Не удаляется Trojan.win32.Foxhiex.vzn

[Santaa]

Добрый вечер, не могу удалить троян Trojan.win32.Foxhiex.vzn, выскакивает окошка с проблемой удаляешь вирус с перезагрузкой, и потом опять уведомляет один и тот же вирус постоянно , и появился  в браузере редирект перекидывает на другие сайты! 

Помогите очень буду признателен! 

Пока добавил в исключение мешает!

 

Изменено 20 января, 2018 пользователем Santaa

[regist]

Порядок оформления запроса о помощи
 

[Santaa]

Лог

CollectionLog-2018.01.21-02.37.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','');
 QuarantineFile('C:\Windows\uoIjj.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\srqbxovhnm','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ujnetpngpl','command');
 DeleteFile('C:\Windows\system32\Tasks\CYUTZuYIiAb','64');
 DeleteFile('C:\Windows\system32\Tasks\oaWotWOOr','64');
 DeleteFile('C:\Windows\system32\Tasks\rgyxA','64');
 DeleteFile('C:\Windows\system32\Tasks\Security kernel alive','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','32');
 DeleteFile('C:\Windows\uoIjj.bat','32');
 DeleteFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','32');
 DeleteFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Santaa]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','');
 QuarantineFile('C:\Windows\uoIjj.bat','');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\srqbxovhnm','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ujnetpngpl','command');
 DeleteFile('C:\Windows\system32\Tasks\CYUTZuYIiAb','64');
 DeleteFile('C:\Windows\system32\Tasks\oaWotWOOr','64');
 DeleteFile('C:\Windows\system32\Tasks\rgyxA','64');
 DeleteFile('C:\Windows\system32\Tasks\Security kernel alive','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Security\Security Helper.exe','32');
 DeleteFile('C:\Windows\uoIjj.bat','32');
 DeleteFile('C:\Users\User\AppData\Local\AIiVysiuUQBou.bat','32');
 DeleteFile('C:\Windows\SysWOW64\ZkyAzIebyEhi.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

KLAN-7546892220

CollectionLog-2018.01.21-12.28.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Santaa]

