Рекламные вирусы

[zurk]

Здравствуйте!

Нахватался рекламных вирусов в интернете.

Помогите вылечить компьютер, т.к. у меня впечатление, что это не просто рекламный вирус, он начал плодиться.

 

Заранее спасибо!

 

CollectionLog-2017.04.17-10.50.zip

Изменено 17 апреля, 2017 пользователем zurk

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\grigoriev\AppData\Local\ScriptWriter\ScriptWriter.exe','');
 TerminateProcessByName('c:\users\grigoriev\appdata\roaming\mp3tagapp\mp3tagapp.exe');
 QuarantineFile('c:\users\grigoriev\appdata\roaming\mp3tagapp\mp3tagapp.exe','');
 DeleteFile('c:\users\grigoriev\appdata\roaming\mp3tagapp\mp3tagapp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jqefyhlvum');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mp3tagApp');
 DeleteFile('C:\Windows\system32\Tasks\wupdate','64');
 DeleteFile('C:\Windows\system32\Tasks\ScriptWriter','64');
 DeleteFile('C:\Users\grigoriev\AppData\Local\ScriptWriter\ScriptWriter.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[zurk]

Здравствуйте!

Отправил файл карантина в службу https://virusdesk.kaspersky.ru/на проверку.

Результат проверки:

 

CollectionLog-2017.04.17-18.43.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[zurk]

Сделал

 

Desktop.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-04-13 13:15 - 2017-04-13 13:15 - 00000000 ____D C:\Users\grigoriev\AppData\Local\Вoйти в Интeрнет
2017-04-13 13:14 - 2017-04-13 13:14 - 00000000 ____D C:\Users\grigoriev\AppData\Local\wupdate
2017-04-13 13:13 - 2017-04-13 17:30 - 00000000 ____D C:\Users\grigoriev\AppData\LocalLow\SearchGo
2017-04-13 13:13 - 2017-04-13 17:30 - 00000000 ____D C:\Users\grigoriev\AppData\Local\SearchGo
2017-04-13 13:12 - 2017-04-17 18:37 - 00000000 ____D C:\Users\grigoriev\AppData\Local\ScriptWriter
2017-04-13 13:10 - 2017-04-17 18:37 - 00000000 ____D C:\Users\grigoriev\AppData\Roaming\Mp3tagApp
2017-04-13 13:10 - 2017-04-13 13:10 - 00000000 ____D C:\Users\grigoriev\AppData\Local\Поиcк в Интeрнете
2017-04-13 13:09 - 2017-04-13 13:09 - 0024576 ____N (Ubar Plugin Soft) C:\Users\grigoriev\AppData\Local\Temp\coi1634.exe
2017-03-11 01:49 - 2017-03-11 01:49 - 0187240 _____ () C:\Users\grigoriev\AppData\Local\Temp\downloader.exe
2017-04-13 13:08 - 2017-04-13 13:08 - 3039448 ____N () C:\Users\grigoriev\AppData\Local\Temp\I6JC3azFutpk.exe
2017-04-13 13:10 - 2017-04-13 13:10 - 2961255 ____N (Sun in the sky) C:\Users\grigoriev\AppData\Local\Temp\tHtdLP7i9Jyd.exe
Task: {27900D8C-446A-4702-9769-45B5C42EE49E} - \wupdate -> No File <==== ATTENTION
Task: {A6138D81-3E89-49C7-9B32-C91BD92B0443} - \SearchGo Task -> No File <==== ATTENTION
Task: {B339AC69-8537-43E5-A67A-797E159BB362} - \ScriptWriter -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[zurk]

Готово

Fixlog.txt

[thyrex]

Что с проблемой?

[zurk]

Все решилось, спасибо!

[thyrex]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[zurk]

Был странный глюк в Opera. При нажатии мышью по странице, открывались рекламные сайты в новой вкладке. Удалил какое-то странное дополнение у которого не было имени, пока все нормально, ничего не открывается

SecurityCheck.txt

Изменено 20 апреля, 2017 пользователем zurk

[thyrex]

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась Внимание! Скачать обновления

Internet Explorer 11.103.10586.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления

TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.34 v.7.34.103 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.24.0.0.180 Внимание! Скачать обновления

Adobe Reader XI (11.0.16) - Russian v.11.0.16 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 47.0.2 (x86 ru) v.47.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Opera Stable 44.0.2510.857 v.44.0.2510.857 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

----------------------------- [ EmailClient ] -----------------------------

Mozilla Thunderbird 45.8.0 (x86 ru) v.45.8.0 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

Video and Audio Plugin UBar v.1.1.36.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Mp3tagApp Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

исправляйте указанное