Китайский зловред

[Саня_Химик 0]

Дети на ноут с играми затянули и много мусорных программ, а с ними и вирусы.

Большей частью я всё почистил (в том числе и китайскую прогу Байду), но остались проблемы:

1) самое главное - на ноут не устанавливаются обновления виндовс

2) при запуске гугл Хром запускаются рекламные сайт (сами)

3) неуверен, что смог сам справится и полностью избавиться от китайской программы baidu

 

Выполнил "стандартную" очистку диска С

выполнил сканирование на вирусы прогой Kaspersky Virus Removal Tool

прикладываю логи

CollectionLog-2016.12.02-13.21.zip

Изменено 2 декабря, 2016 пользователем Саня_Химик

[Sandor 1 253]

Здравствуйте!

 

Через Панель управления - Удаление программ (или через Revo) - удалите нежелательное ПО:

Advanced SystemCare 8

AnySend

application extension version 1.5

iLivid

Image Resizer Packages

MediaGet

Mobogenie

OffersWizard Network System Driver

TextEditor

Time tasks

Torch

Wajam

Амиго

电脑管家11.5 [2016/04/20 20:35:53]-->"C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\Uninst.exe"

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '');
 QuarantineFile('C:\ProgramData\xXCqglH\NkZnuTK3.bat', '');
 QuarantineFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '');
 DeleteFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '32');
 DeleteFile('C:\ProgramData\xXCqglH\NkZnuTK3.bat', '');
 DeleteFile('C:\Users\ASUS\AppData\Local\hujFnfHXVk\TqbODefupW0.bat', '');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Саня_Химик 0]

Всё выполнил, скрипты прикладываю.
Единственное пока на newvirus ничего не отослал. Но! отошлю сейчас.

AdwCleanerC0.txt

AdwCleanerS0.txt

ClearLNK-02.12.2016_15-30.log

[Sandor 1 253]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Саня_Химик 0]

Скачал (кстати с основной ссылки не качается, скачал с зеркала), поставил галочку, просканировал

Голи прикрепил

 

PS Извиняюсь за недельное молчание... пришлось уехать в №командировку"

FRST.txt

Addition.txt

Shortcut.txt

[Sandor 1 253]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {7D1B27B2-3DE0-4F26-94A0-E14FDB06D292} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-42972978-401550410-2292272304-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR StartupUrls: DFLTUSER -> "hxxp://mail.ru/cnt/10445?gp=801444"
CHR DefaultSearchURL: DFLTUSER -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B5B2B9AF3-EA86-45D6-AF75-15E31FACC018%7D&gp=811014
CHR DefaultSearchKeyword: DFLTUSER -> mail.ru_
CHR DefaultSuggestURL: DFLTUSER -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\ASUS\AppData\Local\Google\Chrome\User Data\Default\Extensions\aeembeejekghkopiabadonpmfpigojok [2016-11-14]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\ASUS\AppData\Local\Google\Chrome\User Data\DFLTUSER\Extensions\aeembeejekghkopiabadonpmfpigojok [2016-08-26]
S3 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
Task: {4087A3BE-4F57-4C3C-AB02-7337E1AF16BF} - \GoogleUpdateManager -> No File <==== ATTENTION
Task: {4207F0A2-9F58-4F50-AF5F-5A92D1578EE1} - \kbrowser-updater-utility -> No File <==== ATTENTION
Task: {4D11B629-C10B-4521-9CBC-5595528710E8} - System32\Tasks\{C2D9FA01-DEFB-496D-9D49-6C74EBB8B668} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {7135029C-DB01-46A7-82DA-C84BC7E54332} - System32\Tasks\{64145C1D-7253-41A2-BFC7-B9720F5DF4CC} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {7BEF96AD-1FF2-492E-9E6B-209996F1EC2E} - System32\Tasks\{7D7E965D-CADA-423F-8E8E-16ECAF8C0159} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {7D01A606-10F4-4B51-8DED-2C4677A2B030} - System32\Tasks\{5A259610-E1FD-4C10-BA78-9C823CB0A3F0} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {A68D4B25-2B40-4F8D-BB1D-424DE282B9B6} - System32\Tasks\{18D85DAC-9DA4-4B04-BCA4-45A2255DDB5B} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {AC10A616-F049-4390-9D05-DDB4AC946F4D} - System32\Tasks\{AD96B41D-223F-4627-A35C-6ECFF7FD556E} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {B6CC6332-BED1-4CB6-BDF5-9BE66FB15DDE} - System32\Tasks\{132FE0E9-6E11-47FD-986B-541BD5F4F7EF} => c:\users\asus\appdata\local\amigo\application\amigo.exe
Task: {E9003C89-E827-458B-A105-8953F6C42206} - System32\Tasks\{D4C99612-9F0A-4107-AFA3-29BDB3D00E6C} => c:\users\asus\appdata\local\amigo\application\amigo.exe
2016-05-20 13:57 - 2014-08-31 16:34 - 00294912 _____ () C:\Users\ASUS\AppData\Roaming\nssm.exe
HKU\S-1-5-21-42972978-401550410-2292272304-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
FirewallRules: [{95E349EC-D210-4E56-8F48-287E27D6EDDB}] => C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [TCP Query User{6E78CE30-8EB3-47D9-BD07-8FEE3EB90E99}C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe] => C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [UDP Query User{E493244C-BF02-4B08-B319-0FE2A77B7CD2}C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe] => C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{EAA7FB5A-9AA5-46DB-9963-C4BFB1B53ADC}] => C:\program files (x86)\common files\tencent\qqdownload\131\tencentdl.exe
FirewallRules: [{47745189-E60E-4D13-B3F7-D8CCCF4393F1}] => C:\program files (x86)\common files\tencent\qqdownload\131\bugreport_xf.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Что сейчас с проблемой?

