Поймал популярный вирус

@vladimir_bro · Регистрация: 21.12.2015

Студворк — интернет-сервис помощи студентам

При установке пары ломанных прог, словил вирус, который заменил поисковые машины на spacesearch.ru, который в свою очередь перенаправляет запрос на hgo.mail.ru во всех браузерах и изменить их теперь нельзя (в хроме, например, из-за того. что этот пункт стоит от имени админа). К тому же периодически произвольно запускается браузер по умолчанию (у меня это хром), с сопутствующим переходом на различные сайты (вулкан и прочая ересь).

@vladimir_bro · 21.12.2015, 10:58 **[ТС]**

Кстати, нод32 ругается на этот файл C:\Users\асус\AppData\Roaming\daemon2.ex e

Добавлено через 7 минут
Забыл уточнить - ранее не мог удалить ярлыки оперы и хрома на рабочем столе (из-за того что они использовались этой шнягой hhandler service), в свойствах которых был путь на левую папку, а не к папке в которую были установлены эти (хром и опера) программы.
Вдруг эта инфа вам как-то поможет.

@Sandor · 21.12.2015, 15:45

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя vladimir_bro. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

> Chrome Search
Download Manager Packages

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\асус\appdata\roaming\daemon2.exe');
 QuarantineFile('c:\users\асус\appdata\roaming\daemon2.exe', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\ProgramData\xwDlFOuajB\YrTNSXLtpUzO0.bat', '');
 QuarantineFile('C:\ProgramData\IOYRiEwpKqyCJL\LoPvhSYovKkQoA5.bat', '');
 QuarantineFile('C:\Users\389C~1\AppData\Local\Temp\R.vbs', '');
 ExecuteFile('schtasks.exe', '/delete /TN "RestoreSearch" /F', 0, 15000, true);
 DeleteFile('c:\users\асус\appdata\roaming\daemon2.exe', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\ProgramData\xwDlFOuajB\YrTNSXLtpUzO0.bat', '32');
 DeleteFile('C:\ProgramData\IOYRiEwpKqyCJL\LoPvhSYovKkQoA5.bat', '32');
 DeleteFile('C:\Users\389C~1\AppData\Local\Temp\R.vbs', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@vladimir_bro · 21.12.2015, 16:28 **[ТС]**

"Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!"
Не понял этого предложения, но на всякий случай скажу, что файл "quarantine.zip" ни где не нашел.
Логи приложил.

@Sandor · 21.12.2015, 16:41

Сообщение от vladimir_bro

файл "quarantine.zip" ни где не нашел

Он должен быть там, откуда запускали AVZ для выполнения первого скрипта.

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@vladimir_bro · 21.12.2015, 16:48 **[ТС]**

Сообщение от Sandor

Он должен быть там, откуда запускали AVZ для выполнения первого скрипта.

Вот такая петрушка у меня в карантине.

@Sandor · 21.12.2015, 17:00

Вы показываете папку ...\Autologger\AVZ\Quarantine\
а я говорю про эту ...\Autologger\AVZ\

Даже если там нет такого файла, делайте следующие отчеты.

@vladimir_bro · 21.12.2015, 17:16 **[ТС]**

Сообщение от Sandor

Вы показываете папку ...\Autologger\AVZ\Quarantine\
а я говорю про эту ...\Autologger\AVZ\

Моя тупость) Нашел я этот зип файл карантина, его прикладывать в дальнейшем?
В хроме уже всё нормально, это я просто к сведению сообщаю.

@vladimir_bro · 21.12.2015, 17:18 **[ТС]**

Собственно логи.

@Sandor · 21.12.2015, 17:44

Сообщение от vladimir_bro

его прикладывать в дальнейшем?

Только не прикладывать, а отправить одним из предложенных выше способом.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
2015-12-18 14:58 - 2015-12-21 16:16 - 00000000 ____D C:\Users\Все пользователи\lJMbDStyZloLVP
2015-12-18 14:58 - 2015-12-21 16:16 - 00000000 ____D C:\Users\Все пользователи\GLvAeLpmtg
2015-12-18 14:58 - 2015-12-21 16:16 - 00000000 ____D C:\ProgramData\lJMbDStyZloLVP
2015-12-18 14:58 - 2015-12-21 16:16 - 00000000 ____D C:\ProgramData\GLvAeLpmtg
2015-12-18 14:58 - 2015-12-21 16:11 - 00000000 ____D C:\Users\Все пользователи\KRFUcRTTfGDPxDK
2015-12-18 14:58 - 2015-12-21 16:11 - 00000000 ____D C:\ProgramData\KRFUcRTTfGDPxDK
2015-12-18 10:55 - 2015-12-18 10:55 - 00000000 ____D C:\Users\асус\Downloads\Torrentex
2015-12-18 10:55 - 2015-12-18 10:55 - 00000000 ____D C:\Users\асус\AppData\LocalLow\Unity
2015-12-18 10:55 - 2015-12-18 10:55 - 00000000 ____D C:\Users\асус\AppData\Local\Unity
2015-12-18 10:53 - 2015-12-18 10:55 - 00000000 ____D C:\Users\асус\AppData\Roaming\MailProducts
2015-12-18 10:52 - 2015-12-21 16:16 - 00000000 ____D C:\Users\Все пользователи\jvvLeJsPkvKcZ
2015-12-18 10:52 - 2015-12-21 16:16 - 00000000 ____D C:\ProgramData\jvvLeJsPkvKcZ
2015-12-18 10:52 - 2015-12-21 16:05 - 00000000 ____D C:\Users\Все пользователи\xwDlFOuajB
2015-12-18 10:52 - 2015-12-21 16:05 - 00000000 ____D C:\Users\Все пользователи\IOYRiEwpKqyCJL
2015-12-18 10:52 - 2015-12-21 16:05 - 00000000 ____D C:\ProgramData\xwDlFOuajB
2015-12-18 10:52 - 2015-12-21 16:05 - 00000000 ____D C:\ProgramData\IOYRiEwpKqyCJL
2015-12-18 10:52 - 2015-12-19 13:38 - 00000000 ____D C:\Program Files (x86)\Oursoft
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@vladimir_bro · 21.12.2015, 18:00 **[ТС]**

