Не удается вычистить систему от амиго, мэйлру, спам в браузерах

@tigeron · Регистрация: 08.11.2015

Author24 — интернет-сервис помощи студентам

Нужен хэлп в очистке от последствий скачивания зараженных файлов и установки на комп вредоносных программ:
были установлены вирусом:
-амиго
-майлру
-еще где-то пять ярлыков на рабочем столе
Удалил файлы маэл, деинсталировал что мог.
идет поток рекламы в хром и мазиле - порно, реклама и прочее, открываются новые окна.
Чистка аваст не помогает, браузеры не вычещает.

Однажды этот форум мне уже помог, надеюсь и в этот раз поможете!

@tigeron · 23.02.2016, 17:52 **[ТС]**

пропал ответ

@thyrex · 24.02.2016, 00:17

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Andrey\appdata\roaming\texteditor\daemon\texteditor.exe','');
 QuarantineFile('C:\Users\Andrey\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
 DeleteFile('C:\Users\Andrey\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
 DeleteFile('C:\Users\Andrey\appdata\roaming\texteditor\daemon\texteditor.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ahqcrdgyku');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@tigeron · 24.02.2016, 03:30 **[ТС]**

новые логи:

@thyrex · 24.02.2016, 19:32

Сделайте лог МВАМ

@tigeron · 25.02.2016, 02:20 **[ТС]**

mbam-log - лог МВАМ

@thyrex · 25.02.2016, 23:25

Удалите в МВАМ все, кроме

Код

RiskWare.Tool.CK, E:\GPS\старое\garmin_unlock_generator_1_6_\garmin_kgen.exe, , [2f570e56edac4ee8dd2066bd5fa3728e],

@tigeron · 26.02.2016, 00:28 **[ТС]**

После второго сканирования - нашел еще больше подозрительных и зараженных файлов.
Удалил
файл:

@thyrex · 26.02.2016, 18:14

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@tigeron · 26.02.2016, 18:35 **[ТС]**

готово

@thyrex · 26.02.2016, 19:40

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {E5A1691B-D188-4419-AD02-90002030B8EE} -> No File
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKU\S-1-5-21-4045067695-3269576277-2047776434-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} -  No File
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://opatolo.ru/?utm_source=startpage03&utm_content=678dd9988de1f846bfeee036e0fe1554&utm_term=4BC7B980470F73B4A010AECCD4B8522B&utm_d=20160222"
2016-02-22 22:05 - 2016-02-22 22:05 - 00000000 ____D C:\Users\Andrey\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета
2016-02-22 22:01 - 2016-02-22 22:01 - 00000000 ____D C:\Users\Andrey\AppData\Local\Вoйти в Интeрнет
2016-02-22 21:57 - 2016-02-22 22:15 - 00000000 ____D C:\Users\Andrey\AppData\Roaming\TextEditor
2016-02-22 21:55 - 2016-02-22 21:55 - 00000000 ____D C:\Users\Andrey\AppData\Local\Поиcк в Интeрнете
C:\Users\Andrey\AppData\Local\Temp\4wEALOosxTsj.exe
C:\Users\Andrey\AppData\Local\Temp\C0pTxfVqyfr7.exe
C:\Users\Andrey\AppData\Local\Temp\IB3MqI7G6gE2.exe
C:\Users\Andrey\AppData\Local\Temp\iDtaPbTLmkDy.exe
C:\Users\Andrey\AppData\Local\Temp\ILCqTOGB0pg8.exe
C:\Users\Andrey\AppData\Local\Temp\irN3kNcKrNKn.exe
C:\Users\Andrey\AppData\Local\Temp\LWuliPEnoxiz.exe
C:\Users\Andrey\AppData\Local\Temp\O0za6Y3kiQs9.exe
C:\Users\Andrey\AppData\Local\Temp\R6jme941lp36.exe
C:\Users\Andrey\AppData\Local\Temp\U1xpdlqbzuI0.exe
C:\Users\Andrey\AppData\Local\Temp\Wa2fLLZns462.exe
C:\Users\Andrey\AppData\Local\Temp\xx7XmXqBGnXw.exe
CustomCLSID: HKU\S-1-5-21-4045067695-3269576277-2047776434-1000_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-4045067695-3269576277-2047776434-1000_Classes\CLSID\{ECF41531-0840-4361-955F-1157A091842F}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-4045067695-3269576277-2047776434-1000_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> no filepath
AlternateDataStreams: C:\Windows:nlsPreferences
AlternateDataStreams: C:\ProgramData\TEMP:BF14D50A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF14D50A
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@tigeron · 27.02.2016, 03:27 **[ТС]**

Спасибо!
сделал

@thyrex · 27.02.2016, 09:30

Что с проблемой?