Вот

FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AutoConfigURL: [S-1-5-21-142851096-1159851177-1212156851-1000] => hxxp://webunstop.net/wpad.dat?219ec99c6aa27986c0905c68ad92b95237799036
ManualProxies: 0hxxp://webunstop.net/wpad.dat?219ec99c6aa27986c0905c68ad92b95237799036
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
2017-05-15 19:33 - 2017-05-15 19:33 - 000000001 _RHOT () C:\Program Files (x86)\YoutubeAdBlockIE
2017-05-15 19:33 - 2017-05-15 19:33 - 000000001 _RHOT () C:\Program Files (x86)\YoutubeAdBlockU
2017-05-15 19:33 - 2017-05-15 19:33 - 000000001 _RHOT () C:\Program Files (x86)\YoutubeAdBlockUn
2018-01-14 04:24 - 2009-07-14 07:14 - 000000061 _____ () C:\Users\User\AppData\Local\AIiVysiuUQBou
2018-01-14 04:24 - 2009-07-14 07:14 - 000001233 _____ () C:\Users\User\AppData\Local\nUELwUUJo
2009-07-14 07:14 - 2009-07-14 07:14 - 000001233 ____N () C:\Users\User\AppData\Local\nUELwUUJo.bat
2018-01-14 15:58 - 2018-01-14 15:58 - 000000001 _RHOT () C:\Users\User\AppData\Local\PCBooster
2017-05-15 19:48 - 2017-05-15 19:48 - 000000001 _RHOT () C:\Users\User\AppData\Local\SearchGo
2017-05-15 19:48 - 2017-05-15 19:48 - 000000001 _RHOT () C:\Users\User\AppData\Local\svshost
2018-01-14 04:24 - 2018-01-14 04:24 - 000000001 _____ () C:\Users\User\AppData\Local\WMI.ini
2018-01-21 05:00 - 2018-01-21 05:00 - 002674808 ___SH () C:\Users\User\AppData\Local\Temp\x64.exe
ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} =>  -> No File
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
Task: {199B559E-FEDD-41B1-8B6E-165560EF3D36} - System32\Tasks\Microsoft Updater => C:\Users\User\AppData\Local\Temp\x64.exe [2018-01-21] () <==== ATTENTION
Task: {2D87C32F-18BA-425E-9D41-4CC1CFD25685} - \CYUTZuYIiAb -> No File <==== ATTENTION
Task: {401CA876-20AD-4E73-95F4-75D5F475F1C3} - System32\Tasks\WinThruster64-User-Startup => D:\WinThruster64.exe [2017-11-09] (Solvusoft Corporation) <==== ATTENTION
Task: {466F302F-6F39-48C0-8199-C9EE15D971F0} - \Security kernel alive -> No File <==== ATTENTION
Task: {58942D88-928E-4841-97E1-AE5C506AA798} - \KMSAuto -> No File <==== ATTENTION
Task: {7585013E-AD48-4159-B55E-F2E194B58E07} - \Start Windows Idle Driver -> No File <==== ATTENTION
Task: {78C92367-D5ED-4597-A770-E4CAD39D6D01} - \{B254D7F2-2D1A-4317-84AA-DAEEC9A2C551} -> No File <==== ATTENTION
Task: {93BF6A9C-8BC8-4826-AFBD-F58E3A2F67DE} - \MicrosoftServ -> No File <==== ATTENTION
Task: {AF97954A-8121-4603-8A4D-9650AD357482} - \{0090EBCE-C96E-4F0D-9B8E-8DDDC6F3F81B} -> No File <==== ATTENTION
Task: {B4956DC4-526F-4468-8690-B561A05427E0} - \rgyxA -> No File <==== ATTENTION
Task: {BAD39D93-19A6-4708-8C2A-1ACD58E5FA2F} - \{243F2A72-B264-41FD-9905-CD1D97FA5C15} -> No File <==== ATTENTION
Task: {C376C352-7696-4529-8E3B-79069064D51E} - \MicrosoftUpdaters -> No File <==== ATTENTION
Task: {D425D079-7E94-4DBB-953F-6689BD770926} - \{4CC9E232-A58A-4114-8015-297A22963AC3} -> No File <==== ATTENTION
Task: {E0C71778-C5FC-4447-B96A-E71F179AE5FA} - \KAntiMalware -> No File <==== ATTENTION
Task: {E83DDD56-A067-488D-BA45-9981676CCFEF} - System32\Tasks\WinThruster64-User-Notification => D:\Sync.exe [2017-11-09] (Solvusoft Corporation) <==== ATTENTION
Task: {EA6A0C2A-F04C-4F35-A5BD-A15B39E9477A} - \oaWotWOOr -> No File <==== ATTENTION
Task: C:\Windows\Tasks\WinThruster64-User-Notification.job => D:\Sync.exe <==== ATTENTION
Task: C:\Windows\Tasks\WinThruster64-User-Startup.job => D:\WinThruster64.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [432]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [432]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [432]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [432]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [432]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [432]
MSCONFIG\startupreg: srqbxovhnm => explorer "http://oztumti.ru/?utm_source=uoua03&utm_content=0066319f24e731895037cbf820791226&utm_term=B1DF219C846693507544BF41CC6DF3A2&utm_d=20170415"
MSCONFIG\startupreg: ujnetpngpl => explorer "http://meribal.ru/?utm_source=uoua03&utm_content=6c10b317d9a47a5e6ebd9bafe2fbc906&utm_term=B1DF219C846693507544BF41CC6DF3A2&utm_d=20170415"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Santaa]

ВЫполнил

Fixlog.txt

[thyrex]

Проблема решена?

[Santaa]

Да спасибо решилась проблема, 

а  откуда этот троян появился и не удалялся ? ! можете сказать...

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.