечения, при котором приложение состоит из небольших, независимо. . .	Как написать микросервис с нуля на C# с RabbitMQ, CQRS, Swagger и CI/CD InfoMaster 14.01.2025 В современном мире разработки программного обеспечения микросервисная архитектура стала стандартом де-факто для создания масштабируемых и гибких приложений. Этот архитектурный подход предполагает. . .
Как создать интернет-магазин на PHP и JavaScript InfoMaster 14.01.2025 В современном мире электронная коммерция стала неотъемлемой частью бизнеса. Создание собственного интернет-магазина открывает широкие возможности для предпринимателей, позволяя достичь большей. . .	Как написать Тетрис на Ассемблере InfoMaster 14.01.2025 Тетрис – одна из самых узнаваемых и популярных компьютерных игр, созданная в 1984 году советским программистом Алексеем Пажитновым. За прошедшие десятилетия она завоевала симпатии миллионы людей по. . .	Как создать игру "Танчики" на Unity3d и C# InfoMaster 14.01.2025 Разработка игр – это увлекательный процесс, сочетающий в себе творчество и технические навыки. В этой статье мы рассмотрим создание классической игры "Танчики" с использованием Unity3D и языка. . .	Организую платный онлайн микро-курс по доработке Android-клиента Telegram _Ivana 14.01.2025 Официальная версия и распространенные форки не полностью устраивают? Сделай свою кастомную версию клиента! 4 занятия по 2 часа (2 недели пн, ср 19:00-21:00 по Москве). Первое вводное занятие. . .	Как создать приложение для фитнеса для iOS/iPhone на Kotlin InfoMaster 14.01.2025 Создание собственного фитнес-приложения — это не только захватывающий, но и полезный процесс, ведь оно может стать вашим верным помощником на пути к здоровому и активному образу жизни. В современных. . .	Как создать приложение магазина для iOS/iPhone на Swift InfoMaster 14.01.2025 Введение в разработку iOS-приложений Разработка приложений для iPhone и других устройств на базе iOS открывает огромные возможности для создания инновационных мобильных решений. В данной статье мы. . .

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,225
	04.04.2018, 10:32	2
	Здравствуйте! Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. (Находится в папке ...\Autologger\AVZ) Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем *virusinfo_files_<имя_ПК>.zip* Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Внимание! Рекомендации написаны специально для пользователя Koxpit. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: DriverPack Cloud My-top-apps, версия 1.0 One System Care Security Task Manager 2.1j Smart Application Controller Unity Web Player Служба автоматического обновления программ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\lenovo\appdata\local\temp\is-hlh6t.tmp\my-top-apps.tmp'); QuarantineFile('c:\users\lenovo\appdata\local\temp\is-hlh6t.tmp\my-top-apps.tmp', ''); DeleteFile('c:\users\lenovo\appdata\local\temp\is-hlh6t.tmp\my-top-apps.tmp', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Koxpit 0 / 0 / 0 Регистрация: 11.07.2017 Сообщений: 19
	04.04.2018, 15:34 [ТС]	3
	Обновление баз недоступно, нежелательное ПО удалил Добавлено через 21 минуту Скрипт выполнять? 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,225
	04.04.2018, 15:49	4
	Сообщение от Koxpit Обновление баз недоступно Проделайте процедуру без обновления баз. Сообщение от Koxpit Скрипт выполнять? Да. 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,225
	04.04.2018, 16:42	6
	Web Viewer Pro - ставили самостоятельно? Если нет, тоже удалите. Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,225
	04.04.2018, 17:03	8
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,225
	05.04.2018, 15:16	12
	Что сейчас с проблемой? 0

@Koxpit 0 / 0 / 0 Регистрация: 11.07.2017 Сообщений: 19
	05.04.2018, 15:30 [ТС]	13
	Вроде все в порядке 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,225
	05.04.2018, 15:40	14
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22316 / 15797 / 3051 Регистрация: 08.10.2012 Сообщений: 64,225
	05.04.2018, 16:20	16
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.309.16299.0 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------- [ OtherUtilities ] ---------------------------- VLC media player 2.1.3 v.2.1.3 Внимание! Скачать обновления 7-Zip 9.32 (x64 edition) v.9.32.00.0 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ VLC media player v.2.2.8 Внимание! Скачать обновления WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Telegram Desktop version 1.2.6 v.1.2.6 Внимание! Скачать обновления *^Необязательное обновление.^* -------------------------------- [ Java ] --------------------------------- Java SE Development Kit 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-8u162-windows-x64.exe)^ Java SE Development Kit 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-8u162-windows-x64.exe)^ Java SE Development Kit 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-8u162-windows-i586.exe)^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 58.0.2 (x64 ru) v.58.0.2 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Yandex v.18.2.1.174 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Mozilla Firefox 54.0 (x86 ru) v.54.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Safari v.5.34.57.2 Данная программа больше не поддерживается разработчиком. ---------------------------- [ UnwantedApps ] ----------------------------- Менеджер браузеров v.3.0.6.829 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Рекомендации после удаления вредоносного ПО 0