Вирус создает виртуальные диски более 100 штук, что замедляет работу ПК

@mkc · Регистрация: 11.10.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте!
С неделю как стали создаваться виртуальные диски около 100 при каждой загрузке Win7. При работе с Проводником происходят зависания на 10-30 сек.
Удалял DAEMON`ом - появляются вновь.
Скачал у ВАС AutoLogger.
Высылаю логи.
Надеюсь на Вашу помощь!

@Sandor · 11.10.2016, 14:32

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя mkc. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG SafeGuard toolbar
MediaGet
WinZip System Utilities Suite
Амиго

Ace Stream Media 3.1.7 - ставили самостоятельно?

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\users\ася\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Ася\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 DeleteFile('C:\Users\Ася\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFileMask('c:\users\ася\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files\kinoroom browser', '*', true);
 DeleteDirectory('c:\users\ася\appdata\local\fupdate');
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files\kinoroom browser');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@mkc · 11.10.2016, 16:43 **[ТС]**

Спасибо за оперативность!

Удалены:
AVG SafeGuard toolbar
MediaGet
WinZip
Амиго

Т.к на ПК несколько пользователей - ответить по Ace Stream не могу.

1. Выполнил скрипт в AVZ - перезагружался ПК - 40 мин.
Выполнил второй скрипт.

2. Отправил файл quarantine.zip с помощью формы.

3. Отчет ClearLNK прикрепил.

4. Лог AdwCleaner прикрепил.

@Sandor · 11.10.2016, 16:52

Сообщение от mkc

ответить по Ace Stream не могу

Удалите. Если понадобится, после лечения переустановите.

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@mkc · 11.10.2016, 20:13 **[ТС]**

AceStream удалил.

1. AdwCleaner обнаружил более 100 угроз.
Во время Очистки зависал и не заканчивал работу.
Пришлось выполнить операцию по частям.
ПК Многократно перезагружался (10-15мин).
Все отчеты вместе прикрепил.

2. Отчеты Farbar прикрепил.

@Sandor · 12.10.2016, 09:19

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013
FF Extension: (No Name) - C:\Users\Ася\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\f877-22a2-d775-4e87 [2016-08-01]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Ася\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-08-01]
FF Extension: (No Name) - C:\Users\Ася\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-08-01] [not signed]
FF Extension: (Desktopy) - C:\Users\Ася\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2013-09-22] [not signed]
CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> gosearch
CHR Extension: (Яндекс) - C:\Users\Ася\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi [2016-08-07]
CHR Extension: (No Name) - C:\Users\Ася\AppData\Local\Google\Chrome\User Data\Default\Extensions\faminaibgiklngmfpfbhmokfmnglamcm [2016-08-01]
CHR Extension: (Яндекс) - C:\Users\Ася\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkfblcbjfojmgagikhldeppgmgdpjkpl [2016-08-07]
CHR Extension: (Google в качестве стартовой страницы) - C:\Users\Ася\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjopffcocgcnkigpnnmpcoimhjbjmba [2016-06-30]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что сейчас с проблемой.

@mkc · 12.10.2016, 09:38 **[ТС]**

Здравствуйте!

Перестали появляться виртуальные диски.
ПК временами зависает.
Загружается 20 мин.

@Sandor · 12.10.2016, 09:53

Сообщение от Sandor

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Где?

Загрузитесь в безопасном режиме и проверьте будет ли подобное зависание.

@mkc · 12.10.2016, 10:19 **[ТС]**

Высылаю отчет по FRST

@Sandor · 12.10.2016, 11:20

Сообщение от Sandor

Загрузитесь в безопасном режиме и проверьте будет ли подобное зависание

Проверили?

@mkc · 12.10.2016, 12:32 **[ТС]**

В Безопасном режиме загружался 2 раза - 10 и 14 мин.
Проводник работает без зависаний.

@Sandor · 12.10.2016, 12:42

Если проблема не наблюдается в безопасном режиме, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

@mkc · 12.10.2016, 13:30 **[ТС]**

После отключения Служб и Автозагрузки - ПК перезагружался 15мин.
Проводник зависает.
Да сам ПК тоже.

@Sandor · 12.10.2016, 13:44

Могу еще посоветовать потестировать "железо" - HDD, RAM и т.п.

@mkc · 12.10.2016, 14:39 **[ТС]**

После выполнения скрипта AVZ загрузка ПК занимает 20мин.
Обратно можно вернуть?
Точки восстановления системы стерлись.

