Китайский Вирус. Рекламы.Файл hosts [not-a-virus:HEUR:NetTool.Win32.NetFilter.gen, not-a-virus:AdWare.Win64.Agent.iqi ]

[jedegane]

Появился в компе китаец , программа с китайскими иероглифами, где она живет неизвестно. А также при посещении сайта . там где не должно быть реклам так как на протяжении 2 лет ее там никогда не было. она выскакивает, причем пытаюсь авторизироваться кликаю , а сразу переходит на рекламу. и открывается множество реклам. Файл hosts не могу открыть говорит программа QQPCmgr не разрешает, еще периодически выскакивает окошко, причем все на экране становится серым цветом там написано: Last Version for internet Explorer users и нужно сделать 5 шагов, причем это и в яндексе и в опера выскакивает. Система Windows7 обновлено до 10 ки. Логи прилагаю. Жду помощи.

[Info_bot]

Уважаемый(ая) jedegane, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotector.exe','');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Program Files\contentprotector\condefupdateps.dll','');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
 QuarantineFile('C:\Users\Marina\appdata\roaming\texteditor\daemon\texteditor.exe','');
 QuarantineFile('C:\Users\Marina\AppData\Local\SystemMonitor2016\478171944.exe','');
 QuarantineFile('C:\Users\Marina\AppData\Local\Hostinstaller\478171944_monster.exe','');
 DelCLSID('{63332668-8CE1-445D-A5EE-25929176714E}');
 QuarantineFile('C:\ProgramData\WindowsMsg\675D131108D4FD145B0BFBC68A3E018A.dll','');
 SetServiceStart('QMUdisk', 4);
 SetServiceStart('softaal', 4);
 SetServiceStart('TAOKernelDriver', 4);
 SetServiceStart('TFsFlt', 4);
 SetServiceStart('tsnethlpx64', 4);
 SetServiceStart('TSSysKit', 4);
 SetServiceStart('UCGuard', 4);
 DeleteService('TAOAccelerator');
 DeleteService('SRepairDrv');
 DeleteService('UCGuard');
 DeleteService('TSSysKit');
 DeleteService('tsnethlpx64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('softaal');
 DeleteService('QQSysMonX64');
 DeleteService('QMUdisk');
 SetServiceStart('QQPCRTP', 4);
 DeleteService('QQPCRTP');
 DeleteService('GoogleChromeUpService');
 DeleteService('wibeqysizbt');
 DeleteService('wucotusy');
 DeleteService('zutuzuni');
 QuarantineFile('C:\Program Files (x86)\E2281EEA-1456662358-8D88-331E-705AB6DBB772\hnskB572.tmp','');
 QuarantineFile('C:\Program Files (x86)\E2281EEA-1456662358-8D88-331E-705AB6DBB772\knsnAAF9.tmp','');
 QuarantineFile('C:\ProgramData\service.exe','');
 TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qqpcrtp.exe');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qqpcrtp.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\communic.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\dr.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\QMHipsEngine.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\QMRepairPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\ptrate.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAntiInject.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAssocScan.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAVProxy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMCommon.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMDns.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMEmMat.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMFileMon.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMHIPSHeart.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMHIPSPolicyEng.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMHIPSService.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMIpc.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMNetworkMgr.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qmscripthost.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qmsysrepprov.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMTrayPlugin\QMPerfCtrl\QMPerf.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUl.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\RefuseInject.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\scc.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\sqlite.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TAVCache.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TAVEng.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TAVUpload.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\tinyxml.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSSysKitProxy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQSysMonX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSSysKit64.sys','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ucguard.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCRTP.exe','32');
 DeleteFile('C:\ProgramData\service.exe','32');
 DeleteFile('C:\Program Files (x86)\E2281EEA-1456662358-8D88-331E-705AB6DBB772\knsnAAF9.tmp','32');
 DeleteFile('C:\Program Files (x86)\E2281EEA-1456662358-8D88-331E-705AB6DBB772\hnskB572.tmp','32');
 DeleteFile('zutuzuni.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys','32');
 DeleteFile('C:\WINDOWS\GJFix\SRepairDrv','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
 DeleteFile('C:\ProgramData\WindowsMsg\675D131108D4FD145B0BFBC68A3E018A.dll','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','taskhost');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMContextScan.dll','32');
 DeleteFile('C:\Users\Marina\AppData\Local\Hostinstaller\478171944_monster.exe','32');
 DeleteFile('C:\Users\Marina\AppData\Local\SystemMonitor2016\478171944.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\SystemMonitor2016','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Marina\AppData\Roaming\istartpageing\UninstallManager.exe','32');
 DeleteFile('C:\Users\Marina\AppData\Roaming\yoursearching\UninstallManager.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{692D5DD4-9190-4B42-96B6-78A8563BCF43}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{A62A251A-7532-4470-8596-9EC4E0E0434B}','64');
 DeleteFile('C:\Users\Marina\appdata\roaming\texteditor\daemon\texteditor.exe','32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
 DeleteFile('C:\Program Files\contentprotector\condefupdateps.dll','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotector.exe','32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[jedegane]

Выкладываю новые логи, китайские иероглифы не ушли...рекламы не выскакивают, в хостс зайти не могу

[thyrex]

Сделайте лог полного сканирования МВАМ

[jedegane]

Спасибо за помощь, отправляю лог uVs

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\contentprotector\condefclean.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  2. c:\program files\contentprotector\condefupdateps.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  3. c:\program files\contentprotector\conprotsetup.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  4. c:\program files\contentprotector\contentprotectorconrol.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  5. c:\program files\contentprotector\contentprotector.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  6. c:\program files\contentprotector\contentprotectorupdate.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  7. c:\program files\contentprotector\import_root_cert.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  8. c:\program files\contentprotector\libeay32.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  9. c:\program files\contentprotector\nfregdrv.exe - not-a-virus:AdWare.Win64.Agent.iqi
  10. c:\program files\contentprotector\nss\certutil.exe - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  11. c:\program files\contentprotector\nss\mozcrt19.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  12. c:\program files\contentprotector\nss\nspr4.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  13. c:\program files\contentprotector\nss\nss3.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  14. c:\program files\contentprotector\nss\plc4.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  15. c:\program files\contentprotector\nss\plds4.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  16. c:\program files\contentprotector\nss\smime3.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  17. c:\program files\contentprotector\nss\softokn3.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  18. c:\program files\contentprotector\ssleay32.dll - not-a-virus:HEUR:NetTool.Win32.NetFilter.gen
  19. c:\users\marina\appdata\local\hostinstaller\478171 944_monster.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
  20. c:\users\marina\appdata\local\systemmonitor2016\47 8171944.exe - not-a-virus:RiskTool.Win32.SystemTweaker.ad
  21. c:\users\marina\appdata\roaming\texteditor\daemon\ texteditor.exe - not-a-virus:WebToolbar.Win32.Neobar.k