Virus.Propal rab.stol.win10

**Geradot95** · 08.05.2016, 17:34

Добрый день.Накомпьютер как-то Попал вирус,который блокирует рабочий стол(пустой рабочий стол появляется).
В реестре все хорошо в параметрах Shell.
Вчера курелейт поймал его, но после перезагруки компьютера все так же.
Вирус,скорее всего, как-то блокирует и при проверке на вирусы ни чего антивирусы не находят.
вирус был найден в папке systemprofile и там была сменя даты на 07.05.2058.
Ещебывает пишет, что заглушке переданы не правильные данные.
Логи прикрепляю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.05.2016, 17:35

Уважаемый(ая) Geradot95, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 09.05.2016, 10:31

TuneUp Utilities 2014 удалите через Установку программ

Выполните скрипт в AVZ

Код:

begin
 DelCLSID('{4838CD50-7E5D-4811-9B17-C47A85539F28}');
 DelCLSID('{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}');
 DeleteService('TuneUp.UtilitiesSvc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.5907.0716\amd64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.5930.0814\amd64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.5951.0827\amd64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.6201.1019\amd64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.6301.0127\amd64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Uninstall C:\Users\FIFAXNETPC\AppData\Local\Microsoft\OneDrive\17.3.6302.0225\amd64');
 DeleteFile('C:\Program Files (x86)\TuneUp Utilities 2014\TuneUpUtilitiesService64.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{4838CD50-7E5D-4811-9B17-C47A85539F28}');
 DeleteFile('C:\Windows\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013.job','32');
 DeleteFile('C:\Windows\system32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**Geradot95** · 09.05.2016, 17:51

Сделал, как просили, но не думаю, что зависит от авз т.к она стояла еще с 2015г.
Вот новые логи. Меню пуск и трей не грузятся.

- - - - -Добавлено - - - - -

Точнее TuneUp Utilities 2014*

**thyrex** · 09.05.2016, 23:00

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

**Geradot95** · 10.05.2016, 02:03

Vot logi/

**thyrex** · 10.05.2016, 11:04

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM-x32\...\Winlogon: [Userinit]  [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hp&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1432902333&z=43a6b409c87803f55093f97g3z1cfodt5eawat5z6w&from=cor&uid=TOSHIBAXMK6475GSX_Z16DT94XTXXZ16DT94XT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-558645513-1403811476-3049523598-1001 -> {58C38B0F-7D05-41AE-8FE5-15DD794FF4FF} URL = hxxp://ask-tb.com/web?tpid=FF-RG&o=Y10003&pf=V7&p2=^B9O^YYYYYY^YY^RU&gct=&itbv=12.28.1.1273&apn_uid=8F7A5BFD-A353-4921-A45E-7D6FDB92992F&apn_ptnrs=^B9O&apn_dtid=^YYYYYY^YY^RU&apn_dbr=iexplore.exe_6_11.0.9600.17037&doi=2015-05-25&trgb=ALL&q={searchTerms}&psv=&pt=tb
SearchScopes: HKU\S-1-5-21-558645513-1403811476-3049523598-1001 -> {B4D01D9B-50F2-4325-B0E9-90DF6C7001DB} URL = hxxp://ask-tb.com/web?tpid=FF-RG&o=Y10003&pf=V7&p2=^B9O^YYYYYY^YY^RU&gct=&itbv=12.28.1.1273&apn_uid=8F7A5BFD-A353-4921-A45E-7D6FDB92992F&apn_ptnrs=^B9O&apn_dtid=^YYYYYY^YY^RU&apn_dbr=iexplore.exe_6_11.0.9600.17037&doi=2015-05-25&trgb=ALL&q={searchTerms}&psv=&pt=tb
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\FIFAXNETPC\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\FIFAXNETPC\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\FIFAXNETPC\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected]
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=sape4","hxxp://www.omniboxes.com/?type=hp&ts=1453316024&z=928fc776d5409d19b649262g0z3w4cec7g7qee2o6z&from=amt&uid=toshibaxmk6475gsx_z16dt94xtxxz16dt94xt"
CHR Extension: (Web Protector - надежная защита от фишинга) - C:\Users\FIFAXNETPC\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfecnpmgnlnbmipaogfhoacoioifjgko [2016-03-31]
OPR Extension: (Quick Searcher) - C:\Users\FIFAXNETPC\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgikemaeelgbhjnhnnahcpkjpafaeion [2016-01-20]
OPR Extension: (Glass Bottle) - C:\Users\FIFAXNETPC\AppData\Roaming\Opera Software\Opera Stable\Extensions\nmdlhabgabpmfcenijcjbbdkbgjpdhfi [2015-05-29]
CHR HKU\S-1-5-21-558645513-1403811476-3049523598-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofamiiopmjjgknbponcngmmlcoiakdld] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
Task: {056A1434-2E5C-473D-A08D-C67A4F173D39} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {06E20835-31FD-454C-AA88-78E3753CCD37} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {11E0181A-C765-41F1-823F-C56EBF3F812B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {273B6E14-3817-471D-BE3A-0E8628462345} - \TuneUpUtilities_Task_BkGndMaintenance2013 -> No File <==== ATTENTION
Task: {33B1E965-F2DF-4C21-8E8A-EB8115C9E79C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {3A9164C0-B630-4C93-B204-7368DA6E0B27} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {8232A903-B775-4518-B07E-9F30271DA44B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {9B9F0AB6-FD8F-4E86-90CA-642A6D06E0B7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {C1A5FF7C-6D9A-4E4B-9910-8D43AE04382F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**Geradot95** · 10.05.2016, 11:50

