Проблема с вирусом "gangnamgame net"(не запускается ccleaner,regedit,autolog)

[IIIakal100]

У меня проблема с вирусом "gangnamgame net". Когда включаю компьютер, вылетает Google Chrome со страницей "gangnamgame.net"
При попытке открыть ccleaner, regedit или же autolog ничего не происходит. Вирус полностью блокирует работоспособность программ.
В чем может быть дело, помогите!

Восстановление системы тоже не помогло.

 
 
Попробовал использовать вашу специальную версию ( Тестовая PIF версия Autologger'a), запустилось. Прикрепляю лог.

CollectionLog-2015.09.15-13.41.zip

Изменено 15 сентября, 2015 пользователем IIIakal100

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.cfg','');
QuarantineFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','vcredist_x86_del');
DeleteFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.exe','32');
DeleteFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.cfg','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила обычной версией Autologger и предоставьте НОВЫЕ логи

[IIIakal100]

[KLAN-3139371035]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

quarantine.zip

This file is corrupted.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

 Это ответ от newvirus@kaspersky.com

[Sandor]

 

 

Выполните ЕЩЕ РАЗ правила обычной версией Autologger и предоставьте НОВЫЕ логи

Это делайте.

[IIIakal100]

вот сделал.

CollectionLog-2015.09.15-21.09.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[IIIakal100]

Сделал сканирование с помощью данной программы.

Прикрепляю отчеты.

 

Забыл сразу написать, что проблема с запуском ccleaner'a, regedit'a и autolog'a исчезла, после первого использования специальной версии autolog'a. Иными словами все работает нормально. 

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKU\S-1-5-21-3796997492-1350102989-3933921529-1001\...\Run: [AdobeBridge] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F&q={searchTerms}
HKU\S-1-5-21-3796997492-1350102989-3933921529-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F
BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} ->  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1439930666&z=154944023f0ba38fa1ece1agfz4c9t0t4c4ecqdqce&from=amt&uid=ST1000DM003-1ER162_Z4Y32C4FXXXXZ4Y32C4F
CHR Extension: (Quick Searcher) - C:\Users\Валерий\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2015-08-08]
2015-08-21 18:47 - 2015-08-21 18:47 - 0613255 _____ (CMI Limited) C:\Users\Валерий\AppData\Local\nsa3BEE.tmp
2015-08-18 23:56 - 2015-08-18 23:56 - 0613255 _____ (CMI Limited) C:\Users\Валерий\AppData\Local\nsd1EF7.tmp
C:\Users\Валерий\AppData\Local\Temp\AmigoDistrib.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[IIIakal100]

Вот что получилось

Fixlog.txt

[Roman_Five]

что с проблемой?
 

[IIIakal100]

У меня все стало работать отлично еще после использования самого первого пункта.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.cfg','');
QuarantineFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','vcredist_x86_del');
DeleteFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.exe','32');
DeleteFile('C:\Users\Валерий\AppData\Local\Microsoft\Redist\vcredist_x86.cfg','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните ЕЩЕ РАЗ правила обычной версией Autologger и предоставьте НОВЫЕ логи

[Roman_Five]

тогда чисто.

[IIIakal100]

Спасибо вам огромное за помощь, в особенности Thyrex'y. Не знаю, чтобы я бы без вас делал!!!