@tigeron · 27.02.2016, 12:18 **[ТС]**

после перезагрузки - слетели все закладки в хроме. сделал две закладки - сейчас перезагрузил.
закладок нет, это не проблема, а вот всплыли окна с информацией, что установлено приложение мэйл - разрешить или удалить, я выбрал удалить (два разных от мэйл). Так же еще аваст приложение - разрешил.
Понаблюдаю, будут ли выскакивать реклама или нет.
Во втором браузере спама нет.
Спасибо - пока всё спокойно.
Кажется, вы меня спасли от этой заразы, надеюсь!
Чуть позже еще отпишусь.

@thyrex · 27.02.2016, 14:04

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@tigeron · 27.02.2016, 14:07 **[ТС]**

есть

@thyrex · 27.02.2016, 15:22

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.10240.16683 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.2.2.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitComet 1.35 v.1.35 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
Zona Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 (64-bit) v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-x64.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime v.7.62.14.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.19.0.0.241 Внимание! Скачать обновления
Adobe Flash Player 19 NPAPI v.19.0.0.245 Внимание! Скачать обновления
Adobe Flash Player 18 PPAPI v.18.0.0.232 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera 12.17 v.12.17.1863 Внимание! Скачать обновления

Выполните рекомендованное + Рекомендации после удаления вредоносного ПО

@tigeron · 27.02.2016, 21:09 **[ТС]**

Вроде побороли!
обновился, проверил...
Еще раз огромное спасибо thyrex и cyberforum.ru

@tigeron 0 / 0 / 0 Регистрация: 08.11.2015 Сообщений: 22
	23.02.2016, 17:52 [ТС]	2
	пропал ответ 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.02.2016, 19:32	5
	Сделайте лог МВАМ 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	25.02.2016, 23:25	7
	Удалите в МВАМ все, кроме Код RiskWare.Tool.CK, E:\GPS\старое\garmin_unlock_generator_1_6_\garmin_kgen.exe, , [2f570e56edac4ee8dd2066bd5fa3728e], 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	26.02.2016, 18:14	9
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	27.02.2016, 09:30	13
	Что с проблемой? 1

@tigeron 0 / 0 / 0 Регистрация: 08.11.2015 Сообщений: 22
	27.02.2016, 12:18 [ТС]	14
	после перезагрузки - слетели все закладки в хроме. сделал две закладки - сейчас перезагрузил. закладок нет, это не проблема, а вот всплыли окна с информацией, что установлено приложение мэйл - разрешить или удалить, я выбрал удалить (два разных от мэйл). Так же еще аваст приложение - разрешил. Понаблюдаю, будут ли выскакивать реклама или нет. Во втором браузере спама нет. Спасибо - пока всё спокойно. Кажется, вы меня спасли от этой заразы, надеюсь! Чуть позже еще отпишусь. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	27.02.2016, 14:04	15
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	27.02.2016, 15:22	17
	Сообщение было отмечено tigeron как решение Решение ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.10240.16683 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------- [ OtherUtilities ] ---------------------------- VLC media player v.2.2.1 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- BitComet 1.35 v.1.35 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. Zona Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 66 (64-bit) v.8.0.660.18 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u74-windows-x64.exe)^ --------------------------- [ AppleProduction ] --------------------------- QuickTime v.7.62.14.0 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.19.0.0.241 Внимание! Скачать обновления Adobe Flash Player 19 NPAPI v.19.0.0.245 Внимание! Скачать обновления Adobe Flash Player 18 PPAPI v.18.0.0.232 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Opera 12.17 v.12.17.1863 Внимание! Скачать обновления Выполните рекомендованное + Рекомендации после удаления вредоносного ПО 1

@tigeron 0 / 0 / 0 Регистрация: 08.11.2015 Сообщений: 22
	27.02.2016, 21:09 [ТС]	18
	Вроде побороли! обновился, проверил... Еще раз огромное спасибо thyrex и cyberforum.ru 0

Не удается вычистить систему от амиго, мэйлру, спам в браузерах

Решение