Не удается вылечить ПК

**Skvortsova** · 20.10.2015, 10:39

Добрый день!
При скачивании бланка бухгалтерской формы произошло заражение ПК. Установлен Avast (v.10.4.22.33 от 17.09.2015). Лечение проводилось при помощи полного сканирования Avast, загрузки с USB-накопителя (DrWeb Live-CD for USB), утилиты Лаборатории Касперского KVRT. Все найденные угроза программами были устранены, но в работе ПК нет стабильности. Самопроизвольно открывается браузер. Прошу помощи. Файлы прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.10.2015, 10:41

Уважаемый(ая) Skvortsova, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 20.10.2015, 11:08

Здравствуйте !!!

отключите антивирусную программу

Пофиксите в HijackThis: (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - HKLM\..\Run: [gmsd_ru_005010116] "C:\Program Files\gmsd_ru_005010116\gmsd_ru_005010116.exe"
O4 - HKLM\..\Run: [gmsd_ru_005010117] "C:\Program Files\gmsd_ru_005010117\gmsd_ru_005010117.exe"

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Amigo\Application\amigo.exe','');
  QuarantineFile('c:\task.vbs','');
  QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\Updater.exe','');
  QuarantineFile('C:\Users\?????????\AppData\Roaming\PRUe9hXp09vfY5giN20.exe ','');
  QuarantineFile('C:\Users\?????????\AppData\Roaming\MQ84vX38cRj2hd1zJt.exe','');
  QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','');
  QuarantineFile('C:\Users\?????????\AppData\Roaming\6mfbuW4lkYdQ.exe ','');
  QuarantineFile('C:\Users\Бухгалтер\AppData\Local\Amigo\Application\vk.exe','');
  QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
  QuarantineFile('C:\Program Files\gmsd_ru_005010117\gmsd_ru_005010117.exe','');
  QuarantineFile('C:\Program Files\gmsd_ru_005010116\gmsd_ru_005010116.exe','');
  QuarantineFile('C:\Program Files\WordWizard_1.10.0.24\Service\wwsvc.exe','');
  DeleteFile('C:\Users\?????????\AppData\Roaming\PRUe9hXp09vfY5giN20.exe ');
  DeleteFile('C:\Users\?????????\AppData\Roaming\MQ84vX38cRj2hd1zJt.exe');
  DeleteFile('C:\Users\?????????\AppData\Roaming\6mfbuW4lkYdQ.exe ');
  DeleteFile('C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk');
  DeleteFile('C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk');
  DeleteFile('C:\Program Files\WordWizard_1.10.0.24\Service\wwsvc.exe','32');
  DeleteFile('C:\Program Files\gmsd_ru_005010116\gmsd_ru_005010116.exe','32');
  DeleteFile('C:\Program Files\gmsd_ru_005010117\gmsd_ru_005010117.exe','32');
  DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
  DeleteFile('C:\Users\Бухгалтер\AppData\Local\Amigo\Application\vk.exe','32');
  DeleteFile('C:\Users\Бухгалтер\AppData\Local\Amigo\Application\vk.exe http://r.mail.ru/n137257923','32');
  DeleteFile('C:\Users\Бухгалтер\AppData\Local\Amigo\Application\ok.exe http://r.mail.ru/n137257727','32');
  DeleteFile('C:\Users\Бухгалтер\AppData\Local\Amigo\Application\ok.exe','32');
  DeleteFile('C:\Windows\Tasks\6mfbuW4lkYdQ.job','32');
  DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
  DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
  DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
  DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-1-6.exe','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-1-7.exe','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-10.exe','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-11.exe','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-11.job','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-10_user.job','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-1-7.job','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-1-6.job','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-3.exe','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-5.exe','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-6.exe','32');
  DeleteFile('C:\Program Files\CiPlus-4.5vV24.09\cfcd9296-92d4-4d34-a587-15534559cb50-7.exe','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-7.job','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-6.job','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-5_user.job','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-5.job','32');
  DeleteFile('C:\Windows\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-3.job','32');
  DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe','32');
  DeleteFile('C:\Program Files\globalUpdate\Update\globalupdate.exe','32');
  DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
  DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
  DeleteFile('C:\Windows\Tasks\Crossbrowse.job','32');
  DeleteFile('C:\Windows\Tasks\MQ84vX38cRj2hd1zJt.job','32');
  DeleteFile('C:\Windows\Tasks\PRUe9hXp09vfY5giN20.job','32');
  DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
  DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
  DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
  DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','32');
  DeleteFile('C:\Windows\system32\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-7','32');
  DeleteFile('C:\Windows\system32\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-6','32');
  DeleteFile('C:\Windows\system32\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-5','32');
  DeleteFile('C:\Windows\system32\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-3','32');
  DeleteFile('C:\Windows\system32\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-11','32');
  DeleteFile('C:\Windows\system32\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-1-7','32');
  DeleteFile('C:\Windows\system32\Tasks\cfcd9296-92d4-4d34-a587-15534559cb50-1-6','32');
  DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','32');
  DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','32');
  DeleteFile('C:\Program Files\PhraseProfessor_1.10.0.24\Update\PhraseProfessorAutoUpdateClient.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Core','32');
  DeleteFile('C:\Windows\system32\Tasks\PhraseProfessor Auto Updater 1.10.0.24 Pending Update','32');
  DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\Updater.exe','32');
  DeleteFile('C:\Program Files\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\WordWizard Auto Updater 1.10.0.24 Core','32');
  DeleteFile('C:\Windows\system32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update','32');
  DeleteFile('c:\task.vbs','32');
  DeleteFile('C:\Windows\system32\Tasks\updateTask','32');
  DeleteFile('C:\Users\Бухгалтер\AppData\Local\Amigo\Application\amigo.exe','32');
  DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010116');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010117');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
  RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**Skvortsova** · 21.10.2015, 10:32

