Решена Вирусы на компьютере

Статус
В этой теме нельзя размещать новые ответы.

Elena

Новый пользователь
Сообщения
5
Реакции
0
Доброго времени суток! Ребята, прошу помочь с вирусами на компьютере. В частности самооткрывающиеся вкладки в Chrom'e, сбой активации Windows, 2 раза при включении открывался просто голый розовый экран, без ярлыков и т.д. Не знаю, что делать, винду менять не очень хочется. Файл с логами прикрепила ниже
 

Вложения

  • CollectionLog-2017.10.14-21.46.zip
    82.7 KB · Просмотры: 2
Что устанавливали перед возникновением проблем? Amigo сами устанавливали? Если нет удалите. Удалите Zaxar Browser (если нет возможности удалить штатными средствами сообщите об этом, удалим вручную)
85.142.148.1 - ваш провайдер?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SetServiceStart('clsid34928', 4);
 StopService('clsid34928');
 QuarantineFile('C:\Program Files (x86)\JgBxoaZwmZRU2\kAufJbrjkxVpW.dll', '');
 QuarantineFile('C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll', '');
 QuarantineFile('C:\ProgramData\system64\UsersControlService.exe', '');
 QuarantineFile('C:\Program Files (x86)\Miped\QWiget\THIS IS WIIIGET!.exe', '');
 QuarantineFile('C:\Program Files (x86)\UUMEfTWNyIE\kbYaKZWvA.dll', '');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe', '');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '');
 QuarantineFile('C:\ProgramData\system32\UsersControl.exe', '');
 QuarantineFile('c:\users\Елена\appdata\roaming\mp3tagapp2\mp3tagapp.exe', '');
 QuarantineFile('c:\programdata\system32\crashhandlerservice.exe', '');
 QuarantineFile('c:\programdata\clsid34928.exe', '');
 DeleteFile('c:\programdata\system32\crashhandlerservice.exe', '32');
 DeleteFile('C:\ProgramData\system32\UsersControl.exe', '32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe', '32');
 DeleteFile('C:\Program Files (x86)\UUMEfTWNyIE\kbYaKZWvA.dll', '32');
 DeleteFile('C:\ProgramData\clsid34928.exe', '32');
 DeleteFile('C:\ProgramData\system64\UsersControlService.exe', '32');
 DeleteFile('C:\Users\Елена\AppData\Roaming\Mp3tagApp2\Mp3tagApp.exe', '32');
 DeleteFile('C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll', '32');
 DeleteFile('C:\Windows\system32\Tasks\BYkucKAbLoZInYF', '64');
 DeleteFile('C:\Windows\system32\Tasks\BYkucKAbLoZInYF2', '64');
 DeleteFile('C:\Windows\system32\Tasks\urlopener', '64');
 DeleteFile('C:\Program Files (x86)\JgBxoaZwmZRU2\kAufJbrjkxVpW.dll', '32');
 DeleteFile('C:\Windows\system32\Tasks\zXHETIgCcYWbiA', '64');
 DeleteService('clsid34928');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'THIS IS WIIIGET!');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'UsersControl');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\UUMEfTWNyIE\tEbUxotx.dll
O4 - HKCU\..\Run: [Mp3tagApp] C:\Users\Елена\AppData\Roaming\Mp3tagApp2\Mp3tagApp.exe
O4 - HKCU\..\Run: [THIS IS WIIIGET!] C:\Program Files (x86)\Miped\QWiget\THIS IS WIIIGET!.exe (file missing)
O4 - HKCU\..\Run: [UsersControlService] C:\ProgramData\system64\UsersControlService.exe
O4 - HKCU\..\Run: [UsersControl] C:\ProgramData\system32\UsersControl.exe
O22 - Task (Queued): urlopener - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe "http://thetraff.ru"
O22 - Task (Ready): BYkucKAbLoZInYF - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll",#1
O22 - Task (Ready): BYkucKAbLoZInYF2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll",#1
O22 - Task (Ready): zXHETIgCcYWbiA - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\JgBxoaZwmZRU2\kAufJbrjkxVpW.dll",#1

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Вспомнила, что в основном все проблемы начались после моих попыток восстановить слетевшую активацию Windows. Amigo удалила, устанавливался он самостоятельно. Zaxar удалить не получилось, не могу найти его в списке программ, а в корне папки деинсталлятора нет.
Насчет провайдера не знаю, информацию о нем прикреплю скриншотом, мой айпи - 85.142.149.109
Сделала все, что вы сказали. В утилите HiJackThis совпала только одна строка с тем, что вы написали.
Прикрепляю отчет из ADWCleaner'a и скриншот (провайдер)
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    17.2 KB · Просмотры: 81
  • AdwCleaner[S0].txt
    8.2 KB · Просмотры: 1
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Elena
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Готово.
Отчеты прикрепила ниже.
 

