Поймал вирус!

[mike 1]

 

==================== Restore Points  =========================

 

12-05-2015 14:00:43 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030

12-05-2015 14:01:33 Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030

12-05-2015 14:15:41 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030

12-05-2015 14:17:14 Revo Uninstaller Pro's restore point - Adobe Creative Cloud

12-05-2015 14:20:20 Revo Uninstaller Pro's restore point - Adobe Photoshop CC 2014

12-05-2015 15:20:14 Центр обновления Windows

Сделайте откат через восстановление системы. Потом сделайте новые логи Farbar из обычного режима. 

[ged06]

 

 

==================== Restore Points  =========================

 

12-05-2015 14:00:43 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030

12-05-2015 14:01:33 Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030

12-05-2015 14:15:41 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030

12-05-2015 14:17:14 Revo Uninstaller Pro's restore point - Adobe Creative Cloud

12-05-2015 14:20:20 Revo Uninstaller Pro's restore point - Adobe Photoshop CC 2014

12-05-2015 15:20:14 Центр обновления Windows

Сделайте откат через восстановление системы. Потом сделайте новые логи Farbar из обычного режима. 

 

К сожаления нету точек восстановления и диска с этим Windows/...

 

 

==================== Restore Points  =========================

 

12-05-2015 14:00:43 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030

12-05-2015 14:01:33 Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.61030

12-05-2015 14:15:41 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030

12-05-2015 14:17:14 Revo Uninstaller Pro's restore point - Adobe Creative Cloud

12-05-2015 14:20:20 Revo Uninstaller Pro's restore point - Adobe Photoshop CC 2014

12-05-2015 15:20:14 Центр обновления Windows

Сделайте откат через восстановление системы. Потом сделайте новые логи Farbar из обычного режима. 

 

Повезло,вспомнил что незадолго до этого пользовался программой Registry First Aid,нашел там откат реестра 11.05.2015,откатился и запустился в нормальном режиме,но теперь опять не открывается редактор реестра!

Запустил опять полную проверку в Malwarebytes,нашел несколько вирусов,после их удаления открылся реестр,скрин вирусов во вложении! А так же нашел через msconfig в автозагрузке 2 подозрительных файла и 1 вирусный,то же прикрепил во вложении! Тут целая статья как бороться с данным вирусом,только на английском языке) http://www.malwareremovalvideo.com/remove-bizigames-org-zenigameblinger-org-redirects-how-to-block-bizigames-org-zenigameblinger-org/

Addition.txt

FRST.txt

Изменено 12 мая, 2015 пользователем ged06

[mike 1]

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\HiJackThis.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSIT.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
Startup: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_86612369.lnk [2015-05-12]
ShortcutTarget: _uninst_86612369.lnk -> C:\Users\Алексей\AppData\Local\Temp\_uninst_86612369.bat (No File)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - No Name - {ccb24e92-62c4-4c53-95d2-65f9eed476bc} -  No File
CHR HKU\S-1-5-21-3249834229-463021198-2967135247-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - No Path Or update_url value
S0 55569988; system32\DRIVERS\55569988.sys [X]
S0 86612369; system32\DRIVERS\86612369.sys [X]
S2 MBAMScheduler; "\mbamscheduler.exe" [X]
S2 MBAMService; "\mbamservice.exe" [X]
2015-05-11 10:13 - 2015-05-12 14:51 - 00000452 __RSH () C:\Users\Алексей\ntuser.pol
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\16336847.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\16336847.sys => ""="Driver"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

Изменено 13 мая, 2015 пользователем mike 1

[ged06]

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\HiJackThis.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSIT.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
Startup: C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_86612369.lnk [2015-05-12]
ShortcutTarget: _uninst_86612369.lnk -> C:\Users\Алексей\AppData\Local\Temp\_uninst_86612369.bat (No File)
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - No Name - {ccb24e92-62c4-4c53-95d2-65f9eed476bc} -  No File
CHR HKU\S-1-5-21-3249834229-463021198-2967135247-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - No Path Or update_url value
S0 55569988; system32\DRIVERS\55569988.sys [X]
S0 86612369; system32\DRIVERS\86612369.sys [X]
S2 MBAMScheduler; "\mbamscheduler.exe" [X]
S2 MBAMService; "\mbamservice.exe" [X]
2015-05-11 10:13 - 2015-05-12 14:51 - 00000452 __RSH () C:\Users\Алексей\ntuser.pol
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\16336847.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\16336847.sys => ""="Driver"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD]
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

Сделал,опять синий экран,пришлось опять откатиться.

Fixlog.txt

Изменено 12 мая, 2015 пользователем ged06

[mike 1]

Антивирус отключали перед выполнением скрипта? 

[ged06]

Антивирус отключали перед выполнением скрипта? 

 

да

[mike 1]

Поправил немного скрипт в 18 сообщении. Выполните его, но потом перезагрузите компьютер самостоятельно. 

[ged06]

Поправил немного скрипт в 18 сообщении. Выполните его, но потом перезагрузите компьютер самостоятельно. 

Cделал,запустился.

Fixlog.txt

[mike 1]

Что с проблемой?

[ged06]

Что с проблемой?

Проблема решена,все запускается! Большое спасибо!!!

[mike 1]

• Скачайте DelFix и сохраните утилиту на Рабочем столе

Запустите DelFix

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

Нажмите на кнопку Run

После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt

Прикрепите этот отчет в вашей теме.

 

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

 

[ged06]

После запуска Windows стал вылезать в процессах svchost.exe который съедает кучу оперативной памяти от 1Гб до 2Гб,даже после принудительного закрытия,через какое-то время все равно запускается снова!