Вирус устанавливает на компьютер другие вирусы и прочее вредоносное ПО

@XXXJetfireXXX · Регистрация: 23.02.2017

Author24 — интернет-сервис помощи студентам

Весьма банальная ситуация: скачал установщик, но вместо программы он установил мне кучу нежелательного софта (Амиго, майловские сервисы, IOBit, что-то ещё....). Удалил. Делал не один раз Полный скан DrWeb'ом, каждый раз находил новые вирусы и лечил их. В итоге часть вирусов вынес полностью, но один (или немного больше одного), остался в системе и довольно хорошо прячется. Примерно каждые 2 дня он ставит мне Firefox, В ProgramFiles появляется MIO, 1 раз он ставил мне aMuleC, 2 раза ставил WinSnare (Из того, что помню). Не раз чистил Temp, лез в процессы, но в процессах зловреда найти не удалось.
FRST.Txt в следующем сообщении.

@XXXJetfireXXX · 23.02.2017, 19:04 **[ТС]**

Frst.txt

@XXXJetfireXXX · 23.02.2017, 19:07 **[ТС]**

Addition.txt

@XXXJetfireXXX · 23.02.2017, 20:08 **[ТС]**

UPD: Полез в службы и обнаружил несколько вредоносных служб: WinSnare, FishjaneSU, BirdjobSU, StanduckSU.
Описания в свойствах у них нет, Судя по пути исполнения они вредоносные, т.к. относятся к BaofengUpdate, который как раз запускался каждые 2 дня. Отключил эти службы.

@vavun · 23.02.2017, 21:35

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@XXXJetfireXXX · 23.02.2017, 21:42 **[ТС]**

Мои извинения, я здесь новичок... Через минут 10 будут логи.

@XXXJetfireXXX · 23.02.2017, 21:50 **[ТС]**

Вот логи:

