Букет от mail.ru и другие вирусы

@iPolt · Регистрация: 09.06.2012

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Нужна помощь. Машина 2 месяца эксплуатировалась с просроченным Касперским, нужно очистить от вирусов.
CollectionLog-2016.03.25-01.10.zip
Пожалуйста, помогите!
Заранее большое спасибо!

@Sandor · 25.03.2016, 10:07

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя iPolt. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

ConvertAd
Net SafetyAddon version 9.57
Remote Desktop Access (VuuPC)
Software Updater
superpromokody 1.1
Video Saver

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\video saver 2\ieef\_mgvbbdm2i.exe');
 TerminateProcessByName('c:\windows\temp\cr_42939.tmp\setup.exe');
 QuarantineFileF('c:\program files (x86)\video saver 2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\program files (x86)\video saver 2\ieef\_mgvbbdm2i.exe', '');
 QuarantineFile('c:\windows\temp\cr_42939.tmp\setup.exe', '');
 QuarantineFile('C:\Program Files (x86)\Video Saver 2\IEEF\Interfaces32.dll', '');
 QuarantineFile('C:\Program Files (x86)\Video Saver 2\IEEF\h1DuYy6MzI.dll', '');
 QuarantineFile('C:\Program Files (x86)\Video Saver 2\tool\recover.exe', '');
 QuarantineFile('C:\Program Files (x86)\Video Saver 2\AOXFMcr.exe', '');
 DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver 2.job', '64');
 DeleteFile('C:\Windows\Tasks\Recovery Tool for Video Saver 22.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for Video Saver 2.job', '64');
 DeleteFile('C:\Windows\Tasks\Update Service for Video Saver 22.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "Recovery Tool for Video Saver 2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Recovery Tool for Video Saver 22" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Video Saver 2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update Service for Video Saver 22" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\video saver 2\ieef\_mgvbbdm2i.exe', '32');
 DeleteFile('c:\windows\temp\cr_42939.tmp\setup.exe', '32');
 DeleteFile('C:\Program Files (x86)\Video Saver 2\IEEF\Interfaces32.dll', '32');
 DeleteFile('C:\Program Files (x86)\Video Saver 2\IEEF\h1DuYy6MzI.dll', '32');
 DeleteFile('C:\Program Files (x86)\Video Saver 2\tool\recover.exe', '32');
 DeleteFile('C:\Program Files (x86)\Video Saver 2\AOXFMcr.exe', '32');
 DeleteFileMask('c:\program files (x86)\video saver 2', '*', true);
 DeleteDirectory('c:\program files (x86)\video saver 2');
 DelBHO('{FFCB3198-32F3-4E8B-9539-4324694ED664}');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@iPolt · 25.03.2016, 16:22 **[ТС]**

ConvertAd
Net SafetyAddon version 9.57
Remote Desktop Access (VuuPC)
Software Updater
superpromokody 1.1
Video Saver

Из этого списка не удалось удалить Net SafetyAddon version 9.57
Вот сообщение при попытке удаления

Из безопасного режима тоже удалить не удалось
После запуска скрипта в AVZ спустя пару минут экран становится синим и ноутбук перезагружается.
Предлагает выбрать при этом
Обычная загрузка.
Безопасный режим
и т.д.
После загрузки операционной системы появляется сообщение

И так 2 раза подряд.
п.с. Аваст перед выполнением скрипта отключала.

@Sandor · 25.03.2016, 16:31

Продолжайте п.п. 2, 3, 4

@iPolt · 25.03.2016, 16:47 **[ТС]**

Пункт 2 не могу прикрепить.
Вот что у меня в папке

Пункт 3 и 4 выполнила
ClearLNK-25.03.2016_21-26.log

@iPolt · 25.03.2016, 16:56 **[ТС]**

И вот еще
AdwCleaner[S1].txt
AdwCleaner[C1].txt

@Sandor · 26.03.2016, 17:06

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@iPolt · 26.03.2016, 18:32 **[ТС]**

Вот отчеты. И еще проблема - не работает система обновления семерки, уже два дня сообщает, что ищет обновления, но на этом все, это из-за вирусов?
Desktop.rar

@Sandor · 28.03.2016, 08:25

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3922582701-1082087463-1484268995-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-3922582701-1082087463-1484268995-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3922582701-1082087463-1484268995-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF user.js: detected! => C:\Users\Тамара\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-10-26]
OPR Extension: (No Name) - C:\Users\Тамара\AppData\Roaming\Opera Software\Opera Stable\Extensions\ffbonecokbglbldgjefndidmdeegggek [2015-01-06]
OPR Extension: (No Name) - C:\Users\Тамара\AppData\Roaming\Opera Software\Opera Stable\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-03-12]
OPR Extension: (superpromokody) - C:\Users\Тамара\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgnblgknonceobjdkepgodbolcpkgipk [2014-03-27]
AlternateDataStreams: C:\Users\Тамара\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Тамара\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Тамара\AppData\Local\Application Data:wa [178]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@iPolt Потомственная землянка 186 / 19 / 3 Регистрация: 09.06.2012 Сообщений: 66
		1
	Букет от mail.ru и другие вирусы 24.03.2016, 20:12. Показов 812. Ответов 8 Метки нет (Все метки) Доброго времени суток. Нужна помощь. Машина 2 месяца эксплуатировалась с просроченным Касперским, нужно очистить от вирусов. CollectionLog-2016.03.25-01.10.zip Пожалуйста, помогите! Заранее большое спасибо! 0

@iPolt Потомственная землянка 186 / 19 / 3 Регистрация: 09.06.2012 Сообщений: 66
	25.03.2016, 16:22 [ТС]	3
	ConvertAd Net SafetyAddon version 9.57 Remote Desktop Access (VuuPC) Software Updater superpromokody 1.1 Video Saver Из этого списка не удалось удалить Net SafetyAddon version 9.57 Вот сообщение при попытке удаления Из безопасного режима тоже удалить не удалось После запуска скрипта в AVZ спустя пару минут экран становится синим и ноутбук перезагружается. Предлагает выбрать при этом Обычная загрузка. Безопасный режим и т.д. После загрузки операционной системы появляется сообщение И так 2 раза подряд. п.с. Аваст перед выполнением скрипта отключала. 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	25.03.2016, 16:31	4
	Продолжайте п.п. 2, 3, 4 0

@iPolt Потомственная землянка 186 / 19 / 3 Регистрация: 09.06.2012 Сообщений: 66
	25.03.2016, 16:47 [ТС]	5
	Пункт 2 не могу прикрепить. Вот что у меня в папке Пункт 3 и 4 выполнила ClearLNK-25.03.2016_21-26.log 0

@iPolt Потомственная землянка 186 / 19 / 3 Регистрация: 09.06.2012 Сообщений: 66
	25.03.2016, 16:56 [ТС]	6
	И вот еще AdwCleaner[S1].txt AdwCleaner[C1].txt 0

@Sandor 21567 / 15518 / 2989 Регистрация: 08.10.2012 Сообщений: 63,089
	26.03.2016, 17:06	7
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@iPolt Потомственная землянка 186 / 19 / 3 Регистрация: 09.06.2012 Сообщений: 66
	26.03.2016, 18:32 [ТС]	8
	Вот отчеты. И еще проблема - не работает система обновления семерки, уже два дня сообщает, что ищет обновления, но на этом все, это из-за вирусов? Desktop.rar 0

	28.03.2016, 08:25