Вирус не дает зайти в папки, закрывает браузер и программы.

[Craadge]

Добрый день, подхватил вирус, который не дает мне зайти в некоторые папки, например, сразу же закрывается папку "Пользователь", помимо этого моментально закрывается браузер при попытке скачивания или даже поиска антивирусных утилит, не знаю что делать. Autologger также сразу закрывается,AWZ тоже. Надеюсь на помощь, заранее спасибо!
Вот логи, которые смог сделать.

Rsitlog.txt

HiJackThis.log

Check_Browsers_LNK.log

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

Autologger также сразу закрывается,AWZ тоже

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Craadge]

После часовой проверки утилитой Kaspersky Removal Tool и лечением найденных угроз я решил проверить избавился ли от проблемы. Понял, что нет и хотел скачать FRST, но при нажатии на ссылку, аналогично с другими программами, браузер сразу закрывается.

[thyrex]

Пробуйте в безопасном режиме или скачайте на другом компьютере

[Craadge]

Извиняюсь, что так долго, вот в безопасном режиме получилось запустить FRST, еще на всякий случай запустил и Autologger.

Addition.txt

FRST.txt

CollectionLog-2018.04.14-19.49.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ContextMenuHandlers1: [GDContextMenu] -> {BB02B294-8425-42E5-983F-41A1FA970CD6} =>  -> No File
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {0193B70D-6CD5-4163-B039-F4E5EBECE268} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {18AF27A8-5354-4FDD-8E78-1880FDE2BD46} - \Lenovo\Lenovo Customer Feedback Program 64 -> No File <==== ATTENTION
Task: {203F79E5-26D9-40ED-A77D-66D0F9B1F98F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {81F3F440-A09C-41AC-84C1-0E3F13E7E37E} - \{2C0E5EE3-9773-4DDA-98B6-4A1D9866284E} -> No File <==== ATTENTION
Task: {BA535C1D-ACDB-4D3D-B0CD-798C1CE3F2D5} - \FastDataX Task -> No File <==== ATTENTION
Task: {CDDED0F1-3AB3-4951-9B1A-B22F90B31BEA} - \Lenovo\REACHit Agent Startup -> No File <==== ATTENTION
Task: {D9603294-ED9E-427E-B79B-D4B34AA08438} - \Lenovo\REACHit Agent Update -> No File <==== ATTENTION
Task: {DADE9F64-773D-4665-951F-3EB4EB036340} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {EF9FCF6D-EC71-4B84-BC4B-2EB566093D4B} - System32\Tasks\{4C3B0695-CA48-DD63-D130-C5CB269C50A5} => C:\Program Files (x86)\Common Files\JEJuADO.exe [1601-01-03] (Microsoft Corporation)
Task: {F71CF57A-DCAC-420E-8752-0F99B36FE960} - \Uninstaller_SkipUac_Артём -> No File <==== ATTENTION
Task: {425C0A63-F12D-4F2E-9661-CF8D18618414} - System32\Tasks\{EF3DD9DE-4BEA-CEF2-F5D2-AAA8E291B5E9} => C:\Users\Hacker\AppData\Roaming\XWIAE.exe [1601-01-03] (Microsoft Corporation) <==== ATTENTION
C:\Program Files (x86)\Common Files\JEJuADO.exe
C:\Users\Hacker\AppData\Roaming\XWIAE.exe
CHR Extension: (Quick Searcher) - C:\Users\Hacker\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2018-04-13]
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
C:\Users\Hacker\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha
C:\Users\Hacker\AppData\Local\Google\Chrome\User Data\DefaultBackup\Extensions\pbdpajcdgknpendpmecafmopknefafha
2018-04-13 22:40 - 2018-04-13 22:40 - 000000000 ____D C:\Users\Hacker\AppData\Roaming\SystemHealer
2018-04-13 22:39 - 2018-04-14 18:29 - 000000000 ____D C:\Users\Hacker\AppData\Roaming\WeatherForecaster
2018-04-13 22:39 - 2018-04-14 17:25 - 000000000 ____D C:\Program Files (x86)\FastDataX
2018-04-13 22:39 - 2018-04-14 17:24 - 000000000 ____D C:\Users\Все пользователи\002a72d6-6eb7-0
2018-04-13 22:39 - 2018-04-14 17:24 - 000000000 ____D C:\Users\Все пользователи\002a72d6-2b47-1
2018-04-13 22:39 - 2018-04-14 17:24 - 000000000 ____D C:\ProgramData\002a72d6-6eb7-0
2018-04-13 22:39 - 2018-04-14 17:24 - 000000000 ____D C:\ProgramData\002a72d6-2b47-1
2018-04-13 22:39 - 2018-04-13 22:39 - 000003774 _____ C:\WINDOWS\System32\Tasks\{4C3B0695-CA48-DD63-D130-C5CB269C50A5}
2018-04-13 22:39 - 2018-04-13 22:39 - 000003564 _____ C:\WINDOWS\System32\Tasks\{EF3DD9DE-4BEA-CEF2-F5D2-AAA8E291B5E9}
2018-04-13 22:39 - 2018-04-13 22:39 - 000000003 _____ C:\Users\Hacker\AppData\Local\wbem.ini
2018-04-13 22:39 - 2018-04-13 22:39 - 000000000 ____D C:\Users\Hacker\AppData\Local\FastDataX
1601-01-03 21:33 - 1601-01-03 21:33 - 000174592 ____N (Microsoft Corporation) C:\Users\Hacker\AppData\Roaming\kfomzvAVWoRIe.exe
2017-07-19 22:32 - 2017-07-19 22:32 - 000000000 _____ () C:\Users\Hacker\AppData\Roaming\am10.tmp
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Craadge]