Добрый день!
Проделала все рекомендации, требуемые файлы прилагаю.

**mrak74** · 21.10.2015, 10:54

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
  QuarantineFile('C:\Users\A95B~1\AppData\Local\Temp\Updater.exe','');
  DeleteFile('C:\Users\A95B~1\AppData\Local\Temp\Updater.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\runTask','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

+
Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Skvortsova** · 21.10.2015, 14:06

Добрый день! Высылаю требуемые файлы.

- - - - -Добавлено - - - - -

Досылаю файлы

**mrak74** · 21.10.2015, 14:12

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [gmsd_ru_005010099] => [X]
HKLM\...\Run: [gmsd_ru_005010101] => [X]
SearchScopes: HKU\S-1-5-21-1234038823-2553078564-3749601498-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=anvir3
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1442820140&z=cd42e57154b0577635298e6g5z9zao4beg2tat9q4q&from=face&uid=TOSHIBAXDT01ACA050_74TAL9LASXX74TAL9LASX
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [No File]
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [No File]
CHR NewTab: Default -> "chrome-extension://pnooffjhclkocplopffdbcdghmiffhji/visual-bookmarks.html"
Task: {28AD47C0-DB7F-429A-822A-2800405E8E4F} - \runTask -> No File <==== ATTENTION
Task: {72167BA4-50A5-482A-9393-1151AE7F46DD} - \PhraseProfessor Auto Updater 1.10.0.24 Core -> No File <==== ATTENTION
Task: {9426A907-8349-47FE-ACF4-28D33EBDAA47} - \PhraseProfessor Auto Updater 1.10.0.24 Pending Update -> No File <==== ATTENTION
Task: {AB8ED59C-4F91-4E86-8A29-28106FE0C939} - \updateTask -> No File <==== ATTENTION
Task: {C46FD5D3-73B4-4CB5-AAEA-13EC1E92DD77} - \WordWizard Auto Updater 1.10.0.24 Core -> No File <==== ATTENTION
Task: {DE88DB01-79BA-4A22-B631-53AB99C9E245} - \WordWizard Auto Updater 1.10.0.24 Pending Update -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Skvortsova** · 23.10.2015, 11:23

Добрый день! Высылаю требуемый файл.

**mrak74** · 23.10.2015, 11:23

Добрый день !!!

Что с проблемой ?

**Skvortsova** · 24.10.2015, 12:45

Добрый день! После всех манипуляций компьютер работает стабильно. Большое спасибо за помощь!

**mrak74** · 26.10.2015, 08:10

Советы и рекомендации после лечения компьютера

**CyberHelper** · 26.10.2015, 08:20

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 26
В ходе лечения вредоносные программы в карантинах не обнаружены

Не удается вылечить ПК (заявка № 191555)

Опции темы