Самопроизвольная установка броузера

[koloff]

Несколько лет назад пользовался этим форумом, что бы удалить особо хитрый вирус, только и помогли местные спецы, остальные ничего не могли сделать. И сейчас схожая проблема, заразился какой-то дрянью, которая сама устанавливает Гугл Хром, бьюсь уже третий месяц, перепробовал кучу гайдов, с идущими в комплекте к ним утилитами. Толку ноль, раз в два дня Хром сам ставиться, будь он неладен. И что хуже всего, я не знаю, что дальше предпринять можно, вся надежда на этот ресурс, надеюсь, что смогу получить квалифицированную помощь здесь. Просканировал комп утилитой KVRT, скачав её здесь же, нашла она 126 объектов, я всё одним махом удалил, рассудив, что лучше я переустановлю винду, если что-то поломается, главное, что бы чёртов вирус удалился. И вот, спустя день,броузер сам установился опять=) Архив автоматического сборщика логов прикрепил к сообщению, спасайте!

CollectionLog-2017.05.27-16.30.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe', '');
 QuarantineFile('c:\programdata\package cache\{e01cb7f1-3e88-4450-1764-b3cc1e205c4a}v10.1.14393.795\installers\30daf459e79c5d26366654b1b482e87.cab:dp:$DATA', '');
 QuarantineFile('c:\programdata\package cache\{00c5024d-925c-4e9e-a8e6-f9b84abe0da0}\packages\win81_sdk\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp:$DATA', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\background_fault\bf.dll', '');
 QuarantineFile('c:\program files (x86)\firefox\firefox.exe', '');
 QuarantineFile('c:\programdata\microsoft\software\shadow\provider.dll', '');
 QuarantineFileF('c:\programdata\bit\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Program Files (x86)\Firefox\xul.dll', '');
 QuarantineFileF('c:\users\дмитрий\appdata\roaming\winsapsvc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\microsoft\software\shadow\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('    C:\Users\Дмитрий\AppData\Local\snare\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Дмитрий\appdata\local\kitty\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Дмитрий\appdata\local\wanare', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe', '32');
 DeleteFile('c:\programdata\package cache\{e01cb7f1-3e88-4450-1764-b3cc1e205c4a}v10.1.14393.795\installers\30daf459e79c5d26366654b1b482e87.cab:dp:$DATA', '32');
 DeleteFile('c:\programdata\package cache\{00c5024d-925c-4e9e-a8e6-f9b84abe0da0}\packages\win81_sdk\9bcb3fab78e80d68be28892ea7ad46c3.msp:dp:$DATA', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 DeleteFileMask('c:\users\дмитрий\appdata\roaming\winsapsvc\', '*', true);
 DeleteFileMask('    C:\Users\Дмитрий\AppData\Local\snare\', '*', true);
 DeleteFileMask('C:\Users\Дмитрий\appdata\local\kitty\', '*', true);
 DeleteDirectory('c:\users\дмитрий\appdata\roaming\winsapsvc\');
 DeleteDirectory('    C:\Users\Дмитрий\AppData\Local\snare\');
 DeleteDirectory('C:\Users\Дмитрий\appdata\local\kitty\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[koloff]

http://virusinfo.info/virusdetector/report.php?md5=4A9432742E3A244F759EACE9D6A1158C

Чуть позже закончу процедуры до конца, буквально через 20 минут и всё выложу здесь же.

 

Отчёт повторной диагностики Autologger и отчёт AdwCleaner:

 

Да, и вот ещё что, возможно, это важно. Помимо самопроизвольной установки Гугл Хром, вирус что-то делает с моим рабочим броузером Файрфокс, он становится на английском языке и меняется адрес домашней страницы. Мне приходиться не только удалять Гугл Хром, но и ещё обновлять Файрфокс каждый раз.

Check_Browsers_LNK.log

CollectionLog-2017.05.27-18.38.zip

AdwCleanerS1.txt

[regist]

 

 

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

не тот лог прикрепили.

 

И карантин так и не прислали. Жду карантин.

[koloff]

 

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

не тот лог прикрепили.

 

И карантин так и не прислали. Жду карантин.

 

Мне даже письмо пришло о завершении его обработки:

https://virusinfo.info/virusdetector/report.php?md5=4A9432742E3A244F759EACE9D6A1158C

С отчётом, да, запарился. Прикрепил нужный файл. Спасибо за усилия и затраченное время.

ClearLNK-27.05.2017_18-25.log

[regist]

Читаем внимательно
 
 

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Изменено 27 мая, 2017 пользователем regist

[koloff]

Так, я через форму прикреплял, сейчас ещё раз тоже самое сделаю, если опять не придёт - скину на мыло тогда.

[regist]

@koloff, не путайте форму для пополнения файлов безопасных (Вирусдетектор) с формой для отправки карантина. Вы тут дали ссылку отчёта на отчёт Вирусдетектор и это вы делали до скрипта AVZ. А карантин которые забрали скриптом вы не прислали.

[koloff]

Да, не прикрепляется, внизу идёт индикация над кнопкой "послать сообщение", но не завершается. Сейчас скину на мыло тогда

Скинул на мыло, терпенье друзья, я не владею кунг-фу на вашем уровне=)

[regist]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[koloff]

Сделал, как просили, отчёт прикрепил.

AdwCleanerS3.txt

[regist]

Опять не тот отчёт .

Нужен с буквой [C в название.

[koloff]

Исправился=)

AdwCleanerC2.txt

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[koloff]

Фигасе, сколько отчётов, хорошо хоть не перфокарты=) Сделаю через час, сейчас собака меня гулять поведёт=)