Всё сделал.

Fixlog.txt

[thyrex]

Пробуйте теперь собрать логи Autologger в обычном, а не безопасном, режиме

[Craadge]

Получилось!

CollectionLog-2018.04.14-20.54.zip

[thyrex]

C:\WINDOWS\winstart.bat удалите вручную.

 

Все проблемы пропали?

[Craadge]

Удалил, да, теперь все работает как прежде.
Огромное спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Craadge]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 14.04.2018 21:12:16

Path starting: C:\Users\Hacker\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Hacker

VersionXML: 4.94is-11.04.2018

___________________________________________________________________________

 

Windows 10(6.3.16299) (x64) Professional Версия: 1709 Lang: Russian(0419)

Дата установки ОС: 07.12.2017 21:25:03

Статус лицензии: Office 15, OfficeProPlusR_Grace edition Windows находится в режиме уведомления

Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно.

Статус лицензии: Office 16, Office16PowerPointVL_KMS_Client edition Windows находится в режиме уведомления

Статус лицензии: Office 15, OfficeWordVL_KMS_Client edition Windows находится в режиме уведомления

Статус лицензии: Office 15, OfficeExcelVL_KMS_Client edition Windows находится в режиме уведомления

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [130.4 Гб] Занято: [90.2 Гб] Свободно: [40.2 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.248.16299.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2013 x64 v.15.0.4569.1506

Microsoft Office 2016 x64 v.16.0.4266.1001

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Защитника Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Avast Free Antivirus v.18.3.2333

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.50 (64-разрядная) v.5.50.0

--------------------------------- [ IM ] ----------------------------------

Telegram Desktop version 1.2.15 v.1.2.15 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.3.44396 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 141 (64-bit) v.8.0.1410.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 71 (64-bit) v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 29 NPAPI v.29.0.0.140

Adobe Acrobat Reader DC - Russian v.18.011.20038

------------------------------- [ Browser ] -------------------------------

Google Chrome v.65.0.3325.181

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.65.0.3325.181

------------------ [ AntivirusFirewallProcessServices ] -------------------

Avast Antivirus (avast! Antivirus) - Служба работает

C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.18.3.3860.0

aswbIDSAgent (aswbIDSAgent) - Служба остановлена

C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.3.3860.315

Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена

Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Служба автоматического обновления программ Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

application extension version 1.5 v.1.5 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

----------------------------- [ End of Log ] ------------------------------

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Google Toolbar for Internet Explorer (HKLM-x32\...\{18455581-E099-4BA8-BC6B-F34B2F06600C}) (Version: 1.0.0 - Google Inc.) Hidden
Google Update Helper (HKLM-x32\...\{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}) (Version: 1.3.33.7 - Google Inc.) Hidden
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

После этого выполните все рекомендации из лога SecurityCheck, и на этом закончим