Вирус, пакетная установка программ, смена ярлыков браузера и т.п

@vlestat86 · Регистрация: 19.08.2015

Author24 — интернет-сервис помощи студентам

словил в сети вирус, он поставил кучу программ левых, crossbrowser, kometa, что-то еще, какой-то китайский защитник-оптимизатор системы. почистил частично в реестре + dr.web cure it прогонял раз 15.

запустил AVZ какие то хвосты видно, подскажите как лучше убрать

@Sandor · 19.08.2015, 08:56

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя vlestat86. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 8
IObit Uninstaller
VKMusic 4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\03000200-1439849256-0500-0006-000700080009\knszF26.tmpfs', '');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
 QuarantineFile('C:\Users\Петр\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '');
 DeleteFile('C:\Program Files (x86)\03000200-1439849256-0500-0006-000700080009\knszF26.tmpfs', '32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '32');
 DeleteFile('C:\Users\Петр\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer');
 DeleteService('lohywefo');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или через форму в верху этой ветки.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@vlestat86 · 19.08.2015, 19:58 **[ТС]**

vkmusic оставил, остальное удалил т.к. dr.web cure it постарался загубить.
скрипт выполнил и направил карантин.
Лог ClearLNK приложил
adwcleaner запускал еще до поста темы, логи выложил все что были

@vlestat86 · 20.08.2015, 06:44 **[ТС]**

Карантин лог adwcleaner

@Sandor · 20.08.2015, 08:49

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление, нажав кнопку: Да.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@vlestat86 · 20.08.2015, 20:05 **[ТС]**

лог FRCT

@vlestat86 · 20.08.2015, 20:06 **[ТС]**

логи

@Sandor · 21.08.2015, 08:29

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Surfing Protection

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMGCShellExt64.dll No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
URLSearchHook: [S-1-5-21-3265040-228686919-858842709-1001] ATTENTION => Default URLSearchHook is missing
FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\npQMExtensionsMozilla.dll [No File]
FF Extension: Advanced SystemCare Surfing Protection - C:\Users\Петр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\iobitascsurfingprotection@iobit.com [2015-05-14]
S3 WinRing0_1_2_0; no ImagePath
2015-08-18 01:59 - 2015-08-18 01:59 - 00000000 ____D C:\Users\Public\QiYi
Task: {00EDD1BA-F24E-46D4-AA43-C5CBFD90662C} - System32\Tasks\ASC8_SkipUac_Link => C:\Program Files (x86)\Advanced SystemCare 8\ASC.exe
Task: {15960C0E-1785-4323-8993-F290E602936C} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-3 -> No File <==== ATTENTION
Task: {206EF359-6BFE-47F0-AD14-0FCBFE0F35C4} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-5 -> No File <==== ATTENTION
Task: {4397E261-B418-4D27-ACCB-97B160B1A1EC} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-1-6 -> No File <==== ATTENTION
Task: {542317EC-C04E-4BBB-BFB8-CFF9DBDC80C2} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-1-7 -> No File <==== ATTENTION
Task: {643F641D-C9C5-4E5F-8E11-836F4B1A006E} - System32\Tasks\CYic5q03 => C:\Users\����\AppData\Roaming\CYic5q03.exe <==== ATTENTION
Task: {7094ECC0-DE04-496A-BC35-F961864EBEC4} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-6 -> No File <==== ATTENTION
Task: {8C71BF67-F466-460F-8AE9-5CBD96A8D4FA} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-10_user -> No File <==== ATTENTION
Task: {AC6E2D25-27DB-4796-B94E-4B3216CF377A} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-5_user -> No File <==== ATTENTION
Task: {C491B333-77B4-41C4-8FA0-F26E2DEE4E46} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-7 -> No File <==== ATTENTION
Task: {C51A3092-AB57-41EF-9CA4-9ABB2C527772} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\Advanced SystemCare 8\Monitor.exe
Task: {D5B56537-E59A-4AE9-AE26-FC661B7243E8} - \d53c3b5e-a709-4c22-9ba3-0d561e69df6f-11 -> No File <==== ATTENTION
Task: {DFA558FE-79DC-4E96-BC4D-7257ADEC703C} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {F2C9CE96-D898-44AA-8BE2-6CBC403E5133} - System32\Tasks\Driver Booster SkipUAC (Link) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: C:\Windows\Tasks\ASC8_SkipUac_Link.job => C:\Program Files (x86)\Advanced SystemCare 8\ASC.exe
Task: C:\Windows\Tasks\CYic5q03.job => C:\Users\����\AppData\Roaming\CYic5q03.exe <==== ATTENTION
FirewallRules: [{6F01D940-CD1E-432D-A90C-B4DA59692A8A}] => (Allow) C:\Users\Петр\AppData\Local\Temp\is-1RIQS.tmp\setup5056.tmp
FirewallRules: [{9631AC71-6C8C-4D3C-A2E2-88EC332F1008}] => (Allow) C:\Users\Петр\AppData\Local\Temp\is-1RIQS.tmp\setup5056.tmp
FirewallRules: [{D8F69582-B787-4B83-88F0-E7C96576C756}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCmgrInstallGuide.exe
FirewallRules: [{48746613-39D2-4C42-AA62-2DD3BBAD6240}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCMgr.exe
FirewallRules: [{256EE263-F990-43C7-98C2-E4E99BFE99B7}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCRTP.exe
FirewallRules: [{807E73DF-2A95-435A-97B9-42DC1FA3585A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMDL.exe
FirewallRules: [{E60BE5C3-F84D-476B-B03B-34D1ED895935}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\bugreport.exe
FirewallRules: [{88792C07-EDBB-4EE2-A545-0D786CEF9AB0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCFileOpen.exe
FirewallRules: [{F619CEBA-B1E5-40A1-9952-82AD7FA2D0B0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLeakScan.exe
FirewallRules: [{4CCCFEFF-C7BD-4588-B5A2-20F8CE607634}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPConfig.exe
FirewallRules: [{61ABFD08-F751-455D-B633-DDB4DC76E1A0}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftMgr.exe
FirewallRules: [{641B0F74-CD66-4580-A8D4-CDD3CCEA6884}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{B71CE856-D5EF-4E11-884E-E55914193A70}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCBTU.exe
FirewallRules: [{A927E4A0-AE62-46B1-BCB2-CF86BFEAE2B9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCClinic.exe
FirewallRules: [{CC2FA402-3C28-4AAD-BED6-1071B9B56E75}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCLaunch.exe
FirewallRules: [{58E032E4-4B62-4512-91F4-CC29953FC486}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{8C5D3EE1-C6F0-4F9A-AA2D-A8C97996BB75}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSoftGame.exe
FirewallRules: [{134EC0F2-05E8-40F2-A5B1-644D9FBD9DFE}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCSysOptimize.exe
FirewallRules: [{5B8C4598-47D0-475A-8846-2376EF037266}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCUpdateAVLib.exe
FirewallRules: [{1A13FC86-51E0-4354-A393-8D081E5A9531}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQRepair.exe
FirewallRules: [{89D487FB-37EA-4526-A6CD-3125EBEE7EBE}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe
FirewallRules: [{FF3C758E-897F-4AB4-BB83-DD67807E36F3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQPCPatch.exe
FirewallRules: [{9F030E12-5625-4EE5-9512-7B950E93F82C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\TpkUpdate.exe
FirewallRules: [{4F679340-73CF-4C8B-9326-C8545333B1CF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMRouterMgr.exe
FirewallRules: [{33EEC3A0-D2FB-4598-A849-D5AD3CB30D0C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAccountProtection.exe
FirewallRules: [{8230310F-C06D-43D4-90CE-3DF3E50C35ED}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMAdBlock.exe
FirewallRules: [{8EDEE993-4E10-4F17-B129-5F3325CE4BA2}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{102994B1-73C2-49D1-87C4-1FF5D37FDD3D}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{33C58B30-6248-4F85-902F-07B032E4D05A}] => (Allow) C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@vlestat86 · 22.08.2015, 19:23 **[ТС]**

