Лечение вируса

@ilyeeezus · Регистрация: 18.01.2018

Author24 — интернет-сервис помощи студентам

наличие вируса 100 процентов, подготовил логи, попытался до этого решить сам, но система не дает открыть мейлвеарбайтс

@ilyeeezus · 18.01.2018, 10:50 **[ТС]**

файл с логами

@Sandor · 18.01.2018, 11:50

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя ilyeeezus. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 10
Driver Booster 4.5
DriverPack Notifier

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\temp\is-nrp6q.tmp\a4sjrk3onzo.tmp');
 TerminateProcessByName('c:\users\Администратор\appdata\roaming\h1sfhlh3nhs\a4sjrk3onzo.exe');
 StopService('Windows');
 QuarantineFile('C:\ProgramData\tiser\run.exe', '');
 QuarantineFile('C:\ProgramData\Voyasollam\Holdhome.dll', '');
 QuarantineFile('C:\ProgramData\Voyasollam\TrisQuadstrong.dll', '');
 QuarantineFile('c:\temp\is-nrp6q.tmp\a4sjrk3onzo.tmp', '');
 QuarantineFile('C:\TEMP\is-RRGO0.tmp\idp.dll', '');
 QuarantineFile('c:\users\Администратор\appdata\roaming\h1sfhlh3nhs\a4sjrk3onzo.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\windowsapps\cpu\intel.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\windowsapps\cpu1\intel1.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\windowsapps\taskhost.exe', '');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\windowsdefender\msascuil.exe', '');
 QuarantineFile('C:\Windows\Temp\svchost.exe', '');
 DeleteFile('C:\ProgramData\tiser\run.exe', '32');
 DeleteFile('C:\ProgramData\Voyasollam\Holdhome.dll', '32');
 DeleteFile('C:\ProgramData\Voyasollam\TrisQuadstrong.dll', '32');
 DeleteFile('c:\temp\is-nrp6q.tmp\a4sjrk3onzo.tmp', '32');
 DeleteFile('C:\TEMP\is-RRGO0.tmp\idp.dll', '32');
 DeleteFile('c:\users\Администратор\appdata\roaming\h1sfhlh3nhs\a4sjrk3onzo.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\windowsapps\cpu\intel.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\windowsapps\cpu1\intel1.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\windowsapps\taskhost.exe', '32');
 DeleteFile('C:\Users\Администратор\appdata\roaming\windowsdefender\msascuil.exe', '32');
 DeleteFile('C:\Windows\Temp\svchost.exe', '32');
 DeleteService('tiser');
 DeleteService('Windows');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '3139676');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

O7 - Policy: [Untrusted Certificate] Fix all items from the log
O20 - AppInit_DLLs: C:\ProgramData\Voyasollam\TrisQuadstrong.dll
O20-32 - AppInit_DLLs: C:\ProgramData\Voyasollam\Holdhome.dll

Подготовьте новый CollectionLog.

@ilyeeezus · 18.01.2018, 13:02 **[ТС]**

Sandor, две последние строки, которые нужно было пофиксить не было(видел что в скобках было написано, что могут отсутствовать)

@Sandor · 18.01.2018, 13:13

Подготовьте и прикрепите лог сканирования AdwCleaner.

@ilyeeezus · 18.01.2018, 13:28 **[ТС]**

Sandor, прикрепил

@ilyeeezus · 18.01.2018, 13:32 **[ТС]**

прикрепил

@ilyeeezus · 18.01.2018, 13:40 **[ТС]**

Sandor, держи

@Sandor · 18.01.2018, 14:06

1.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@ilyeeezus · 18.01.2018, 14:46 **[ТС]**

