На ноутбке появились файлы .no_more_ransom, но Dr.Web ничего не находит.

[Sandor]

Фикс тоже делайте в обычном режиме:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  SearchScopes: HKU\S-1-5-21-302243855-471625580-1909430750-1001 -> 7D0A0A128FDE5C3F74B9DC0F92988204 URL = hxxp://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}
  S2 0293711518528864mcinstcleanup; C:\Users\Sony\AppData\Local\Temp\029371~1.EXE [834664 2013-07-30] (McAfee, Inc.) <==== ATTENTION
  AVG PC TuneUp (HKLM-x32\...\{149D912F-03DB-4895-913E-820CB11965C0}) (Version: 16.74.1 - AVG Technologies) Hidden
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится

AVG PC TuneUp

Удалите.

[AlexAndr11]

В обычном режиме запустил Fix, в перечне программ AVG не появился.
Прогнал FRST, логи прилагаю.
AVZ все так же повисает.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[Sandor]

в перечне программ AVG не появился

В логе виден

 

AVG PC TuneUp (HKLM-x32\...\{149D912F-03DB-4895-913E-820CB11965C0}) (Version: 16.74.1 - AVG Technologies)

Пробуйте удалить принудительно через Revo Uninstall.

[AlexAndr11]

Прогнал еще раз спец утилиту для удаления продуктов AVG.
Ничего не изменилось.
Revo программу увидел, но удалять отказался. "Удаление возможно только для установленных программ."
Просто удалил запись в реестре из Revo.
Каталоги, указанные в записи - отсутствуют.
В каталоге со спец утилитами удаления AVG, обнаружился файл: user.js
Который никак не мог туда попасть. Сегодня удалил такой же файл из корня диска С:

 

Внутри файла 1 строка:

==

user_pref("extensions.funmoods_i.instlRef", "");
==

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Сделайте следующее:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[AlexAndr11]

Вот.

VAIO_2018-02-16_15-57-34.7z

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;---------command-block---------
  bl 376547166AFFD0A765B9A2854DBABE90 32309
  zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSOEM.CRX
  delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSOEM.CRX
  zoo %SystemDrive%\USERS\SONY\APPDATA\LOCAL\TEMP\YUPDATE-PING-PUNTO.TEMP
  delall %SystemDrive%\USERS\SONY\APPDATA\LOCAL\TEMP\YUPDATE-PING-PUNTO.TEMP
  zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\BH\FUNMOODS.DLL
  delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\BH\FUNMOODS.DLL
  zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSAPP.DLL
  delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSAPP.DLL
  zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSENG.DLL
  delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSENG.DLL
  zoo %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSSRV.EXE
  delall %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\FUNMOODS\1.5.11.16\FUNMOODSSRV.EXE
  zoo %SystemDrive%\PROGRAM FILES (X86)\AVG\AVG PC TUNEUP\PROCESSMANAGER64.EXE
  delall %SystemDrive%\PROGRAM FILES (X86)\AVG\AVG PC TUNEUP\PROCESSMANAGER64.EXE
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL
  delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL
  deldir %SystemDrive%\PROGRAM FILES (X86)\FUNMOODS\
  apply
  
  regt 28
  regt 29
  czoo
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

[AlexAndr11]

Скрипт запустил. Файл сейчас отправлю.

Но загрузка винчестера - 100%.

AVZ завис.

[Sandor]

По методике половинного деления попробуйте определить из-за чего зависает AVZ.

[regist]

Удалите папку с AutoLogger-ом.

Потом скачайте его отсюда и попробуйте собрать логи им в обычном режиме.

[AlexAndr11]

Логи собрались. Только HiJack упал с ошибкой.
Файл ZOO_ отправить не могу. Gmail блокирует отправку.
Прикрепляю сюда.

CollectionLog-2018.02.16-17.59.zip

Изменено 16 февраля, 2018 пользователем regist
удалил карантин

[regist]

Только HiJack упал с ошибкой.

по логе не заметно. Попробуйте сделать лог HijackThis этой версией.

И в ней же тогда "Пофиксите":

O4-32 - HKLM\..\Run: [ATLauncher] = C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe /createshortcuts:1 (file missing)
O4-32 - HKLM\..\Run: [ATUninstallIcon] = C:\Program Files\McAfeeEx\McAfeeAntiTheft\ATLauncher.exe /createuninstallentry:1 (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Add to Google Photos Screensa&ver - C:\WINDOWS\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Отправить на Bluetooth - C:\Program Files (x86)\Intel\Bluetooth\btSendToObject.htm (file missing)
O9 - Button: HKCU\..\{2F56DCAA-153B-4479-B4E2-547405B34FB9} - Отправить на Bluetooth - C:\Program Files (x86)\Intel\Bluetooth\btSendToPage.htm (file missing)
O9 - Tools menu item: HKCU\..\{2F56DCAA-153B-4479-B4E2-547405B34FB9} - Отправить на Bluetooth - C:\Program Files (x86)\Intel\Bluetooth\btSendToPage.htm (file missing)
O22 - Task: (disabled) Dolby Selector - C:\Program Files (x86)\Dolby Home Theater v4\pcee4.exe -autostart (file missing)
O22 - Task: (disabled) \Microsoft\Windows\Setup\UpgradeTriggers\UpgradeNowTask - C:\WINDOWS\System32\GWX\GWXUXWorker.exe /UpgradeNow (file missing)

+ просьба, выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Sony\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Microsoft Office.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'Office_lnk.zip');
end.

Файл Office_lnk.zip из папки с распакованной утилитой AVZ прикрепите к сообщению. Изменено 16 февраля, 2018 пользователем regist

[AlexAndr11]

Взял HiJack другой версии.
Запусил, пофиксил и сделал логи.
Выполнил скрипт в AVZ.
Запустил последний логгер и сделал новые логи. Никто не падал.
Все 3 файла прилагаю.

CollectionLog-2018.02.16-20.28.zip

Office_lnk.zip

HiJackThis_debug.zip

Изменено 16 февраля, 2018 пользователем AlexAndr11

[regist]

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

и что с проблемой (не считая файлов)?

Изменено 16 февраля, 2018 пользователем regist

[AlexAndr11]

1. Собрал еще раз логи AVZ. Прилагаю.
2. Произвел отправку файлов по указанному адресу. Ссылка на результат:
http://virusinfo.info/virusdetector/report.php?md5=98783327FA2FDBC85D297AE7F5523EE3
При сборе AVZ очень много ругался на невозможность помещения файлов в карантин. Сохранить логи не сообразил, но можно еще раз повторить. В итоге на анализ отправились 2 файла - .dll и зашифрованный файл.
3. Проблема - 100% загрузка диска. В защищенном режиме такого нет.
Скриншоты диспетчера задач прилагаю.

virusinfo_syscheck.zip

screen.zip