Вирусный сайт вылезает при загрузке ПК

[Mr.Genry]

Вот сайт: http://lyll.net

 

Нужно устранить эту ахинею.

 

Логи: https://yadi.sk/d/FaQxx606sFrxzQ

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
 
логи должны быть приложены в сообщении на форуме

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\{f8ad12-539142-e83a-c839ef5a604d}\hostdl.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinInetDriver.url','');
 QuarantineFile('C:\Windows\Adobe Flash Player\Adobe.exe','');
 DeleteFile('C:\Windows\Adobe Flash Player\Adobe.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU','x32');
 DeleteFile('C:\ProgramData\{f8ad12-539142-e83a-c839ef5a604d}\hostdl.exe','64');
 DeleteSchedulerTask('WinInetDriver');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinInetDriver.url','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Mr.Genry]

Готово ! 

ClearLNK-2019.01.11_14.26.06.log

[Sandor]

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Это тоже сделайте.

[Mr.Genry]

Готово 

CollectionLog-2019.01.11-18.53.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Mr.Genry]

Готово

Addition.txt

FRST.txt

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Adobe Flash Player SU] => C:\Windows\Adobe Flash Player\Adobe.exe [147456 2013-05-07] (SoftIce)
HKU\S-1-5-21-1009069748-580823004-2438294475-1000\...\Run: [AdobeBridge] => [X]
InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinInetDriver.url -> URL: file:///C:\ProgramData\{f8ad12-539142-e83a-c839ef5a604d}\hostdl.exe
2018-08-11 17:58 - 2018-08-11 18:00 - 000596480 _____ (Microsoft Corporation) C:\Users\admin\AppData\Local\Temp\AppVNice.exe
2018-07-28 14:11 - 2018-01-25 22:05 - 000187712 _____ () C:\Users\admin\AppData\Local\Temp\downloader.exe
2018-08-11 17:58 - 2018-08-11 18:00 - 000523264 _____ (Microsoft Corporation) C:\Users\admin\AppData\Local\Temp\dwmapi.exe
Task: {01E1CE46-2CCA-4AB0-9EBC-BF9ED4DD6B6F} - System32\Tasks\WinInetDriver => C:\ProgramData\{f8ad12-539142-e83a-c839ef5a604d}\hostdl.exe [2018-08-11] (Microsoft Corporation) <==== ATTENTION
Task: {2EA825F3-BF8E-49B3-8667-B9C94794F5E8} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {9F6F9281-5AAE-4929-A12A-B48FCF6B70A9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":
WMI:subscription\__EventFilter->BVTFilter:
WMI:subscription\CommandLineEventConsumer->BVTConsumer:
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Mr.Genry]

Проблема решилась, благодарю Вас !!!

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.