Сообщение от Sandor

Только не прикладывать, а отправить одним из предложенных выше способом.

Отправил.

@Sandor · 21.12.2015, 18:02

Поскольку

Сообщение от vladimir_bro

В хроме уже всё нормально

завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@vladimir_bro · 21.12.2015, 18:10 **[ТС]**

Сообщение от Sandor

1.
Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.
2.
Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Сделал.

@Sandor · 21.12.2015, 21:10

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.10240.16603 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления
Picasa 3 v.3.9 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.14 v.7.14.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u66-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 NPAPI v.20.0.0.235
Adobe Reader X (10.1.16) MUI v.10.1.16 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 38.0.5 (x86 ru) v.38.0.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 34.0.2036.25 v.34.0.2036.25
---------------------------- [ UnwantedApps ] -----------------------------
VKMusic 4 v.4.62 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Search App by Ask v.12.37.0.349 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@vladimir_bro · 21.12.2015, 21:58 **[ТС]**

Безмерно благодарен за Вашу помощь.

Добавлено через 35 минут

Сообщение от Sandor

Search App by Ask v.12.37.0.349

Эту гадость не могу удалить.

Добавлено через 3 минуты
Пишет - "Указанная учетная запись уже существует".

@Sandor · 21.12.2015, 23:09

Запустите frst64.exe, в поле Search введите

Search App by Ask

нажмите Registry Search. Итоговый файл Search.txt приложите к следующему сообщению.

@vladimir_bro · 22.12.2015, 00:36 **[ТС]**

Вот.

@Sandor · 22.12.2015, 09:13

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\D2A425F405350054677A7A857BC05200]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\D2A425F405350054677A7A857BC05200\InstallProperties]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4F524A2D-5350-4500-76A7-A758B70C2500}]
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@vladimir_bro · 22.12.2015, 12:08 **[ТС]**

Сделал, Search App by Ask исчезла из "Программы и компоненты".

@Sandor · 22.12.2015, 12:13

Напоминаю о рекомендациях.

Удачи!

Новые блоги и статьи Все статьи Все блоги /
Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .

@vladimir_bro 0 / 0 / 0 Регистрация: 21.12.2015 Сообщений: 13
	21.12.2015, 10:58 [ТС]
	Кстати, нод32 ругается на этот файл C:\Users\асус\AppData\Roaming\daemon2.ex e Добавлено через 7 минут Забыл уточнить - ранее не мог удалить ярлыки оперы и хрома на рабочем столе (из-за того что они использовались этой шнягой hhandler service), в свойствах которых был путь на левую папку, а не к папке в которую были установлены эти (хром и опера) программы. Вдруг эта инфа вам как-то поможет. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	21.12.2015, 17:00
	Вы показываете папку ...\Autologger\AVZ\Quarantine\ а я говорю про эту ...\Autologger\AVZ\ Даже если там нет такого файла, делайте следующие отчеты. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	21.12.2015, 21:10
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.10240.16603 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Silverlight v.5.1.40728.0 Внимание! Скачать обновления Picasa 3 v.3.9 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ IM ] ---------------------------------- Skype™ 7.14 v.7.14.105 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u66-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 20 NPAPI v.20.0.0.235 Adobe Reader X (10.1.16) MUI v.10.1.16 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 38.0.5 (x86 ru) v.38.0.5 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera Stable 34.0.2036.25 v.34.0.2036.25 ---------------------------- [ UnwantedApps ] ----------------------------- VKMusic 4 v.4.62 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Search App by Ask v.12.37.0.349 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	22.12.2015, 09:13
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. Windows Batch file start CreateRestorePoint: [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\D2A425F405350054677A7A857BC05200] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\D2A425F405350054677A7A857BC05200\InstallProperties] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4F524A2D-5350-4500-76A7-A758B70C2500}] Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	22.12.2015, 12:13
	Напоминаю о рекомендациях. Удачи! 0