Подозрение на троян устанавливающий приложения [not-a-virus:AdWare.Win32.Agent.jleq ]

[MasamuneDate]

Здравствуйте!Зашел на сайт модов по скайриму. Проверенный сайт качал всегда от туда моды всё хорошо было. Скачал мод и пошло поехало. Установилось куча приложений и рекламы. Приложения по удалял но они потом восстановились. Опять удалил пока не появлялись снова.И очень хочу удалить всё что связанно с майл ру. Винда свеже установленная майл ру не ставил и не собирался , а теперь и стартовая страница и поисковик помогите убрать это. И почистить ноут от нежелательного ПО если оно там окажется.В процессе сбора информации через авз и другой проге было пару каких то ошибок но скрипты выполнились. Запускал с правами администратора если что.

[Info_bot]

Уважаемый(ая) MasamuneDate, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\Саннада\AppData\Roaming\newSI_1024\s_inst.exe','');
 QuarantineFile('C:\Users\Саннада\AppData\Roaming\newSI_1002\s_inst.exe','');
 QuarantineFile('C:\Users\Саннада\AppData\Roaming\MyDesktop\linkme.exe','');
 DeleteFile('C:\Users\Саннада\AppData\Roaming\newSI_1002\s_inst.exe','32');
 DeleteFile('C:\Users\Саннада\AppData\Roaming\newSI_1024\s_inst.exe','32');
 DeleteFile('C:\Windows\Tasks\newSI_1024.job','32');
 DeleteFile('C:\Windows\Tasks\newSI_1002.job','32');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1002','64');
 DeleteFile('C:\Windows\system32\Tasks\newSI_1024','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[MasamuneDate]

Выполнил. Как удалить приложения маил ру ?

[thyrex]

Сделайте лог полного сканирования МВАМ

[MasamuneDate]

Вот лог готовый скидываю.Единственное в логе инжектор как вредоносное по определился в папке фар край 4. Это фикс для игры на 2-х ядерных компах. Вреда вроде не приносил он. А вот там кометы всякие это то что установилось само без спроса.

[thyrex]

Удалите в МВАМ все, кроме

Код:

RiskWare.Injector.DC, D:\11\Dual_Core_Fix-spaces.ru.7z, , [418f3028048773c3611f0d2ed0317a86], 
PUP.Optional.OpenCandy, D:\Инсталяторы\FreemakeVideoConverter_4.0.0.15.exe, , [6868c69299f285b100d96a2e28d8bd43], 
PUP.Optional.OpenCandy, D:\Инсталяторы\vReveal\vReveal_2.2.1.10160.exe, , [0fc136221576fe38832cf948c83c7e82], 
PUP.HackTool.Agent, E:\Games\Crysis® 3 Hunter Edition\Бонус\crysis3v13_6tr.rar, , [ac2461f71c6f45f1d95ee7949f612dd3], 
RiskWare.Injector.DC, E:\Games\Far Cry 4\dual_core_fix.7z, , [5d733d1b701b989e552b0b30ee135fa1], 
RiskWare.Injector.DC, E:\Games\Far Cry 4\Extreme Injector v3.exe, , [4e82a2b6d5b694a24f3167d4c041718f], 
RiskWare.Injector.DC, E:\Games\Far Cry 4\bin\Extreme Injector v3.exe, , [2da346120784f6403050310a38c9ed13],

[MasamuneDate]

Выполнил. Ярлыки маил ру и игр браузерных никуда не пропали только( Может мне их тупо вручную удалить и всё?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[MasamuneDate]

Вот.

[thyrex]

Порядок в логах

[MasamuneDate]

Вот и здорово , спасибо! Ярлыки я тогда сам удалю , они что то вроде ярлыка перебрасывающего на сайт продукта наверно, не открывал через них просто ничего. Кстате из загруженности оперативки освободилось 300-500мб , было 1000-1200 , а сейчас 700-900.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены