Подозрение на вирусы

[ФёдомМ]

Здравствуйте. На моем сайте https://motovilovdmitry.ru/ как то оказался вирус. Пр переходе на него антивирус Касперский выдает сообщение: 

 

Заблокирован опасный веб-адрес;https://cdnlibrary.bid/api/v2/?type=stat&data=plusonet%3B3.8&28341883571

 

Полностью сообщение из отчета антивируса выглядит так: 

 

04.05.2018 10.31.43;Заблокирован опасный веб-адрес;https://cdnlibrary.bid/api/v2/?type=stat&data=plusonet%3B3.8&28341883571;https://cdnlibrary.bid/api/v2/?type=stat&data=plusonet%3B3.8&28341883571;Веб-адрес;Веб-адресобнаружен в базе вредоносных веб-адресов;Google Chrome;05/04/2018 10:31:43

 

Проверка сайта в сервисе http://antivirus-alarm.ru/proverka/показала, что там полно разных вирусов траянов и биткоинов. Есть мнение, что эти сайты проникли с компьютера, но антивирус ничего не обнаружил. А у меня давно возникли подозрения, что мой компьютер заражен вирусами. Подозрения возникли после того, как установил скачанную с интернета программу. Программу удалил, но проблема осталась. Компьютер стал постоянно что-то грузить в интернете, вентиляторы видеокарты стали запускаться от простого нажатия мыши по любому документу и файлу. Видеокарта хорошая и до этого работала тихо при таких операциях. Разные зависания, мелькания и т. д.

 

Помогите пожалуйста.

CollectionLog-2018.05.04-10.26.zip

Изменено 4 мая, 2018 пользователем ФёдомМ

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Driver Booster

IObit Uninstaller

VKMusic 4

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ФёдомМ]

Вот

AdwCleanerS00.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и ремонт и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ФёдомМ]

Готово

AdwCleanerC01.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  FF user.js: detected! => C:\Users\Дмитрий\AppData\Roaming\Mozilla\Firefox\Profiles\pbdjz88r.default\user.js [2018-02-15]
  S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\drivers\Monitor_win10_x64.sys [X]
  2018-05-04 07:58 - 2018-05-04 07:58 - 000003022 _____ C:\WINDOWS\System32\Tasks\Driver Booster SkipUAC (Дмитрий)
  2018-05-04 13:20 - 2016-07-16 10:09 - 000000000 ____D C:\Users\Все пользователи\IObit
  2018-05-04 13:20 - 2016-07-16 10:09 - 000000000 ____D C:\ProgramData\IObit
  2018-05-04 13:20 - 2016-07-16 10:09 - 000000000 ____D C:\Program Files (x86)\IObit
  Task: {96B1F18A-C864-4A3B-AD2B-6007D0D3124C} - System32\Tasks\Driver Booster SkipUAC (Дмитрий) => E:\Служебные программы\Driver Booster\DriverBooster.exe
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
  FirewallRules: [{C72A9129-4E04-4959-8CCB-CB7F21456E7B}] => (Allow) E:\Служебные программы\Driver Booster\DriverBooster.exe
  FirewallRules: [{3DE919F5-7487-43D0-A89E-E2895E3BE829}] => (Allow) E:\Служебные программы\Driver Booster\DriverBooster.exe
  FirewallRules: [{E8BD7785-CD06-4FC1-898E-80173B62FFDC}] => (Allow) E:\Служебные программы\Driver Booster\DBDownloader.exe
  FirewallRules: [{B41421BA-0FF7-4F7C-A563-280D8F3D5F01}] => (Allow) E:\Служебные программы\Driver Booster\DBDownloader.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[ФёдомМ]

А это код нужно было вставлять в поле FRST? А то я делал точно так как писали. Просто нажал копировать и Fix

Fixlog.txt

[Sandor]

Вы все сделали правильно.

 

В системе порядок. Проверить сайт и получить советы по очистке можете здесь.

 

В завершение на компьютере:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ФёдомМ]

Готово

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.248.16299.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

LibreOffice 5.4.4.2 v.5.4.4.2 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

--------------------------- [ AppleProduction ] ---------------------------

QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

------------------------------- [ Browser ] -------------------------------

Yandex v.18.2.1.196 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

 

Рекомендации после удаления вредоносного ПО

[ФёдомМ]

Меня заблокировали на сайте safezone.cc после первого же поста. Причина: за спам.    Никогда не занимался спамом

[Sandor]

Сейчас уточню.

[akoK]

Уже разблокировали. Ошибка вышла, прошу прощения.

А по поводу проблемы, сайт пытается подключить майнер. Отключите плагин от pluso.net (если сами не решили что-то намайнить) и проверьте сайт https://wordpress.org/plugins/wordfence/