Антивирус не может удалить вирусы.

[Алексей Ломакин]

Антивирус нашёл 7 вирусов и никак не может их вылечить или удалить.

CollectionLog-2016.11.04-12.09.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DealPly (remove only)

DealPly

desktopy

desktopy.ru

InterHop

MediaGet

Remote Desktop Access (VuuPC)

sweet-page uninstall

YAC(Yet Another Cleaner!)

Амиго

Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\user\appdata\roaming\steam\reversed\steam.exe');
 QuarantineFile('c:\users\user\appdata\roaming\steam\reversed\steam.exe', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Скриншоты в Яндекс.Диске.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Диск\Яндекс.Диск.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (4).lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (7).lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk', '');
 QuarantineFile('C:\Users\USER\Desktop\Yandex.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk', '');
 QuarantineFile('C:\ProgramData\Yandex\Elements\help.url', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Public\Desktop\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Утилиты\Punto Switcher.lnk', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
 QuarantineFile('C:\Users\USER\AppData\Roaming\YandexDiskStarter.bat', '');
 QuarantineFile('C:\Program Files (x86)\punto.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Steam-S-1-8-22-9865GUI" /F', 0, 15000, true);
 DeleteFile('c:\users\user\appdata\roaming\steam\reversed\steam.exe', '32');
 DeleteFile('C:\Users\USER\AppData\Roaming\YandexDiskScreenshotEditor.bat', '');
 DeleteFile('C:\Users\USER\AppData\Roaming\YandexDiskStarter.bat', '');
 DeleteFile('C:\Program Files (x86)\punto.bat', '');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Алексей Ломакин]

[KLAN-5298418395]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

steam.exe,
Скриншоты в Яндекс.Диске.lnk,
Яндекс.Диск.lnk,
Yandex.lnk,
Yandex (2).lnk,
Yandex (4).lnk,
Yandex (7).lnk,
Yandex_0.lnk,
Yandex_1.lnk,
Страница Элементов Яндекса для Internet Explorer.lnk,
help.url,
Google Chrome.lnk,
Mozilla Firefox.lnk,
Google Chrome_0.lnk,
Google Chrome_1.lnk,
Mozilla Firefox_0.lnk,
Google Chrome_2.lnk,
Mozilla Firefox_1.lnk,
Punto Switcher.lnk,
YandexDiskScreenshotEditor.bat,
YandexDiskStarter.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

steam.exe,
Скриншоты в Яндекс.Диске.lnk,
Яндекс.Диск.lnk,
Yandex.lnk,
Yandex (2).lnk,
Yandex (4).lnk,
Yandex (7).lnk,
Yandex_0.lnk,
Yandex_1.lnk,
Страница Элементов Яндекса для Internet Explorer.lnk,
help.url,
Google Chrome.lnk,
Mozilla Firefox.lnk,
Google Chrome_0.lnk,
Google Chrome_1.lnk,
Mozilla Firefox_0.lnk,
Google Chrome_2.lnk,
Mozilla Firefox_1.lnk,
Punto Switcher.lnk,
YandexDiskScreenshotEditor.bat,
YandexDiskStarter.bat

A set of unknown files has been received. They will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 11/6/2016 3:53:29 PM
To: newvirus@kaspersky.com
Subject: quarantine.zip

Вот файл

 

И ещё файл

 

Сообщение от модератора Mark D. Pearlstone

Почта пользователя удалена.

ClearLNK-07.11.2016_12-22.log

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Алексей Ломакин]

Вот файлы

 