Sandor, вот все нужные файлы

@Sandor · 18.01.2018, 14:59

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2747693353-1721183335-1083603459-500 -> 1f2148d8-5bb4-11e7-8a35-bc5ff44a4e32 URL = hxxp://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb
SearchScopes: HKU\S-1-5-21-2747693353-1721183335-1083603459-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B96191C3F-4C30-48A3-B148-5B0244305231%7D&gp=811022
FF user.js: detected! => C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2017-07-11]
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\\ProgramData\\Voyasollams\\ff.NT
FF NewTabOverride: Mozilla\Firefox\Profiles\nahd6ha2.default -> Enabled: homepage@mail.ru
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-01-17]
FF Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-01-17]
FF Extension: (Пульт) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-01-17]
CHR HomePage: Default -> inline.go.mail.ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811021"
CHR NewTab: Default ->  Active:"chrome-extension://dijfnbhlogmffhgpelodglnnkncadnbi/visual-bookmarks.html"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B5E7D2CBA-1E57-4C3B-839C-B18B803604EE%7D&gp=811022
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
2018-01-17 17:04 - 2018-01-17 17:04 - 007563264 _____ () C:\Users\Администратор\AppData\Local\agent.dat
2018-01-17 17:04 - 2018-01-17 17:04 - 000070800 _____ () C:\Users\Администратор\AppData\Local\Config.xml
2018-01-17 16:57 - 2018-01-17 16:57 - 000140800 _____ () C:\Users\Администратор\AppData\Local\installer.dat
2018-01-17 17:04 - 2018-01-17 17:04 - 000005568 _____ () C:\Users\Администратор\AppData\Local\md.xml
2018-01-17 17:04 - 2018-01-17 17:04 - 000126464 _____ () C:\Users\Администратор\AppData\Local\noah.dat
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@ilyeeezus · 18.01.2018, 15:09 **[ТС]**

Sandor, за период нашей переписки заметил значительные улучшения

@Sandor · 18.01.2018, 15:12

Закрепим успех

1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@ilyeeezus · 18.01.2018, 15:26 **[ТС]**

Sandor, отправил

@Sandor · 18.01.2018, 15:54

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2017-08-03 07:39:21
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 PPAPI v.27.0.0.130 Внимание! Скачать обновления
Adobe Shockwave Player + Authorware Web Player v.v11.6.3.633 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 57.0.2 (x64 ru) v.57.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera 11.61 v.11.61.1250 Внимание! Скачать обновления
Opera Stable 48.0.2685.52 v.48.0.2685.52 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

Рекомендации после удаления вредоносного ПО

@ilyeeezus · 18.01.2018, 15:56 **[ТС]**

Sandor, огромное спасибо в решении проблемы! просто лучший!

@ilyeeezus 1 / 1 / 0 Регистрация: 18.01.2018 Сообщений: 10
		1
	Лечение вируса 18.01.2018, 10:47. Показов 862. Ответов 15 Метки нет (Все метки) наличие вируса 100 процентов, подготовил логи, попытался до этого решить сам, но система не дает открыть мейлвеарбайтс 0

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	18.01.2018, 13:13	5
	Подготовьте и прикрепите лог сканирования AdwCleaner. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	18.01.2018, 14:06	9
	1. Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	18.01.2018, 15:12	13
	Закрепим успех 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21565 / 15515 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	18.01.2018, 15:54	15
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17501 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2017-08-03 07:39:21 ------------------------------- [ HotFix ] -------------------------------- HotFix KB3115858 Внимание! Скачать обновления HotFix KB3140735 Внимание! Скачать обновления HotFix KB3138962 Внимание! Скачать обновления HotFix KB3145739 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3153171 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления HotFix KB4015546 Внимание! Скачать обновления HotFix KB4025337 Внимание! Скачать обновления HotFix KB4034679 Внимание! Скачать обновления HotFix KB4041678 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 27 PPAPI v.27.0.0.130 Внимание! Скачать обновления Adobe Shockwave Player + Authorware Web Player v.v11.6.3.633 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Shockwave Player. ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 57.0.2 (x64 ru) v.57.0.2 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera 11.61 v.11.61.1250 Внимание! Скачать обновления Opera Stable 48.0.2685.52 v.48.0.2685.52 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Рекомендации после удаления вредоносного ПО 0

@ilyeeezus 1 / 1 / 0 Регистрация: 18.01.2018 Сообщений: 10
	18.01.2018, 15:56 [ТС]	16
	Sandor, огромное спасибо в решении проблемы! просто лучший! 1