@severnyj · 24.02.2017, 13:44

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
(Don HO [email]don.h@free.fr[/email]) C:\Program Files (x86)\notepad2\notepad2.exe
HKU\S-1-5-21-77998015-2868274396-3307579174-1000\...\MountPoints2: {f193c721-dcdc-11e6-87e3-10bf482605f0} - G:\HiSuiteDownLoader.exe
HKLM\...\Providers\qs4j0wbq: C:\Program Files (x86)\Coitoy Manager\local64spl.dll
ShellExecuteHooks: No Name - {8A2A2C62-EEB8-11E6-9AB6-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-77998015-2868274396-3307579174-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=832110
SearchScopes: HKU\S-1-5-21-77998015-2868274396-3307579174-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B9EC0844F-6C49-403A-A99F-BB93E5D5ABDB%7D&gp=832111
SearchScopes: HKU\S-1-5-21-77998015-2868274396-3307579174-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B9EC0844F-6C49-403A-A99F-BB93E5D5ABDB%7D&gp=832111
BHO-x32: No Name -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> No File
FF Homepage: Firefox\Firefox\Profiles\u56dfteg.default -> hxxp://www.searchinme.com/?type=hp&ts=1487860773408&z=dbb2e8bb8f9e97c6ce4d77fg5zebfm0q1e1ecm3taz&from=official&uid=SAMSUNGXHM641JI_S26XJ9DB723751
FF Extension: (FF Adr) - C:\Users\Jetfire\AppData\Roaming\Firefox\Firefox\Profiles\u56dfteg.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2017-02-23] [not signed]
FF SearchPlugin: C:\Users\Jetfire\AppData\Roaming\Firefox\Firefox\Profiles\u56dfteg.default\searchplugins\searchinme.xml [2017-02-20]
CHR HKLM-x32\...\Chrome\Extension: [oilhebpjhnjaeghedpjnmajajlcfdjgc] - hxxps://clients2.google.com/service/update2/crx
R2 Ntp2NetSvc; C:\Program Files (x86)\notepad2\notepad2.exe [2340864 2017-02-16] (Don HO [email]don.h@free.fr[/email]) [File not signed]
C:\Program Files (x86)\notepad2\
S2 Ntp2UpSvc; C:\Program Files (x86)\Common Files\ntp2UpSvc\notepad2.exe [2340864 2017-02-16] (Don HO [email]don.h@free.fr[/email]) [File not signed]
C:\Program Files (x86)\Common Files\ntp2UpSvc\
R2 WinSnare; C:\Users\Jetfire\AppData\Roaming\WinSnare\WinSnare.dll [779264 2017-02-20] (InterSect Alliance Pty Ltd) [File not signed]
C:\Users\Jetfire\AppData\Roaming\WinSnare\
S2 BirdjobSU; "C:\Users\Jetfire\AppData\Local\Temp\1\BaofengUpdate_U.exe" /i [X] <==== ATTENTION
S2 FirefoxU; "C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe" [X]
S4 FishjaneSU; "C:\Users\Jetfire\AppData\Local\Temp\1\BaofengUpdate_U.exe" /i [X] <==== ATTENTION
S4 StanduckSU; "C:\Windows\TEMP\nsi9BA2.tmp\BaofengUpdate_U.exe" /i [X]
S2 WinSAPSvc; C:\Users\Jetfire\AppData\Roaming\WinSAPSvc\WinSAP.dll [X]
U0 aswVmm; no ImagePath
C:\Users\Jetfire\AppData\Roaming\WinSAPSvc\
2017-02-20 17:17 - 2017-02-20 17:27 - 00000000 ____D C:\Users\Jetfire\AppData\Local\GeoLocator
2017-02-20 17:17 - 2017-02-20 17:26 - 00000000 ____D C:\Users\Jetfire\AppData\Local\Mail.Ru
2017-02-20 17:17 - 2017-02-20 17:17 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\WinSnare
2017-02-14 23:19 - 2017-02-14 23:19 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\ProductData
2017-02-14 23:18 - 2017-02-15 01:30 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\Grjelyckojule
2017-02-14 23:18 - 2017-02-14 23:18 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2017-02-14 23:17 - 2017-02-14 23:18 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-02-14 23:17 - 2017-02-14 23:18 - 00000000 ____D C:\ProgramData\ProductData
2017-02-14 23:17 - 2017-02-14 23:17 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2017-02-14 23:17 - 2017-02-14 23:17 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2017-02-14 23:16 - 2017-02-14 23:16 - 00000000 ____D C:\Users\Jetfire\AppData\Roaming\SPI
Task: {49ABA9C5-092E-4893-ADB6-2FD9781D5A42} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\\ProgramData\\vCore\\VCore.exe  <==== ATTENTION
Task: {57154FC5-70F8-445D-BEAE-B0CBEA9CF858} - \urlopener -> No File <==== ATTENTION
Task: {D2324F19-C861-42D5-B37B-CF7566078391} - \BikaQ_FetchAndUpgrade_CanBeDel -> No File <==== ATTENTION
Task: {E5B09AB5-53F1-473F-A9F9-FF079562C5C5} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe 
MSCONFIG\Services: FishjaneSU => 2
MSCONFIG\Services: StanduckSU => 2
 
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: RD /S /Q %WinDir%\System32\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\System32\GroupPolicy
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicy
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicy
CMD: gpupdate /force
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@XXXJetfireXXX · 24.02.2017, 17:52 **[ТС]**

Всё готово, посмотрим как комп себя поведёт. Заранее благодарю =)
Фикс-Лог:

@severnyj · 24.02.2017, 18:22

А еще не все))

Подготовьте лог JRT: https://www.cyberforum.ru/viru... 05776.html

Затем подготовьте лог AdwCleaner: https://www.cyberforum.ru/post6500078.html

@XXXJetfireXXX · 24.02.2017, 18:28 **[ТС]**

Окей, no problem. Через минут 10-20 будут логи.

@XXXJetfireXXX · 24.02.2017, 18:34 **[ТС]**

Логи готовы.

@severnyj · 24.02.2017, 18:41

Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500078.html
Лог после удаления прикрепите.

Удалите старые логи FRST и подготовьте новые: https://www.cyberforum.ru/post7151340.html

@XXXJetfireXXX · 24.02.2017, 18:58 **[ТС]**

AdwCleaner'ом удалил найденное.
Логи FRST:

@XXXJetfireXXX · 24.02.2017, 18:59 **[ТС]**

Лог после удаления AdwCleaner'ом:

@severnyj · 24.02.2017, 19:03

Что с проблемами?