Вот лог

@thyrex · 22.08.2015, 23:01

Проблема решена?

@vlestat86 · 24.08.2015, 15:33 **[ТС]**

думаю да, всем спс

@Sandor · 24.08.2015, 16:11

В завершение -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

@vlestat86 · 25.08.2015, 19:34 **[ТС]**

не обнаружено)

@Sandor · 26.08.2015, 08:48

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Удачи!

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	19.08.2015, 08:56	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя vlestat86. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Advanced SystemCare 8 IObit Uninstaller VKMusic 4 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\03000200-1439849256-0500-0006-000700080009\knszF26.tmpfs', ''); QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', ''); QuarantineFile('C:\Users\Петр\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', ''); DeleteFile('C:\Program Files (x86)\03000200-1439849256-0500-0006-000700080009\knszF26.tmpfs', '32'); DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '32'); DeleteFile('C:\Users\Петр\AppData\Roaming\cpuminer\sgminer\sgminer.cmd', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteService('lohywefo'); ExecuteSysClean; ExecuteRepair(2); ExecuteRepair(21); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или через форму в верху этой ветки. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте лог сканирования AdwCleaner. 1

@vlestat86 0 / 0 / 0 Регистрация: 19.08.2015 Сообщений: 10
	20.08.2015, 06:44 [ТС]	4
	Карантин лог adwcleaner 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	20.08.2015, 08:49	5
	Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Удалить). Подтвердите удаление, нажав кнопку: Да. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@vlestat86 0 / 0 / 0 Регистрация: 19.08.2015 Сообщений: 10
	20.08.2015, 20:05 [ТС]	6
	лог FRCT 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	22.08.2015, 23:01	10
	Проблема решена? 0

@vlestat86 0 / 0 / 0 Регистрация: 19.08.2015 Сообщений: 10
	24.08.2015, 15:33 [ТС]	11
	думаю да, всем спс 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	24.08.2015, 16:11	12
	В завершение - Выполните скрипт в AVZ при наличии доступа в интернет: Код var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. 0

@vlestat86 0 / 0 / 0 Регистрация: 19.08.2015 Сообщений: 10
	25.08.2015, 19:34 [ТС]	13
	не обнаружено) 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	26.08.2015, 08:48	14
	Прочтите и выполните Рекомендации после удаления вредоносного ПО Удачи! 0