Вот Лог)

**thyrex** · 12.05.2016, 01:19

Что с проблемой?

**Geradot95** · 12.05.2016, 11:20

Осталась. Иногда появляется раб.стол,какой был,но чаще всего грузится пустой и на нем не меняется язык.
Не могу понять,почему он грузится из папки Windows/System32/Config/Systemprofile.
Так же иногда блокируются usb входы.

**Geradot95** · 14.05.2016, 22:30

Если, загружается раб.стол, то не подключается к 3g модему мегафон, а от вай-фай все работает.
И не работают флешки и т.д, а точнее они определяются, но их нет в списке устройств.(все рабочие)

**thyrex** · 15.05.2016, 09:39

Вирусы тут точно не виноваты. Это что-то системное

**Geradot95** · 15.05.2016, 23:00

Pochemu.Virus bul i udalil ego..ostalis posledstviia.

- - - - -Добавлено - - - - -

On sbil chto-to, a chto i naiti ne mogu

- - - - -Добавлено - - - - -

До вируса такого не было.

- - - - -Добавлено - - - - -

Po hodu otchluchenu kakie-to sluzbu

**Vvvyg** · 15.05.2016, 23:08

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Geradot95** · 15.05.2016, 23:45

Esli pravilno vse sdelal.Vot)

**Vvvyg** · 16.05.2016, 00:14

Выполните скрипт в uVS:

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\USERS\FIFAXNETPC\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\SEARCHPLUGINS\DO-SEARCH.XML
delref %SystemDrive%\USERS\FIFAXNETPC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FGIKEMAEELGBHJNHNNAHCPKJPAFAEION\1.0.14\QUICK SEARCHER
delref %Sys32%\GWX\GWX.EXE
regt 12
deltmp
restart

Компьютер перезагрузится.

Система, походе, не обновляется, а для 10-ки это критично, там много всяческих глюков правится.

**Geradot95** · 16.05.2016, 00:38

loga i papki ne nashel
ZOO_ (например: ZOO_2012-08-21_20-05-27.7z) если архив отсутствует, то заархивруйте папку ZOO

**Vvvyg** · 16.05.2016, 08:53

Что с проблемами сейчас?

**Geradot95** · 16.05.2016, 11:38

Осталась.
Обновления не устанавливаются.
Постоянно в настройках сбрасывается на подключение (модема) к определенному DNS серверу.
Но теперь меняется язык)

**Vvvyg** · 16.05.2016, 12:11

Сообщение от Geradot95

Постоянно в настройках сбрасывается на подключение (модема) к определенному DNS серверу.

К какому именно?

Смените пароль на веб-интерфейс модема на сложный.
Обновите прошивку, если есть для вашей модели.

Virus.Propal rab.stol.win10 (заявка № 200246)

Опции темы