Пробрался вирус, после загрузки файла

[slavapc 0]

Здравствуйте, ув. консультант. Я загрузил программу на свой пк, после чего было установлено множество всяческих сторонних программ и появилась жуткая, навязчивая реклама в браузере, от которой я пытался избавиться разными способами (сторонние программы я кажется удалил). Я сканировал пк этими программами: Ccleaner, AdwCleaner, Malwarebytes Anti-Malware и avz. После всех сканирований я пришел сюда, а увидев скрипт, который предлагался другому пользователю, я скопировал его и произвел на своем пк. Только потом я понял, что не стоило этого делать.

 

Вообщем-то, до сих пор вирус-реклама находится в моем компьютере.

 

Предоставляю логи из сборщика. Кажется, все сделал по пунктам.

 

 

Спасибо!

CollectionLog-2015.09.13-03.03.zip

[thyrex 1 418]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('c:\program files (x86)\iobit\liveupdate\liveupdate.exe','');
QuarantineFile('C:\Users\Андрей\AppData\Roaming\WindowsUpdater\Updater.exe','');
DeleteFile('C:\Users\Андрей\AppData\Roaming\WindowsUpdater\Updater.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\WindowsUpdater','64');
DeleteFile('c:\program files (x86)\iobit\liveupdate\liveupdate.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[slavapc 0]

Предоставляю новые логи и ответ от newvirus@kaspersky.com.

 

 

 

[KLAN-3134108636]


Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

CollectionLog-2015.09.13-13.39.zip

[thyrex 1 418]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[slavapc 0]

Сканировал, файлы прикрепил.

FRST.txt

Addition.txt

[thyrex 1 418]

> Chrome Search

 

удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
Task: {04B205BB-6A13-4BFF-B32F-9F4479CCF2BA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {09E10F06-6953-4A7A-8EDF-408AD1FF21CB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {0DE1B252-8939-4842-BCC4-95237FA449D8} - \VSProtector -> No File <==== ATTENTION
Task: {4A29BAD0-E93D-4FDC-A5F7-D81396217344} - \WindowsUpdater -> No File <==== ATTENTION
Task: {6E72EBB7-C3C0-4CE6-98E5-EE04E5BF171C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {A3E5BBD3-1921-4AE8-893E-C8746B29B40C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A42ED934-37BB-4159-ABCA-26434AEC1F09} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {B66D9F4A-6342-48F1-901B-8E19207E7736} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {BA29314C-0F4E-4C74-BB54-80362A79CB17} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {C1F78653-B2D2-48AF-B1FC-02F345AFDC4F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E2CF15DC-4786-4AED-BA06-03A12C7D28A5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {E9DD4D8D-4382-4CDD-8E03-73BD24D153F6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {F1961238-1D14-4D49-8A94-C795B68D3508} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Public\Desktop\Counter-Strike 1.6 CS:GO.lnk
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2872777653-3032698802-1077044679-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
HKU\S-1-5-21-2872777653-3032698802-1077044679-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://spacesearch.ru/?ri=1&rsid=d2a1291820a21f1b5730e6afa9e8be4c&q=
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-2872777653-3032698802-1077044679-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2015-09-12 23:33 - 2015-09-12 23:33 - 00008840 _____ C:\WINDOWS\SysWOW64\VSProtectProxyOff.ini
2015-09-12 23:33 - 2015-09-12 23:33 - 00008840 _____ C:\WINDOWS\system32\VSProtectProxyOff.ini
2015-09-12 23:30 - 2015-09-13 01:26 - 00000000 ____D C:\Program Files (x86)\FastoPlayer
2015-09-12 23:30 - 2015-09-13 01:23 - 00000000 ____D C:\Program Files (x86)\Visual Protect Service
2015-09-12 23:30 - 2015-09-12 23:30 - 00001144 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FastoPlayer.lnk
2015-09-12 23:30 - 2015-09-12 23:30 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\WindowsUpdater
2015-09-12 23:30 - 2015-09-12 23:30 - 00000000 ____D C:\Users\Андрей\AppData\Roaming\Visual Protect Service
2015-09-12 16:37 - 2013-08-22 16:25 - 00000824 ___SH C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-09-12 16:36 - 2015-09-12 16:37 - 00000118 ____H C:\firefox.bat
2015-09-12 16:36 - 2015-09-12 16:37 - 00000099 ____H C:\launcher.bat
2015-09-12 16:36 - 2015-09-12 16:36 - 00000105 ____H C:\iexplore.bat
2015-09-12 16:36 - 2015-08-17 18:01 - 00931960 ____H (Opera Software) C:\lаunсhеr.bаt.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[slavapc 0]

Все сделал. Вот логи.

Fixlog.txt

[thyrex 1 418]

Проблема решена?

[slavapc 0]

Кажется да. Спасибо большое!