Вложения

  • Addition.txt
    33.4 KB · Просмотры: 1
  • FRST.txt
    25.1 KB · Просмотры: 1
  • Shortcut.txt
    68.3 KB · Просмотры: 1
  • AdwCleaner[C0].txt
    7.2 KB · Просмотры: 2
Elena, Browser Manager тоже деинсталируйте. Раз уж решили удалить mail.ru, то и я буду удалять хвосты.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\ProgramData\clsid61294.exe;C:\Users\Все пользователи\clsid61294.exe
() C:\ProgramData\clsid61294.exe
C:\ProgramData\clsid61294.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2648966139-1870286196-2550019759-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B36F7AEA6-FE2F-4004-BD43-0C9B5D678158%7D&gp=811041
SearchScopes: HKU\S-1-5-21-2648966139-1870286196-2550019759-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B36F7AEA6-FE2F-4004-BD43-0C9B5D678158%7D&gp=811041
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B067F40AB-E03F-4B32-A9C8-A16466202948%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Елена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-09-06]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Елена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-09-06]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Елена\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-09-06]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820321"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BE1A72F35-D693-4343-9562-F6822DFA7026%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru_
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
R2 clsid61294; C:\ProgramData\clsid61294.exe [1110720 2017-09-06] () <==== ATTENTION
S2 BitStreamSvc; %SystemRoot%\System32\bstreamsvc.dll [X]
C:\Windows\System32\bstreamsvc.dll
S2 optsatadc; %SystemRoot%\System32\optsatadc.dll [X]
C:\Windows\System32\optsatadc.dll
2017-10-15 17:11 - 2017-09-06 01:59 - 001110720 _____ C:\Users\Все пользователи\clsid61294.exe
2017-10-15 17:11 - 2017-09-06 01:59 - 001110720 _____ C:\ProgramData\clsid61294.exe
2017-09-21 01:56 - 2017-10-15 17:27 - 000000000 ____D C:\Program Files (x86)\UUMEfTWNyIE
2017-09-21 01:56 - 2017-10-15 17:11 - 000000000 ____D C:\Program Files (x86)\JgBxoaZwmZRU2
2017-09-20 23:43 - 2017-10-15 17:11 - 000000000 ____D C:\Program Files (x86)\PieSfXRZU
2017-09-20 23:43 - 2017-09-21 01:55 - 000000000 ____D C:\Users\Елена\AppData\Local\boPtdlZMxiKPIDyxr
2017-09-20 23:43 - 2017-09-20 23:43 - 000000000 ____D C:\Program Files (x86)\ZeLAiWbMkaUn
2017-09-20 23:43 - 2017-10-15 19:16 - 000000292 _____ C:\Windows\Tasks\BYkucKAbLoZInYF.job
Task: {0C550AD7-B9F1-4A2F-9B28-677B8EB1FB30} - \urlopener -> No File <==== ATTENTION
Task: {28AEE1B9-65C5-4E7E-8999-F335F9FB072F} - \BYkucKAbLoZInYF2 -> No File <==== ATTENTION
Task: {8BBB6826-CD34-4B3F-A226-8CBDB3153B1B} - \zXHETIgCcYWbiA -> No File <==== ATTENTION
Task: {CB432645-2CF7-41F6-9B5C-97354D1A33E3} - System32\Tasks\internet-lifeorggolets => C:\Users\Елена\AppData\Local\Amigo\Application\amigo.exe
Task: {DDB618D7-F468-4A02-B665-542539F6B1CD} - System32\Tasks\jurnal-onlyorgntech => C:\Users\Елена\AppData\Local\Amigo\Application\amigo.exe
Task: {ECE2DAFF-E1E5-42EF-ACF2-FA4B21435905} - \BYkucKAbLoZInYF -> No File <==== ATTENTION
Task: C:\Windows\Tasks\BYkucKAbLoZInYF.job => C:\Program Files (x86)\PieSfXRZU\Afbjxp.dll
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
После лечения, обязательно смените важные пароли, злоумышленники могли иметь доступ к вашему компьютеру.
 
Сделала, отчет прикрепила
 

Вложения

  • Fixlog.txt
    10.7 KB · Просмотры: 2
Какие проблемы еще остались?
 
всё супер!!!!!!!! спасибо Вам огромное)))))))))))
 
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу