Вирус не дает загрузиться системе, запускает браузер

[Ганс 0]

Недавно вирус только запускал сообщения типа "вы тысячный посетитель" и запускал браузер с казино, танками и другими сайтами.

Теперь не дает запуститься системе: при загрузке системы черный экран и курсор.

Диспетчер задач запускается, им я снимаю два процесса подозрительных и система загружается.

 

Утилитами удалил некоторые трояны, проблема не исчезла.

 

Программой Getsysteminfo я информацию собрал, но сайт не загружает архив, хотя он целый, вот такое сообщение выдает:

Формат файла GetSystemInfo_X-ЏЉ_x_2016_06_14_13_05_54.zip в GetSystemInfo_X-РџРљ_x_06_14_2016_13_05_45.zip неверный : application/zip

 

Вот логи других программ:

hijackthis.log

 

 

 

 

virusinfo_syscheck.htm

virusinfo_syscheck.zip

 

 

 

 

Это я в AVZ в стандартных скриптах выполнил 2,3 и 7 пункт.

 

Что делать со всем этим?

 

virusinfo_syscheck.xml

[Elly 3 258]

Что делать со всем этим?  

Прочитать правила и приложить то, что в них написано. Карантин выкладывать вообще запрещено правилами форума.

 

 

Программой Getsysteminfo я информацию собрал, но сайт не загружает архив, хотя он целый, вот такое сообщение выдает:

Вот это "_X-ЏЉ_x_" из названия удалите.

[Ганс 0]

Я эту информацию собирал, когда был за зараженным компьютером. Сейчас опубликовал со здорового. Я думал, что тут по старым правилам все.

Тогда я когда буду у зараженного компьютера, сделаю по-новому.

Те нечитаемые символы удалял, все равно не загружает.

[Sandor 1 253]

GSI отчет возможно и не понадобится.

[Ганс 0]

Т.к. система не загружалась - черный экран с курсором, я начал собирать логи в безопасном режиме, в логе увидел имя файла, который не давал запустить систему, очистил папку temp, система загрузилась в обычном режиме и сборка логов продолжилась.

 

После загрузки системы я обнаружил, что слетели драйвера у сетевой карты и у клавиатуры, я удалил Drweb, сетевая карта заработала, клавиатура не работает все еще.

 

Когда не работала еще сетевая карта, выскакивали сообщения "была запрошена информация с <рекламный сайт>" и предлагалось подключиться к интернету.

 

CollectionLog-2016.06.17-18.37.zip

 

Логи сделал. Как теперь оживить драйвер клавиатуры?

[Sandor 1 253]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SmartAdverts for Google Chrome™

sunnyday version 1.1

Zip Extractor Packages

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\x\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe"', '');
 QuarantineFile('C:\Users\x\AppData\Local\Temp\3744101', '');
 QuarantineFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe', '');
 QuarantineFile('C:\Users\x\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
 DeleteFile('C:\Windows\Tasks\At1.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Safebrowser" /F', 0, 15000, true);
 DeleteFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe"', '32');
 DeleteFile('C:\Users\x\AppData\Local\Temp\3744101', '32');
 DeleteFile('C:\Users\x\AppData\Local\Temp\b34btbztdb0vavaw.exe', '32');
 DeleteFile('C:\Users\x\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
 DeleteFileMask('c:\users\x\appdata\local\microsoft\extensions', '*', true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: AVdowloads - {375D77F1-EA02-4D3B-976C-79CAA527F956} - (no file)
O2 - BHO: ContentBlockerBrowserHelperObject - {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358} - (no file)
O2 - BHO: Safe Money Plugin - {E3D96E85-529D-4269-AC6A-97CF9E2221E3} - (no file)
O2 - BHO: VirtualKeyboardBrowserHelperObject - {B5D5BB14-C8E2-478D-9C97-574AC10AF9E8} - (no file)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Ганс 0]

Все сделал, клавиатуру оживлял отдельно.

 

CollectionLog-2016.06.19-13.06.zip

 

Из лаборатории пришло такое письмо:
 

 

KLAN-4471792688

 

Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

extsetup.log,
le,
updver

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

 

[Sandor 1 253]

• Скачайте AdwCleaner (by TollsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ганс 0]

AdwCleanerC1.txt

AdwCleanerS2.txt

 

Два файла почему-то создались.

 

Я потом очистку нажал, чтобы лишнее удалилось.

 

Еще интернет начинает тормозить, сначала нормально грузятся страницы, потом через 10 минут совсем перестают загружаться.

После перезагрузки снова нормально грузятся.

 

Это может быть от действий лишних программ?

[Sandor 1 253]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ганс 0]

И как понять, где вредоносные программы в этих логах?

Shortcut.txt

Addition.txt

FRST.txt

[Sandor 1 253]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3991094414-1503772035-2140201005-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3991094414-1503772035-2140201005-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
FF NewTab: hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm
CHR StartupUrls: ChromeDefaultData -> "hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm"
CHR DefaultSearchURL: ChromeDefaultData -> hxxp://d391tbweljugwk.cloudfront.net/chrome.php?q={searchTerms}&ts=AHEqBHUmA3IlBE..&v=20160611&uid=1C9AD220C6F97F23B3622AB329FD794F&ptid=sqr1&mode=loadm
CHR DefaultSearchKeyword: ChromeDefaultData -> yessearches
CHR Extension: (SL for Google Chrome™) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-06-17]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\x\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ehfjihahbphdpljpiadbkmgmhnfehhgi [2016-06-17]
AlternateDataStreams: C:\Windows\win.ini:frp34d [226]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Chrome установлен тестовой версии. Сохраните, если нужно, закладки, удалите браузер. Скачайте и установите актуальную версию.

 

Сообщите что с проблемой.

[Ганс 0]

Вот лог

Fixlog.txt

[Sandor 1 253]

что с проблемой

?

[Ганс 0]

Вирусы уже не беспокоят. Благодарю за помощь