При загрузке Windows запускается cmd и открывается gangnamgame.net

@Nearis · Регистрация: 20.04.2015

Author24 — интернет-сервис помощи студентам

Добрый день!
При запуске ПК срабатывает скрипт, ненадолго открывая командную строку, и открывает браузер со страницей gangnamgame.net. Реестр, Ccleaner не открывается как и другие программы. Система Win 7 x64.

Логи:

@Nearis · 18.09.2015, 16:48 **[ТС]**

Добавлю что AVZ даже от имени адм. не запускается.

@thyrex · 18.09.2015, 21:04

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Nearis\AppData\Roaming\newnext.me\googleupd.exe','');
 DeleteFile('C:\Users\Nearis\AppData\Roaming\newnext.me\googleupd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Выполните правила ЕЩЕ РАЗ обычной версией Autologger и предоставьте НОВЫЕ логи

@Nearis · 18.09.2015, 21:35 **[ТС]**

Выполнил:

Сообщение от thyrex

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Логи:

@Nearis · 18.09.2015, 23:37 **[ТС]**

После перезагрузки реестр и Ccleaner как и др.программы снова функционируют. Выскакивающие окно - браузер со страницей gangnamgame.net ликвидировано.

Извиняюсь если поспешил, но на радостях прикладываю заранее отчет SecurityCheck:

@thyrex · 19.09.2015, 23:10

Сделайте лог МВАМ

@Nearis · 20.09.2015, 02:41 **[ТС]**

Сообщение от thyrex

Сделайте лог МВАМ

Программка уже была установлена. Уже рекомендовалась вашими коллегами.

Прикрепляю лог:

@thyrex · 20.09.2015, 11:37

Удалите в МВАМ все, кроме

Код

PUP.Optional.OpenCandy, C:\Users\Nearis\AppData\Local\Temp\DTLite4491-0356.exe, , [a71bf839602bbc7afecabed959acc040], 
Trojan.VirTool, E:\Gemes\Wargame AirLand Battle\steam_api.dll, , [d1f12c05afdc8bab76028be0d32fe11f],

@Nearis · 20.09.2015, 16:33 **[ТС]**

Сообщение от thyrex

Удалите в МВАМ все, кроме

выполнил. Новый Лог:

@thyrex · 20.09.2015, 18:18

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

@Nearis · 20.09.2015, 23:55 **[ТС]**

не могу загрузить файлы, превышен размер. По этому выкладываю их архивом(сразу два).

@thyrex · 24.09.2015, 21:52

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
Task: {BF178118-426A-40D8-A3E4-D5711F7DF81A} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION
C:\Users\Nearis\AppData\Local\Temp\EUGYCJtNuEaB.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@Nearis · 25.09.2015, 03:18 **[ТС]**

Прикрепляю Fixlog.txt:

@Nearis · 25.09.2015, 03:21 **[ТС]**

У меня какая - та масштабная проблема? Или это профилактика?А то я нервничать начинаю, вторую неделю возимся.

@severnyj · 25.09.2015, 03:51

Сделайте новый лог SecurityCheck
У Вас зачистка от рекламных программ идет

@Nearis · 25.09.2015, 16:52 **[ТС]**

Сообщение от severnyj

Сделайте новый лог SecurityCheck

Новый лог:

@thyrex · 25.09.2015, 18:51

Обновите Firefox + Рекомендации после удаления вредоносного ПО

@Nearis · 25.09.2015, 19:26 **[ТС]**

Спасибо, как я могу отблагодарить вас и ваш проект?

@Nearis 1 / 1 / 0 Регистрация: 20.04.2015 Сообщений: 42
	25.09.2015, 03:21 [ТС]	14
	У меня какая - та масштабная проблема? Или это профилактика?А то я нервничать начинаю, вторую неделю возимся. 0

@Nearis 1 / 1 / 0 Регистрация: 20.04.2015 Сообщений: 42
	18.09.2015, 16:48 [ТС]	2
	Добавлю что AVZ даже от имени адм. не запускается. 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	19.09.2015, 23:10	6
	Сделайте лог МВАМ 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	20.09.2015, 18:18	10
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt**). Пожалуйста, и его тоже прикрепите в следующем сообщении. 0

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	24.09.2015, 21:52	12
	1. Откройте Блокнот и скопируйте в него приведенный ниже текст Код CreateRestorePoint: Task: {BF178118-426A-40D8-A3E4-D5711F7DF81A} - \GoogleUpdateTaskUserS-1-5-21-1970835742GUI -> No File <==== ATTENTION C:\Users\Nearis\AppData\Local\Temp\EUGYCJtNuEaB.exe Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – *Все файлы (.)* 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	25.09.2015, 03:51	15
	Сделайте новый лог SecurityCheck У Вас зачистка от рекламных программ идет 1

@thyrex 13099 / 7250 / 1535 Регистрация: 06.09.2009 Сообщений: 26,481
	25.09.2015, 18:51	17
	Обновите Firefox + Рекомендации после удаления вредоносного ПО 0

@Nearis 1 / 1 / 0 Регистрация: 20.04.2015 Сообщений: 42
	25.09.2015, 19:26 [ТС]	18
	Спасибо, как я могу отблагодарить вас и ваш проект? 0

При загрузке Windows запускается cmd и открывается gangnamgame.net

Решение