[Саня_Химик 0]

Еле зашёл... что-то после всех манипуляций у меня куда-то поулетали вообще все браузеры

и Хром долго не запускался.

Фикс лог прикрепляю.

И попробую ща установить интернет эксплорер

Fixlog.txt

[Sandor 1 253]

Подготовьте свежие отчеты Автологером.

[Саня_Химик 0]

Прикладываю новы архив с отчётом.

Из проблем осталось то, что не устанавливаются обновления на виндовс.

Проблема выглядит - загрузка обновлений постоянно висит на 0% (скрин прикладываю)

И вторая проблема - у гугл хрома какая-то "корявая" надпись в правом верхнем углу.

ГугулХром думаю, может просто переустановить.

Интересно почему обновления на винду не устанавливаются.

CollectionLog-2016.12.09-09.50.zip

[Sandor 1 253]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\asus\appdata\roaming\gemware\node-webkit.exe');
 QuarantineFileF('c:\users\asus\appdata\roaming\gemware', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\asus\appdata\roaming\gemware\node-webkit.exe', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\GemWare\ffmpegsumo.dll', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\GemWare\libglesv2.dll', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\GemWare\libegl.dll', '');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\nssm.exe', '');
 QuarantineFile('C:\Windows\csrss.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{F336EABE-D48F-4259-ADB2-2A9A0F188E8B}" /F', 0, 15000, true);
 DeleteFile('C:\Windows\csrss.exe');
 DeleteFile('c:\users\asus\appdata\roaming\gemware\node-webkit.exe', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\GemWare\ffmpegsumo.dll', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\GemWare\libglesv2.dll', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\GemWare\libegl.dll', '32');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\nssm.exe', '32');
 DeleteFileMask('c:\users\asus\appdata\roaming\gemware', '*', true);
 DeleteDirectory('c:\users\asus\appdata\roaming\gemware');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','node-webkit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Саня_Химик 0]

KLAN-5471072226

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
TqbODefupW0.bat
NkZnuTK3.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

[Sandor 1 253]

Жду повторный лог.

[Саня_Химик 0]

Вот повторный лог

CollectionLog-2016.12.09-14.01.zip

[Sandor 1 253]

Что сейчас с проблемами?

[Саня_Химик 0]

я ранее прикреплял к сообщению два скирина - первый на ГуглХром надпись на марсианском языке

а второй - не идёт загрузка обновлений

вот эти обе проблемы и остались, УВЫ

и если Гугл я наверное просто его переустановлю, то вот не понятно почему у меня обновления то винды не грузятся, стоят на нуле

ну и ноут почему-то выключается около 5-8 минут