Решена Удаление вирусов

[Martin]

Koza Nozdri,

 

[Кирилл]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Повторите сбор логов по правилам.
Для повторной диагностики запустите снова Autologger.
В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

[Martin]

Koza Nozdri,

 

[Кирилл]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Task: {F6AD922A-2D2F-4004-AD48-9EEC0523E602} - \Microsoft\Windows\SystemRestore\Mobogenie -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [346]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [346]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [346]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
AlternateDataStreams: C:\Users\Bars\Application Data:NT [40]
AlternateDataStreams: C:\Users\Bars\Application Data:NT2 [346]
AlternateDataStreams: C:\Users\Bars\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Bars\AppData\Roaming:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [346]
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder\Zaxar Games Browser.lnk
DeleteKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32:\QQPCTray
FirewallRules: [{FB2356F0-CE93-49B0-9E4B-1C5FCB37881F}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{2F03C442-92DF-4F3E-9251-0141D55F46C4}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
HKLM-x32\...\Run: [gmsd_ru_005010241] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {9961627E-4059-41B4-8E0E-A7D6B3854ADF} -> No File
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe', '');
QuarantineFile('C:\PROGRA~3\Baidu\BaiduAn\SWMANA~1\-E773~1.LNK', '');
QuarantineFileF('C:\ProgramData\oTnHOKbhZ', '*', true, '', 0, 0);
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe', '');
DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.8029\BDASoftMgr.exe', '');
DeleteFile('C:\ProgramData\oTnHOKbhZ\QWHgXKrwA3.bat', '');
DeleteFileMask('C:\Program Files (x86)\Baidu', '*', true);
DeleteFileMask('C:\ProgramData\oTnHOKbhZ', '*', true);
DeleteDirectory('C:\Program Files (x86)\Baidu');
DeleteDirectory('C:\ProgramData\oTnHOKbhZ');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Повторите логи.

 

[Martin]

Какие именно логи нужно было повторить? Автологера?

 

[Кирилл]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  ExpRegKey('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder','C:\exp.reg');
  QuarantineFile('C:\exp.reg', '');
   QuarantineFile('D:\Documents\systemfile.exe', '');
   QuarantineFile('C:\Windows\xhunter1.sys', '');
   QuarantineFile('C:\PROGRA~3\Baidu\BaiduAn\SWMANA~1\-E773~1.LNK', '');
   DeleteFile('C:\PROGRA~3\Baidu\BaiduAn\SWMANA~1\-E773~1.LNK');
   DeleteFile('D:\Documents\systemfile.exe', '32');
   DeleteFileMask('C:\ProgramData\Baidu', '*', true);
   DeleteDirectory('C:\ProgramData\Baidu');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemClose');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[Martin]

Карантин с помощью формы отправила.

 

[Кирилл]

Этот сайт вам знаком?

aeriagames.com

Файл C:\Windows\SYSWOW64\AmigoKeeper.exe удалите самостоятельно.

Какие проблемы остаются?

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

 

[Martin]

Этот сайт вам знаком?

Нет, не знаком.

Файл и утилиту удалила.

Никакие окна больше не выскакивают, в диспетчере подозрительного вроде нет. Антивирус все еще не обновляется. Возможно, стоит переустановить его? Что можно сделать?
В остальном все нормально. Большое спасибо.

 

[Кирилл]

Удалите папку C:\frst

Пофиксите в HijackThis следующие строчки:

O15 - Trusted Zone: http://*.aeriagames.com

Microsoft Extension,SafeFinder и Driver Booster рекомендую удалить через установку и удаление программ.

Устраните:

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

Java 8 Update 60 (64-bit) v.8.0.600.27 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u92-windows-x64.exe)^

Adobe AIR v.15.0.0.356 Внимание! Скачать обновления
Adobe Flash Player 16 NPAPI v.16.0.0.235 Внимание! Скачать обновления
Adobe Shockwave Player + Authorware Web Player v.v12.1.5.155 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.

Google Chrome v.39.0.2171.95 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Выполните рекомендации после лечения.

Удачи.

 

[Martin]

Microsoft Extension,SafeFinder

Не удаляются. При удалении первого пишет "расширение удалено", но в списке он остается. Со вторым вообще никакого окна, только браузер выключается.
В остальном все прекрасно)
Спасибо.

 

[Кирилл]

Сделайте экспорт раздела реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​
5. Подробнее читайте в руководстве Как подготовить лог UVS.

Дочистим.

 

[Martin]

Koza Nozdri,

 

[Кирилл]

Давайте так попробуем:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v3.87.3 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.3
   v388c
   exec C:\Users\Bars\AppData\Roaming\Micron\uninstall.exe
   exec32 "C:\Program Files (x86)\Common Files\Blueity\uninstall.exe" shuz -f "C:\Program Files (x86)\Common Files\Blueity\uninstall.dat" -a uninstallme DFC9DDD3-2098-4302-9BD9-E47BF5103CFB DeviceId=d78625c4-e23f-dfd0-cd22-d8a33df416d8 BarcodeId=51199004 ChannelId=4 DistributerName=APSF3GInstall

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
   С предложениями о деинсталляции соглашайтесь.

Сообщите как прошло.

 

[regist]

+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Martin]

SafeFinder удалить после скрипта получилось. Microsoft Extension в списке по-прежнему остается, хотя и выдает так же "расширение удалено".

 

[Кирилл]

Удалите в ADW все,что найдено и прикрепите отчёт об удаление.

Сделайте экспорт раздела реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall

 

[Martin]

Кажется, дочистили) В списке программ его больше нет, ADW ничего не находит.

 

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

[Martin]

Уязвимостей не нашёл.

Огромное спасибо вам! Комп как новенький.
Хороший проект, жаль, раньше не попался на глаза. Буду советовать друзьям.
Спасибо.