MSI - планировщик заданий

[r0sty]

Здравствуйте установилось много рекламы на компьютер(скачивал файл с платного ФО,хотя все галочки убрал) и теперь данный msi.exe не удаляется и каждый день закачивает новые файлы и вирусы,помогите пожалуйста
 

CollectionLog-2017.08.20-20.47.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\ASUS\appdata\roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\ASUS\appdata\local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Users\ASUS\appdata\local\comdev\comdev.exe','');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe','');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kquBD6dw.dll','');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ikwpvtuibt');
 DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kquBD6dw.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Users\ASUS\appdata\local\comdev\comdev.exe','32');
 DeleteFile('C:\Users\ASUS\appdata\local\wupdate\wupdate.exe','32');
 DeleteFile('C:\Users\ASUS\appdata\roaming\curl\curl_7_54.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[r0sty]

Все отправил,ссылку на тему в теме сообщения указал и в самом сообщении написал "virus"
​Вот новые логи 

CollectionLog-2017.08.20-21.46.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[r0sty]

Вот

Logs.rar

[thyrex]

Расширение Блокировщик Рекламы Для Ютуба™ удалите в Опера.

 

YoutubeAdBlock удалите через Установку программ.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 SvcHost Service Host; "C:\Windows\Microsoft\svchost.exe" -k LocalService [X]
2017-08-20 23:25 - 2017-08-20 23:25 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignf2eafa081afce30f
2017-08-20 23:24 - 2017-08-20 23:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsigne64a05f2337a98f2
2017-08-20 23:24 - 2017-08-20 23:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign7a1f57190164e263
2017-08-20 23:24 - 2017-08-20 23:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign1709205caeced57f
2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\thzXuJvjU
2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\QYERbvxRHIE
2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\GXZiGyYLSHyU2
2017-08-20 19:45 - 2017-08-20 19:45 - 000000000 ____D C:\Program Files (x86)\dCHHaxjOpqUn
2017-08-20 19:12 - 2017-08-20 19:12 - 000000000 ____D C:\Users\ASUS\AppData\Local\Вoйти в Интeрнет
2017-08-20 19:10 - 2017-08-20 19:10 - 000000000 ____D C:\Users\ASUS\AppData\Local\yc
2017-08-20 19:09 - 2017-08-20 21:29 - 000000000 ____D C:\Users\ASUS\AppData\Local\wupdate
2017-08-20 19:06 - 2017-08-20 19:06 - 000000000 ____D C:\Users\ASUS\AppData\Local\Поиcк в Интeрнете
2017-08-20 19:05 - 2017-08-20 19:37 - 000000000 ____D C:\Program Files\UBar
2017-08-18 12:25 - 2017-08-18 12:25 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignfb9bca1ba841a73e
2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignf0dd6c4c828160e8
2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignd4ceef654361548a
2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignac97d847aaf39011
2017-08-18 12:24 - 2017-08-18 12:24 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign52387c707d27baa2
2017-08-17 02:46 - 2017-08-17 02:46 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign2dcd7d6ce04034a9
2017-08-17 02:27 - 2017-08-17 02:27 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign91881130d3e403f1
2017-08-17 02:27 - 2017-08-17 02:27 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign80ffcf564fa9c0d6
2017-08-17 02:26 - 2017-08-17 02:26 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignf7cd7ee474bb9311
2017-08-17 02:26 - 2017-08-17 02:26 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign9388a14aa08d7926
2017-08-17 02:04 - 2017-08-17 02:04 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign8708de6cfef961f6
2017-08-17 02:03 - 2017-08-17 02:03 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign329819324cbd36f1
2017-08-17 02:02 - 2017-08-17 02:02 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignd2d8962f51239840
2017-08-17 02:02 - 2017-08-17 02:02 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign4fdf726ce0cd6632
2017-08-17 02:02 - 2017-08-17 02:02 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign2469eb17dd1dd598
2017-08-17 01:53 - 2017-08-17 01:53 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign0fcacaaf792add06
2017-08-17 01:52 - 2017-08-17 01:52 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignba8b46417858f099
2017-08-17 01:52 - 2017-08-17 01:52 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign1ab08662ad9c631b
2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsigne3726c564b0833e8
2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignbd1914c36868554b
2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign6cad3d2711ddbef6
2017-08-17 01:14 - 2017-08-17 01:14 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign4f1a143c4f61b007
2017-08-12 21:33 - 2017-08-12 21:33 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsignc3c356813913c856
2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign861ae2f3a388e74c
2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign6538f0d7f6d2ed0b
2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign2a46e1b04a4baebf
2017-08-12 21:32 - 2017-08-12 21:32 - 000000000 ____D C:\Users\ASUS\AppData\Local\Tempzxpsign145c1de3ee595611
2017-08-20 19:45 - 2017-08-20 19:45 - 002418819 ____N () C:\Users\ASUS\AppData\Local\Temp\35Ai37XrEK2G.exe
2017-08-20 19:10 - 2017-08-20 19:10 - 038316032 ____N (The Chromium Authors) C:\Users\ASUS\AppData\Local\Temp\6Gl6UweNjvse.exe
2017-08-20 19:05 - 2017-08-20 19:05 - 000026112 _____ (Ubar Plugin Soft) C:\Users\ASUS\AppData\Local\Temp\coi1634.exe
2017-08-20 19:05 - 2017-08-20 19:05 - 002418819 _____ () C:\Users\ASUS\AppData\Local\Temp\TDsU3dmFjhX5.exe
CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{182FB546-8596-4CEF-9CB5-E9505BF7F628}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\hhdhexneo.dll => No File
CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{6DB27B2E-87AC-4354-927A-AD711A0ED77E}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\FileDocument.dll => No File
CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{A244CEC5-DB63-4ED9-B0D7-A0527C064113}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\FileDocument.dll => No File
CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{AE1514A4-5D7D-4D1B-BC7F-320E6962B0DD}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\FileDocument.dll => No File
CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{B845012A-F05A-4EC8-816D-B033183B9CA5}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\hhdhexneo.dll => No File
CustomCLSID: HKU\S-1-5-21-1015105985-1077735623-4085421869-1000_Classes\CLSID\{F350F7C1-9F0E-4A97-8EEC-E690C7095BEF}\InprocServer32 -> C:\Users\ASUS\AppData\Local\HHD Software\Hex Editor Neo\PatchAPI\dll\x64\hexpatch64.dll => No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {94DC3936-A196-4D01-B68E-73A8B9AB5320} - \MSI -> No File <==== ATTENTION
C:\Users\ASUS\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[r0sty]

