Автоматическая загрузка вредоносного ПО (mail.ru, amigo, notify и т.п.)

[Alivko]

Добрый день, в автоматическом режиме еще в марте установилось много дряни, попытался все почистить вручную, вроде бы основное удалил, но сегодня опять в браузере начала всплывать реклама, начал смотреть программы и т.п. опять подчистил вредоносное ПО, все отсканировал поудалял некоторые подозрительные файлы, но мне кажется следы еще остались.

Помогите пожалуйста. Логи во вложении, система WIN10, x64

[Info_bot]

Уважаемый(ая) Alivko, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\desktopfind\desktop154.exe', '');
 QuarantineFile('C:\Program Files (x86)\ffgogogo Browser\bin\browserServer.exe', '');
 QuarantineFile('C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe', '');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCService.exe', '');
 QuarantineFile('C:\Program Files (x86)\WeatherChickn\WeatherChickn.exe', '');
 QuarantineFile('C:\Windows\system32\DRIVERS\ucguard.sys', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Art Director\ReportSender\ReportSender.exe', '');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\5.5.7852.9\Installer\chrmstp.exe', '');
 DeleteFile('C:\ProgramData\desktopfind\desktop154.exe', '32');
 DeleteFile('C:\Program Files (x86)\ffgogogo Browser\bin\browserServer.exe', '32');
 DeleteFile('C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe', '32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCService.exe', '32');
 DeleteFile('C:\Program Files (x86)\WeatherChickn\WeatherChickn.exe', '32');
 DeleteFile('C:\Program Files (x86)\58A858EA-1455007654-924D-886D-089E011DFA7F\hnss5888.tmp', '32');
 DeleteFile('C:\Program Files (x86)\58A858EA-1455007654-924D-886D-089E011DFA7F\knsi26B2.tmpfs', '32');
 DeleteFile('C:\Program Files (x86)\58A858EA-1455007654-924D-886D-089E011DFA7F\jnsn40D7.tmp', '32');
 DeleteFile('C:\Windows\system32\DRIVERS\ucguard.sys', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Art Director\ReportSender\ReportSender.exe', '32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\5.5.7852.9\Installer\chrmstp.exe', '32');
 DeleteFile('C:\Windows\Tasks\ffgogogoBrowserUpdateUA.job', '32');
 DeleteService('DeskTop_F');
 DeleteService('FFModules');
 DeleteService('ggbugreport');
 DeleteService('WeatherChiknSrvr');
 DeleteService('wucotusy');
 DeleteService('xygesebuzbt');
 DeleteService('zutuzuni');
 DeleteService('BAPIDRV');
 DeleteService('360FsFlt');
 DeleteService('360Camera');
 DeleteService('360Box64');
 DeleteService('360AvFlt');
 DeleteService('360AntiHacker');
 DeleteService('UCGuard');
 DeleteService('UCBrowserSvc');
 DeleteService('QHActiveDefense');
 DeleteFileMask('c:\programdata\desktopfind', '*', true);
 DeleteFileMask('c:\program files (x86)\ffgogogo browser', '*', true);
 DeleteFileMask('c:\program files (x86)\searchestoyesbnd', '*', true);
 DeleteFileMask('c:\program files (x86)\ucbrowser', '*', true);
 DeleteFileMask('c:\program files (x86)\weatherchickn', '*', true);
 DeleteFileMask('c:\users\art director\reportsender', '*', true);
 DeleteDirectory('c:\programdata\desktopfind');
 DeleteDirectory('c:\program files (x86)\ffgogogo browser');
 DeleteDirectory('c:\program files (x86)\searchestoyesbnd');
 DeleteDirectory('c:\program files (x86)\ucbrowser');
 DeleteDirectory('c:\program files (x86)\weatherchickn');
 DeleteDirectory('c:\users\art director\reportsender');
 ExecuteFile('schtasks.exe', '/delete /TN "ReportSender" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SystemRestore\APC" /F', 0, 15000, true);
 DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SystemClose');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[Alivko]

Спасибо, Вадим.
Все сделал, карантин прикрепил. Логи во вложении

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Alivko]

Vvvyg, отчет во вложении.

Кэш и куки очищены, проблем больше не наблюдается. Огромное спасибо.

[Vvvyg]

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены