Bizigames. org, Как лечить?

@Tlenix · Регистрация: 29.05.2015

Author24 — интернет-сервис помощи студентам

Добрый день, словил bizigames.org ,
exe не запускаются, реестр не запускается, пытался разблочить через групповую политику - нужного раздела просто нет. что делать, как быть? помогите, добрые люди
win 7
P.S. cureit почистил 18 экзешников, но это ничего не изменило

@thyrex · 30.05.2015, 00:45

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\CD86~1\AppData\Local\Temp\start.exe','');
 QuarantineFile('C:\Users\CD86~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','');
 DeleteFile('C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe','32');
 DeleteFile('C:\Users\CD86~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','64');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\DSite','64');
 DeleteFile('C:\Users\CD86~1\AppData\Local\Temp\start.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WdfHG','64');
 DeleteFile('C:\Users\Алексей\appdata\roaming\acestream\engine\lib\ctools.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи по правилам

@Tlenix · 30.05.2015, 08:51 **[ТС]**

вроде бы всё в норме, карантин-файл отправил, логи переотправляю.
Спасибо Вам)

@thyrex · 30.05.2015, 12:23

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

@Tlenix · 30.05.2015, 13:51 **[ТС]**

сделано

@severnyj · 30.05.2015, 14:12

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKLM\...\Policies\Explorer: [DisableCurrentUserRun] 0
HKLM\...\Policies\Explorer: [DisableLocalMachineRun] 0
HKU\S-1-5-21-3745773413-1458168362-3701131968-1000\...\Policies\system: [NoInternetOpenWith ] 1
HKU\S-1-5-21-3745773413-1458168362-3701131968-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-3745773413-1458168362-3701131968-1000\...\Policies\Explorer: [NoRecentDocsMenu] 0x01000000
HKU\S-1-5-21-3745773413-1458168362-3701131968-1000\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-21-3745773413-1458168362-3701131968-1000\...\Policies\Explorer: [ForceClassicControlPanel] 1
HKU\S-1-5-21-3745773413-1458168362-3701131968-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://addobbe.com/
Toolbar: HKU\S-1-5-21-3745773413-1458168362-3701131968-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Hosts: Hosts file not detected in the default directory
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-13]
CHR Extension: (60401.user.js) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilbbgjkoohcggmjoobhopgecfaidpfdj [2014-01-15]
CHR Extension: (No Name) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-01-26]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll [2013-09-28] (BonanzaDeals)
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll [2013-09-28] (BonanzaDeals)
CHR Extension: (BonanzaDeals) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieadcoanfjloocmfafkebdnfefmohngj [2013-09-28]
CHR Extension: (Bookmark Manager) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-15]
Task: {477F4468-1FA7-4D5C-ADEC-DB60624B9501} - System32\Tasks\BonanzaDealsUpdate => C:\Program <==== ATTENTION
Task: {5872E9F9-0D41-452B-9C64-BF53DB428899} - \WdfHG No Task File <==== ATTENTION
Task: {E28EA2BC-A004-4802-99F0-2DE0D0FB9ED5} - \DSite No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:8CE646EE
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8CE646EE

cmd: ipconfig /flushdns
cmd: ipconfig /release
cmd: ipconfig /renew
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Tlenix · 30.05.2015, 15:55 **[ТС]**

сделано.
некоторые профильные настройки браузера сбросились (например частопосещаемые страницы + открылись страницы некоторых моих плагинов, таких как адблок) это нормально?

@severnyj · 30.05.2015, 15:59

Да нормально, мы чистили кэш. Что с проблемами?

@Tlenix · 30.05.2015, 16:02 **[ТС]**

еще в 3ем сообщении темы ответил что вроде бы всё тьфу-тьфу-тьфу) в любом случае огромное спасибо за помощь, очень выручили.
пойду вспоминать пароли))

@severnyj · 30.05.2015, 16:03

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@Tlenix · 30.05.2015, 16:08 **[ТС]**