Выполнил

Fixlog.txt

[thyrex]

Проблема решена?

[r0sty]

Да,пропал msi.exe 

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Скопируйте содержимое файла в свое следующее сообщение.

[r0sty]

SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]

WebSite: www.safezone.cc

DateLog: 21.08.2017 10:48:56

Path starting: C:\Users\ASUS\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: ASUS

VersionXML: 4.56is-14.08.2017

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 16.04.2017 16:29:11

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files\Opera\Launcher.exe

Системный диск: C: ФС: [NTFS] Емкость: [59 Гб] Занято: [41.4 Гб] Свободно: [17.6 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18349 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено (-1)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба остановлена

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба остановлена

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138910 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3146963 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3170455 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3185911 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2010 x86 v.14.0.4763.1000

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба остановлена

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Kaspersky Secure Connection v.17.0.0.611

Kaspersky Free v.17.0.0.611

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 beta 6 (64-bit) v.5.50.6 [+]

FileZilla Client 3.27.0.1 v.3.27.0.1

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.39 v.7.39.102

---------------------------- [ ProxyAndVPNs ] -----------------------------

OpenVPN 2.4.3-I601 v.2.4.3-I601

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 144 (64-bit) v.8.0.1440.1

Java 8 Update 144 v.8.0.1440.1

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 26 ActiveX v.26.0.0.151

Adobe Flash Player 26 NPAPI v.26.0.0.151

Adobe Flash Player 26 PPAPI v.26.0.0.151

Adobe Reader XI (11.0.14) - Russian v.11.0.14 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - Проверить обновления!^

------------------------------- [ Browser ] -------------------------------

Opera Stable 47.0.2631.55 v.47.0.2631.55

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files\Opera\47.0.2631.55\opera.exe v.47.0.2631.55

------------------ [ AntivirusFirewallProcessServices ] -------------------

Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба остановлена

klvssbrigde64 (klvssbrigde64) - Служба остановлена

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksde.exe v.17.0.0.611

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 1.0\ksdeui.exe v.17.0.0.643

Защитник Windows (WinDefend) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------

[thyrex]

Исправляйте указанное

[r0sty]

Исправляйте указанное

hotfix'ы не устанавливаются,пишет,что не поддерживает система,что-то такое

[thyrex]

Значит пропустите этот шаг

[r0sty]

Все выполнил