@Sandor · 12.10.2016, 14:43

Скриптом ничего жизенно важного для системы удалено не было.

Сообщение от mkc

Точки восстановления системы стерлись.

Их не было на момент сбора логов FRST.

Сообщение от Sandor

потестировать "железо"

Не пробовали?

Для верности подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@mkc · 12.10.2016, 17:52 **[ТС]**

1. Ни разу не тестировал "железо".
Как и чем?

2. Прикрепил лог.

@Sandor · 13.10.2016, 09:12

Сообщение от mkc

Как и чем?

Об этом Вам лучше расскажут в системном разделе.

В логах порядок.

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	13.10.2016, 09:12	18
	Сообщение от mkc Как и чем? Об этом Вам лучше расскажут в системном разделе. В логах порядок. 1

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	11.10.2016, 14:32	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя mkc. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: AVG SafeGuard toolbar MediaGet WinZip System Utilities Suite Амиго Ace Stream Media 3.1.7 - ставили самостоятельно? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\users\ася\appdata\local\fupdate', '.exe, .dll, .sys, .bat, .vbs, .js, .tmp', true, '', 0 ,0); QuarantineFileF('c:\programdata\krb updater utility', '.exe, .dll, .sys, .bat, .vbs, .js, .tmp', true, '', 0 ,0); QuarantineFileF('c:\program files\kinoroom browser', '.exe, .dll, .sys, .bat, .vbs, .js, .tmp', true, '', 0 ,0); QuarantineFile('C:\Users\Ася\AppData\Local\fupdate\fupdate.exe', ''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', ''); QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true); DeleteFile('C:\Users\Ася\AppData\Local\fupdate\fupdate.exe', '32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32'); DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe', '32'); DeleteFileMask('c:\users\ася\appdata\local\fupdate', '', true); DeleteFileMask('c:\programdata\krb updater utility', '', true); DeleteFileMask('c:\program files\kinoroom browser', '', true); DeleteDirectory('c:\users\ася\appdata\local\fupdate'); DeleteDirectory('c:\programdata\krb updater utility'); DeleteDirectory('c:\program files\kinoroom browser'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	11.10.2016, 16:52	4
	Сообщение от mkc ответить по Ace Stream не могу Удалите. Если понадобится, после лечения переустановите. 1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@mkc 0 / 0 / 0 Регистрация: 11.10.2016 Сообщений: 9
	12.10.2016, 09:38 [ТС]	7
	Здравствуйте! Перестали появляться виртуальные диски. ПК временами зависает. Загружается 20 мин. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	12.10.2016, 09:53	8
	Сообщение от Sandor Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению Где? Загрузитесь в безопасном режиме и проверьте будет ли подобное зависание. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	12.10.2016, 11:20	10
	Сообщение от Sandor Загрузитесь в безопасном режиме и проверьте будет ли подобное зависание Проверили? 0

@mkc 0 / 0 / 0 Регистрация: 11.10.2016 Сообщений: 9
	12.10.2016, 12:32 [ТС]	11
	В Безопасном режиме загружался 2 раза - 10 и 14 мин. Проводник работает без зависаний. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	12.10.2016, 12:42	12
	Если проблема не наблюдается в безопасном режиме, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия. Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft. Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб. Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит. Аналогичным образом можно поступить на вкладке Автозагрузка. Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь. Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление. Подробнее об этой диагностике читайте здесь. 1

@mkc 0 / 0 / 0 Регистрация: 11.10.2016 Сообщений: 9
	12.10.2016, 13:30 [ТС]	13
	После отключения Служб и Автозагрузки - ПК перезагружался 15мин. Проводник зависает. Да сам ПК тоже. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	12.10.2016, 13:44	14
	Могу еще посоветовать потестировать "железо" - HDD, RAM и т.п. 1

@mkc 0 / 0 / 0 Регистрация: 11.10.2016 Сообщений: 9
	12.10.2016, 14:39 [ТС]	15
	После выполнения скрипта AVZ загрузка ПК занимает 20мин. Обратно можно вернуть? Точки восстановления системы стерлись. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	12.10.2016, 14:43	16
	Скриптом ничего жизенно важного для системы удалено не было. Сообщение от mkc Точки восстановления системы стерлись. Их не было на момент сбора логов FRST. Сообщение от Sandor потестировать "железо" Не пробовали? Для верности подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 0