Gпосле попытки удалить YoutubeAccelerator и Shopper-Pro отрубился интернет, выключился брандмауэр Windows, частично не работает Avast

[a.s.n]

Здравствуйте! По запарке поставил на комп (вместе с прогой по удалению старой папки Windows) YoutubeAccelerator и Shopper-Pro, хотя Avast сразу ругнулся на вирусы. Когда стал их удалять стандартно через "программы и приложения" отрубился интернет, выключился брандмауэр Windows, частично отключился Avast, проги. Wi-fi как-будто нет. USB модем тоже не определяется. В безопасном режиме тоже удалить не удалось. Откатится не получается, так как точек восстановления нет. Переустановить Windows10 (сбросить на заводские настройки), тоже не получается, т.е. доходит до какого-то момента и затем сообщение - "не возможно настроить конфигурацию" и откат к исходному состоянию.

Пишу с другого компа.

1. Проверка ПК: Dr.Web CureIt!. - запуститься не смог. Kaspersky Virus Removal Tool 2015; - нашел 13 угроз сре них штук 7 Shopper-Pro, все удалил.

2. Сборщик логов не запустился из-за отсутствия интерента. Запустил его специальную версию (лог прилагаю).

 

Жду советов и помощи.

 

CollectionLog-2015.08.17-13.56.zip

Изменено 17 августа, 2015 пользователем a.s.n

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe','');
QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
QuarantineFile('C:\Users\acer\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
DelBHO('{A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C}');
QuarantineFile('C:\ProgramData\ShopperPro\ShopperPro.dll','');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\WINDOWS\Tasks\Crossbrowse.job','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Crossbrowse','32');
DeleteFile('C:\Users\acer\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Funmoods','32');
DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','32');
DeleteFile('C:\WINDOWS\system32\Tasks\SPBIW_UpdateTask_Time_3334323632383531372d5a556c6c4a5a575750414134','32');
DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
DeleteFile('C:\Program Files\ShopperPro\ShopperPro.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(14);
ExecuteREpair(15);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[a.s.n]

Здравствуйте!

На первом скрипте AVZ завис. Комп сам не перезагрузился. Перезагрузил вручную. Второй прошел успешно. Ответ с почты касперского: klan-3060838560. Kaspersky Virus Removal Tool 2015 - угроз не обнаружил. Новый лог прилагаю.

CollectionLog-2015.08.18-09.54.zip

[Roman_Five]

 

 

Ответ с почты касперского: klan-3060838560.

процитируйте, пожалуйста.

[a.s.n]

"Этот файл поврежден."

[thyrex]

Сделайте лог полного сканирования МВАМ

[Roman_Five]

+
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('SPDRIVER_1.42.1.2285', 4);
 QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','');
 QuarantineFile('spbiu.exe','');
 QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
 QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe','');
 QuarantineFile('C:\Users\acer\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2285\jsdrv.sys','');
 DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2285\jsdrv.sys','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Crossbrowse','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Funmoods','32');
 DeleteFile('C:\Users\acer\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','32');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPBIW_UpdateTask_Time_3334323632383531372d5a556c6c4a5a575750414134','32');
 DeleteFile('spbiu.exe','32');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32');
 DeleteFile('C:\Program Files\shopperpro\shopperpro.exe','32');
 DelBHO('A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C');
 DeleteService('SPDRIVER_1.42.1.2285');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).

[a.s.n]

Сделайте лог полного сканирования МВАМ

Не устанавливается

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[a.s.n]

 

+

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 SetServiceStart('SPDRIVER_1.42.1.2285', 4);
 QuarantineFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','');
 QuarantineFile('spbiu.exe','');
 QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
 QuarantineFile('C:\Program Files\ShopperPro\ShopperPro.exe','');
 QuarantineFile('C:\Users\acer\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2285\jsdrv.sys','');
 DeleteFile('C:\Program Files\ShopperPro\JSDriver\1.42.1.2285\jsdrv.sys','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\Crossbrowse.job','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Crossbrowse','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Funmoods','32');
 DeleteFile('C:\Users\acer\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','32');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPBIW_UpdateTask_Time_3334323632383531372d5a556c6c4a5a575750414134','32');
 DeleteFile('spbiu.exe','32');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32');
 DeleteFile('C:\Program Files\shopperpro\shopperpro.exe','32');
 DelBHO('A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C');
 DeleteService('SPDRIVER_1.42.1.2285');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

 

Сделайте новые логи по правилам (только пункт 2).

 

avz опять завис

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

Сделал

+

FRST.txt

Addition.txt

[Roman_Five]

 

 

avz опять завис

антивирус надо выгружать перед тем, как выполнять скрипт.

[a.s.n]

Так я вроде отключаю все "экраны AVASTa". Хотел его удалить - не получается.

 

avz опять завис

антивирус надо выгружать перед тем, как выполнять скрипт.

 

Перый скрипт выполнил. Комп перезагрузился. Второй скрипт - "успешно завершен". Но архив Qurantine.zip пустой.