SecurityCheck by glax24 v.1.3.0.15 [23.05.15]
WebSite: www.safezone.cc
DateLog: 30.05.2015 16:03:59
Path starting: C:\Users\Алексей\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Алексей
VersionXML: 1.21is
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 01.05.2012 13:41:10
Статус лицензии: Windows(R) 7, Ultimate edition Срок окончания начального льготного периода: 32820 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [232.9 Гб] Занято: [195.4 Гб] Свободно: [37.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2012-05-13 05:54:41
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Avira Desktop (включен и устарел)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Avira Desktop (включен и устарел)
Windows Defender (включен и устарел)
--------------------------- [ OtherUtilities ] ----------------------------
CCleaner v.4.07
TeamViewer 9 v.9.0.28223
Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления
Skype Click to Call v.5.10.9560 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_21-windows-i586.exe^
Java 7 Update 9 v.7.0.90 Внимание! Скачать обновления
^Скачайте jre-7u80-windows-i586.exe^
Java Auto Updater v.2.1.9.0
--------------------------- [ AppleProduction ] ---------------------------
QuickTime v.7.73.80.64 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX v.11.9.900.170 Внимание! Скачать обновления
Adobe Flash Player 16 NPAPI v.16.0.0.305 Внимание! Скачать обновления
Adobe Reader XI (11.0.11) v.11.0.11
------------------------------- [ Browser ] -------------------------------
Google Chrome v.43.0.2357.81
Mozilla Firefox 36.0.1 (x86 ru) v.36.0.1 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.43.0.2357.81
----------------------------- [ End of Log ] ------------------------------

@severnyj · 30.05.2015, 16:18

Закрывайте уязвимости по ссылкам и рекомендациям и читайте: Рекомендации после удаления вредоносного ПО

@Tlenix · 30.05.2015, 16:37 **[ТС]**

ок, закрывайте тему

@severnyj · 30.05.2015, 16:44

Удачи

@thyrex 13104 / 7254 / 1536 Регистрация: 06.09.2009 Сообщений: 26,487
	30.05.2015, 12:23	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan** отмечены "List BCD" и "Driver MD5". [img]http://i.********/B92LqRQ.png[/img] Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt**). Пожалуйста, прикрепите его в следующем сообщении. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	30.05.2015, 15:59	8
	Да нормально, мы чистили кэш. Что с проблемами? 1

@Tlenix 0 / 0 / 0 Регистрация: 29.05.2015 Сообщений: 70
	30.05.2015, 16:02 [ТС]	9
	еще в 3ем сообщении темы ответил что вроде бы всё тьфу-тьфу-тьфу) в любом случае огромное спасибо за помощь, очень выручили. пойду вспоминать пароли)) 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	30.05.2015, 16:03	10
	Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 0

@Tlenix 0 / 0 / 0 Регистрация: 29.05.2015 Сообщений: 70
	30.05.2015, 16:08 [ТС]	11
	SecurityCheck by glax24 v.1.3.0.15 [23.05.15] WebSite: www.safezone.cc DateLog: 30.05.2015 16:03:59 Path starting: C:\Users\Алексей\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Алексей VersionXML: 1.21is ___________________________________________________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 01.05.2012 13:41:10 Статус лицензии: Windows(R) 7, Ultimate edition Срок окончания начального льготного периода: 32820 мин. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [232.9 Гб] Занято: [195.4 Гб] Свободно: [37.5 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2012-05-13 05:54:41 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба остановлена ---------------------------- [ Antivirus_WMI ] ---------------------------- Avira Desktop (включен и устарел) --------------------------- [ AntiSpyware_WMI ] --------------------------- Avira Desktop (включен и устарел) Windows Defender (включен и устарел) --------------------------- [ OtherUtilities ] ---------------------------- CCleaner v.4.07 TeamViewer 9 v.9.0.28223 Skype™ 7.3 v.7.3.101 Внимание! Скачать обновления Skype Click to Call v.5.10.9560 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления ^Скачайте javafx-2_2_21-windows-i586.exe^ Java 7 Update 9 v.7.0.90 Внимание! Скачать обновления ^Скачайте jre-7u80-windows-i586.exe^ Java Auto Updater v.2.1.9.0 --------------------------- [ AppleProduction ] --------------------------- QuickTime v.7.73.80.64 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 11 ActiveX v.11.9.900.170 Внимание! Скачать обновления Adobe Flash Player 16 NPAPI v.16.0.0.305 Внимание! Скачать обновления Adobe Reader XI (11.0.11) v.11.0.11 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.43.0.2357.81 Mozilla Firefox 36.0.1 (x86 ru) v.36.0.1 Внимание! Скачать обновления --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.43.0.2357.81 ----------------------------- [ End of Log ] ------------------------------ 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	30.05.2015, 16:18	12
	Закрывайте уязвимости по ссылкам и рекомендациям и читайте: Рекомендации после удаления вредоносного ПО 0

@Tlenix 0 / 0 / 0 Регистрация: 29.05.2015 Сообщений: 70
	30.05.2015, 16:37 [ТС]	13
	ок, закрывайте тему 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	30.05.2015, 16:44	14
	Удачи 1

Bizigames. org, Как лечить?

Решение