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerC0.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM-x32\...\Run: [sCloudStatusCheck] => C:\ProgramData\Program status\scheck.exe [151040 2014-08-07] (Zaxar Ltd)
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1134311548-469044053-2045225268-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1134311548-469044053-2045225268-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1134311548-469044053-2045225268-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
StartMenuInternet: IEXPLORE.EXE - c:\program files\internet explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1477471228&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=interhop1024&uid=3219913727_198313_546D1E8F
FF Extension: (Screeny) - C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{17238372-3743-33ab-8a9f-93722af74c79}.xpi [2016-03-20] [not signed]
FF Extension: (dolkaru) - C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2661A808-1BEB-4BEC-8673-D34EECE955CB}.xpi [2014-02-05] [not signed]
FF Extension: (Спутник @Mail.Ru) - C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-12-08] [not signed]
FF Extension: (No Name) - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 15.0.2\FFExt\content_blocker@kaspersky.com [not found]
FF Extension: (No Name) - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 15.0.2\FFExt\virtual_keyboard@kaspersky.com [not found]
FF Extension: (No Name) - C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [not found]
FF Extension: (No Name) - C:\Users\USER\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [not found]
FF DefaultSearchEngine: Firefox\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Firefox\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Firefox\Firefox\Profiles\nahd6ha2.default -> hxxp://www.searchinme.com/?type=hp&ts=1478012229247&z=&from=official&uid=ST1000DM003-9YN162_Z1D1MP4XXXXXZ1D1MP4X
FF Extension: (FF Adr) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-11-02] [not signed]
FF Extension: (DealPly Shopping) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\amo@dealplyshopping.com [2016-11-01] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-11-01]
FF Extension: (Поиск@Mail.Ru) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-11-01]
FF Extension: (Screeny) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\{17238372-3743-33ab-8a9f-93722af74c79}.xpi [2016-03-20] [not signed]
FF Extension: (dolkaru) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\{2661A808-1BEB-4BEC-8673-D34EECE955CB}.xpi [2014-02-05] [not signed]
FF Extension: (Спутник @Mail.Ru) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2016-11-01] [not signed]
FF Extension: (Desktopy) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97}.xpi [2016-03-20] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\USER\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-01]
CHR DefaultSearchURL: Default -> hxxp://www.mylucky123.com/search/?type=ds&ts=1475917604&z=742a1e058af7ff1a2639761g5z4mewetag0meq2gdz&from=wzp1008&uid=ST1000DM003-9YN162_Z1D1MP4XXXXXZ1D1MP4X&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mylucky123
CHR Extension: (Яндекс) - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja [2016-11-04]
CHR Extension: (Стартовая — Яндекс) - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\hpcghcdjnehpkdecaflpedhklimnejia [2016-06-08]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\odijcgafkhpobjlnfdgiacpdenpmbgme [2016-11-04]
CHR Extension: (Mail.Ru) - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\phkdcinmmljblpnkohlipaiodlonpinf [2016-11-04]
OPR Extension: (Info Enhancer for Chrome) - C:\Users\USER\AppData\Roaming\Opera Software\Opera Stable\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-09-24]
OPR Extension: (CinemaLoad) - C:\Users\USER\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-08-07]
OPR Extension: (Dolka.ru) - C:\Users\USER\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-06-02]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\USER\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-07]
Task: {12E513C4-C29D-4186-B8E1-9077C661441C} - \AdobeFlashPlayer-S-1-2-1298-9822 -> No File <==== ATTENTION
Task: {3C3BDBA2-9333-4E8D-BACD-CFDCDEA5CB32} - System32\Tasks\MailRuUpdateTask => C:\Users\USER\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {3F241FBF-0BFB-483F-826A-605B80A73EEA} - \LefttoeUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {495D6C1B-9CEE-49C5-B0F1-8D8372B5A6CC} - \LefttoeUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {B5A99734-79B4-4C57-A472-D36D2E26C7CD} - \{3CA52F0A-7C6B-45FB-817D-BE77722EE9BB} -> No File <==== ATTENTION
Task: {CA6C7BF0-A177-4A34-986C-68A1F8E0BFCE} - \AdobeFlashPlayer-S-2-1-24-198293847112UI -> No File <==== ATTENTION
Task: {E34A407C-4295-4EF4-97E4-13B4374BCFE3} - \{EED2FF1C-06A0-47F3-8C0F-523CC2EDFC62} -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\USER:id [32]
AlternateDataStreams: C:\Users\USER\Local Settings:wa [178]
AlternateDataStreams: C:\Users\USER\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\USER\AppData\Local\Application Data:wa [178]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Алексей Ломакин]

Вот файл

 

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Алексей Ломакин]

Что сейчас с проблемой?

Но сейчас на данный момент так и остались вирусы. Может мне выполнить полную проверку?

[Sandor]

Покажите скрин обнаружения антивируса.

 

Сделайте и прикрепите лог сканирования MBAM.

[Алексей Ломакин]

Покажите скрин обнаружения антивируса.

 

Сделайте и прикрепите лог сканирования MBAM.

После повторног сканирования вирусы удалились. Спасибо за помощь!!!)))

[Sandor]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

 

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.