Все устал бороться! Переустановил систему!

 

Всем спасибо за помощь!

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
ShortcutTarget: crossbrowse.lnk -> C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe (No File)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&cd=2XzuyEtN2Y1L1Qzu0CyEyEyCtCzytB0Bzy0C0D0Bzy0EzytCtN0D0Tzu0CyEyCtCtN1L2XzutBtFtBtFtCtFyDyByBtN1L1Czu1L1C1F1GtB&cr=2027799454&ir=
SearchScopes: HKU\S-1-5-21-1379311462-2899679739-1077349570-1000 -> {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&cd=2XzuyEtN2Y1L1Qzu0CyEyEyCtCzytB0Bzy0C0D0Bzy0EzytCtN0D0Tzu0CyEyCtCtN1L2XzutBtFtBtFtCtFyDyByBtN1L1Czu1L1C1F1GtB&cr=2027799454&ir=
BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} ->  No File
Toolbar: HKU\S-1-5-21-1379311462-2899679739-1077349570-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
2015-08-11 23:48 - 2015-08-12 07:00 - 00000000 ____D C:\Program Files\Common Files\ShopperPro
2015-08-11 23:47 - 2015-08-12 05:47 - 00001058 _____ C:\WINDOWS\Tasks\Crossbrowse.job
2015-08-11 23:46 - 2015-08-11 23:46 - 00000000 ____D C:\Program Files\Crossbrowse
2015-08-11 23:45 - 2015-08-12 20:57 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
2015-08-11 23:45 - 2015-08-12 06:53 - 00000000 ____D C:\Program Files\YouTube Accelerator
2015-04-19 15:20 - 2015-04-22 20:54 - 0000626 _____ () C:\Users\acer\AppData\Roaming\UPySnBSpfoJqVk3O7LOLay7
2015-04-22 22:37 - 2015-04-22 22:37 - 0613255 _____ (CMI Limited) C:\Users\acer\AppData\Local\nssAB53.tmp
Task: {2B45E18B-1DE6-46F9-9655-49086C1B5B00} - \SPDriver -> No File <==== ATTENTION
Task: {2EB511CD-1CD3-4270-B522-909B1BD8F4D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {3C9BD010-BE53-4310-8F39-BBFCBA7659C2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {63247CE5-CB93-40E2-B5E4-8AB95192802B} - System32\Tasks\Crossbrowse => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe <==== ATTENTION
Task: {70871F74-90E3-4AEF-8FA1-08CF94DEA206} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8ABBAE16-78DB-4477-8C23-234684F4E96D} - System32\Tasks\Funmoods => C:\Users\acer\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {9128C505-4FD1-458D-95DC-E7E4E52B444A} - System32\Tasks\SPBIW_UpdateTask_Time_3334323632383531372d5a556c6c4a5a575750414134 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 <==== ATTENTION
Task: {94FAB601-FBB2-46F5-B66E-8B9D6117EDBD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A7B94187-6123-43C0-9466-CC0481ECD5C1} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {AF260E97-7CC5-49C2-82FB-42E392A75A28} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {B03DA2FD-ED2F-43A0-976C-41EA3AEC93C3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {B6589CA0-817B-4E53-B927-2929E3969EC9} - System32\Tasks\ShopperPro => C:\Program Files\ShopperPro\ShopperPro.exe [2015-08-11] (Goobzo LTD) <==== ATTENTION
Task: {BC405B1D-C2A0-4A6A-B28C-7F22DDAB242E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {C6778185-68A5-4326-9E74-F584357ED595} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {EB5A19E3-9FB2-4B13-9C58-D2ABBC8662D9} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {F2B224EE-0786-4364-AF96-AECA445B2DC8} - \Microsoft\Windows\File Classification Infrastructure\Property Definition Sync -> No File <==== ATTENTION
Task: {FCEECEA0-77E0-4518-8C24-3EE09F2F3C9E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\Crossbrowse.job => C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe <==== ATTENTION
2015-08-17 11:58 - 2015-04-22 22:34 - 00000000 ____D C:\Program Files\XTab
2015-08-17 11:58 - 2015-04-22 19:54 - 00000000 ____D C:\Users\Все пользователи\ShopperPro
2015-08-17 11:58 - 2015-04-22 19:54 - 00000000 ____D C:\ProgramData\ShopperPro
2015-08-17 11:58 - 2015-04-22 19:54 - 00000000 ____D C:\Program Files\ShopperPro
2015-08-17 11:58 - 2015-04-22 19:52 - 00000000 ____D C:\Users\acer\AppData\Roaming\6D929589-1429721555-854F-80F6-60EB6917994F
2015-08-17 11:58 - 2015-04-22 19:52 - 00000000 ____D C:\Program Files\HQ Video Plus 2.3cV22.04
2015-08-11 23:50 - 2015-08-11 23:50 - 00000000 ____D C:\Users\Все пользователи\GOOBZO
2015-08-11 23:50 - 2015-08-11 23:50 - 00000000 ____D C:\ProgramData\GOOBZO
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.