@XXXJetfireXXX · 24.02.2017, 19:09 **[ТС]**

Ну, проблемы вроде как устранил, логи выложил выше /\

@severnyj · 24.02.2017, 19:12

Напоследок, подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=838

+

Скачайте Delfix по этой ссылке
Установите галочки напротив следующих пунктов:

Activate UAC
Remove disinfection tools
Create registry backup
Purge system restore

Нажмите кнопку Run

@XXXJetfireXXX · 24.02.2017, 19:44 **[ТС]**

SecurityCheck:

@severnyj · 24.02.2017, 19:45

Исправляйте, обновляйте:

Internet Explorer 11.0.9600.18204 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Adobe Flash Player 24 PPAPI v.24.0.0.194 Внимание! Скачать обновления

И читайте: Рекомендации после удаления вредоносного ПО

@XXXJetfireXXX 0 / 0 / 0 Регистрация: 23.02.2017 Сообщений: 14
		1
	Вирус устанавливает на компьютер другие вирусы и прочее вредоносное ПО 23.02.2017, 19:02. Показов 1825. Ответов 21 Метки вирус (Все метки) Весьма банальная ситуация: скачал установщик, но вместо программы он установил мне кучу нежелательного софта (Амиго, майловские сервисы, IOBit, что-то ещё....). Удалил. Делал не один раз Полный скан DrWeb'ом, каждый раз находил новые вирусы и лечил их. В итоге часть вирусов вынес полностью, но один (или немного больше одного), остался в системе и довольно хорошо прячется. Примерно каждые 2 дня он ставит мне Firefox, В ProgramFiles появляется MIO, 1 раз он ставил мне aMuleC, 2 раза ставил WinSnare (Из того, что помню). Не раз чистил Temp, лез в процессы, но в процессах зловреда найти не удалось. FRST.Txt в следующем сообщении. 0

@XXXJetfireXXX 0 / 0 / 0 Регистрация: 23.02.2017 Сообщений: 14
	23.02.2017, 20:08 [ТС]	4
	UPD: Полез в службы и обнаружил несколько вредоносных служб: WinSnare, FishjaneSU, BirdjobSU, StanduckSU. Описания в свойствах у них нет, Судя по пути исполнения они вредоносные, т.к. относятся к BaofengUpdate, который как раз запускался каждые 2 дня. Отключил эти службы. 0

@vavun 10582 / 5545 / 864 Регистрация: 07.04.2013 Сообщений: 15,660
	23.02.2017, 21:35	5
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@XXXJetfireXXX 0 / 0 / 0 Регистрация: 23.02.2017 Сообщений: 14
	23.02.2017, 21:42 [ТС]	6
	Мои извинения, я здесь новичок... Через минут 10 будут логи. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.02.2017, 18:22	10
	А еще не все)) Подготовьте лог JRT: https://www.cyberforum.ru/viru... 05776.html Затем подготовьте лог AdwCleaner: https://www.cyberforum.ru/post6500078.html 0

@XXXJetfireXXX 0 / 0 / 0 Регистрация: 23.02.2017 Сообщений: 14
	24.02.2017, 18:28 [ТС]	11
	Окей, no problem. Через минут 10-20 будут логи. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.02.2017, 18:41	13
	Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500078.html Лог после удаления прикрепите. Удалите старые логи FRST и подготовьте новые: https://www.cyberforum.ru/post7151340.html 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.02.2017, 19:03	16
	Что с проблемами? 0

@XXXJetfireXXX 0 / 0 / 0 Регистрация: 23.02.2017 Сообщений: 14
	24.02.2017, 19:09 [ТС]	17
	Ну, проблемы вроде как устранил, логи выложил выше /\ 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.02.2017, 19:12	18
	Напоследок, подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=838 + Скачайте Delfix по этой ссылке Установите галочки напротив следующих пунктов: Activate UAC Remove disinfection tools Create registry backup Purge system restore Нажмите кнопку Run 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	24.02.2017, 19:45	20
	Исправляйте, обновляйте: Internet Explorer 11.0.9600.18204 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Adobe Flash Player 24 PPAPI v.24.0.0.194 Внимание! Скачать обновления И читайте: Рекомендации после удаления вредоносного ПО 0