Переадресация на сайт МВД [Backdoor.Win32.Kasidet.ap, Trojan.Win32.Agent.ieom ]

[Mixer-X]

Здравствуйте!
При открытии сайтов в браузерах Мозила и Яндекс происходит переадресация на сайт МВД.
Также не заходит в игру через программу для работы приложений Андроид на компе "BlueStacks App Player", пишет, что войти не удалось. С планшетника заходит.
Всё произошло одновременно, после попытки установить "левую" программу.
Спасибо!

[Info_bot]

Уважаемый(ая) Mixer-X, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A18DA96A-7D41-4E44-923E-9C78E17DFD39}: NameServer = 94.242.204.50,8.8.4.4

Если после этого нарушится доступ к интернет, настройте ваши ДНС согласно инструкций провайдера.

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Вадик\AppData\Roaming\4ZBR19116-NNIF\regedit.exe','');
 QuarantineFile('C:\Users\119D~1\AppData\Roaming\msgtnn.exe','');
 QuarantineFile('C:\Program Files (x86)\Windows Doctor\WindowsDoctor.exe','');
 QuarantineFile('C:\PROGRA~3\msgtnn.exe','');
 DeleteFile('C:\PROGRA~3\msgtnn.exe','32');
 DeleteFile('C:\Users\119D~1\AppData\Roaming\msgtnn.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2931849425');
 DeleteFile('C:\Users\Вадик\AppData\Roaming\4ZBR19116-NNIF\regedit.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.

[Mixer-X]

Выполнил, прилагаю.

[Nikkollo]

Извиняюсь за задержку.

Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

O4 - HKLM\..\Run: [regedit.exe] C:\Users\Вадик\AppData\Roaming\4ZBR19116-NNIF\regedit.exe
O4 - HKLM\..\Policies\Explorer\Run: [2931849425] C:\PROGRA~3\msgtnn.exe
O4 - HKCU\..\Policies\Explorer\Run: [2931849425] C:\Users\119D~1\AppData\Roaming\msgtnn.exe

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2931849425');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2931849425');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','regedit.exe');
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Снимите галки со всего, что относится к AVG во всех вкладках AdwCleaner.
Все остальное удалите в AdwCleaner.
Как удалить:
http://virusinfo.info/showthread.php...=1#post1041864

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Рекомендую на всякий случай сменить все пароли.
Что с проблемой?

[Mixer-X]

Кодов 04-х не было.
Я временами чищу комп с помощью ССклинер, БустСпид и ВндоДоктором, наверное они зачистили.
Всё остальное сделал прикрепляю.
Проблема я думал уже давно решена. После первых действий всё стало в порядке.
Спасибо за помощь!

[Nikkollo]

2 записи еще маячат (хотя самих файлов уже нет).

Код:

O4 - HKLM\..\Policies\Explorer\Run: [2931849425] C:\PROGRA~3\msgtnn.exe
O4 - HKCU\..\Policies\Explorer\Run: [2931849425] C:\Users\119D~1\AppData\Roaming\msgtnn.exe

Хочется почистить, чтобы глаза не мозолило...
Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Попробуйте их еще раз пофиксить в HijackThis (как пофиксить):
И сделайте снова лог HijackThis для контроля.

Еще можно дыры поискать.
Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
(копировать при включенной русской раскладке)
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

[Mixer-X]

Эти два кода не хотят уходить.
В АВЗ выполнил скрипт: неуязвимостей не обнаружено.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\progra~3\msgtnn.exe - Trojan.Win32.Agent.ieom ( AVAST4: Win32:Malware-gen )
  2. c:\users\вадик\appdata\roaming\4zbr19116-nnif\regedit.exe - Trojan.Win32.Agent.ieom ( AVAST4: Win32:GenMalicious-IYM [Trj] )
  3. c:\users\119d~1\appdata\roaming\msgtnn.exe - Backdoor.Win32.Kasidet.ap ( AVAST4: Win32:Crypt-RXI [Trj] )