Куча вирусов и не только

Printable View

15.06.2017, 14:49
KopoeD

Вложений: 1

Куча вирусов и не только

1.Дома присутствует ноутбук и обычный компьютер. Сейчас речь про первый. На ноутбуке появилась куча рекламы, в ютубе какие то странные видео в рекомендациях и непонятная реклама, при кликах в браузере открывались сайты разные, также было самопроизвольное открытие сайтов через какой-то промежуток времени(последнее вроде бы убралось при помощи самых разных утилит от рекламы). В скайпе, как мне кажется, появилась лишняя реклама, короче говоря, все в рекламе. Как посоветуете действовать в этом случае?
2.Насчет компьютера. Также различные видео на ютубе, рекламные посты вконтакте(которые никак не связаны с нормальной рекламой в ленте новостей), заметил, что с аккаунта социальной сети автоматически ставятся лайки под непонятные записи. Не знаю по какой причине (возможно вирус) раздел жесткого диска C стал невероятно быстро забиваться. Я удалял все что мог, но в конечном итоге так и осталось на нем около 10 мб свободного места(причем забиваться он мог спокойно по гб в день). Вчера произошло выключение компьютера(наверно из-за перегрева или проблем с напряжением) и теперь операционная система не включается, происходит попытка автоматического восстановления, но в итоге выводит:Startup Repair cannot repair this computer automatically. Резервной копии виндовс нет, не знаю каким образом починить компьютер и затем также произвести лечение. Сможете ли вы помочь с этим вопросом? Если нет, куда лучше обратиться, может есть какие то форумы?
Заранее спасибо за все ответы. Логи по ноутбуку прикрепил.
15.06.2017, 14:51
Info_bot

Уважаемый(ая) [B]KopoeD[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.06.2017, 19:41
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Влад\AppData\Local\PowerMonitor\PowerMonitor.exe','');
QuarantineFile('C:\Users\Влад\AppData\Local\wupdate\wupdate.exe','');
DeleteFile('C:\Users\Влад\AppData\Local\wupdate\wupdate.exe','32');
DeleteFile('C:\Users\Влад\AppData\Local\PowerMonitor\PowerMonitor.exe','32');
DeleteFile('C:\Windows\system32\Tasks\PowerMonitor','64');
DeleteFile('C:\Windows\system32\Tasks\wupdate','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
15.06.2017, 23:22
KopoeD

Вложений: 1

При отправке карантина выдало:Ошибка загрузки. Данный файл уже был загружен. Как я понял, карантин пустой. Может еще раз скрипт сделать? Новые логи прикрепил
17.06.2017, 08:23
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
17.06.2017, 16:36
KopoeD

Вложений: 1

Логи
17.06.2017, 18:04
thyrex

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] из папки Autologger на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: IEInspector Browser Helper -> {9B43B7B1-BF56-4708-81D2-332D708B0DD9} -> No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Handler: solores - {8FA1F4E9-444B-48BF-98CD-B8ECA88E6BA5} - C:\Games\C5F6~1\SoloRes.dll No File
DefaultPrefix-x32: => <==== ATTENTION
FF Extension: (Babylon) - C:\Users\Влад\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2012-09-23] [not signed]
FF Extension: (SaveSense) - C:\Users\Влад\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23} [2014-01-28] [not signed]
FF SearchPlugin: C:\Users\Влад\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\askcom.xml [2012-08-30]
CHR HKU\S-1-5-21-3126704725-1267290758-2523542503-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3126704725-1267290758-2523542503-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3126704725-1267290758-2523542503-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3126704725-1267290758-2523542503-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Влад\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
C:\ProgramData\help.bat
C:\ProgramData\VideoPluginDone.dat
C:\Users\Все пользователи\help.bat
C:\Users\Все пользователи\VideoPluginDone.dat
2017-04-22 22:26 - 2017-04-22 21:52 - 0803824 _____ () C:\Users\Влад\AppData\Local\Temp\16C4.tmp.exe
2017-04-23 10:22 - 2017-04-23 10:21 - 0807920 _____ () C:\Users\Влад\AppData\Local\Temp\18BE.tmp.exe
2017-01-08 04:20 - 2017-01-07 18:20 - 0848888 _____ () C:\Users\Влад\AppData\Local\Temp\2D33.tmp.exe
2017-02-23 11:52 - 2017-02-23 11:41 - 0832512 ____N () C:\Users\Влад\AppData\Local\Temp\3B7A.tmp.exe
2016-08-17 01:00 - 2016-08-17 01:01 - 0000000 _____ () C:\Users\Влад\AppData\Local\Temp\3xsIFtbVfKhW.exe
2017-04-09 19:29 - 2017-04-09 19:26 - 0775160 ____N () C:\Users\Влад\AppData\Local\Temp\51B7.tmp.exe
2017-02-08 15:50 - 2017-02-08 15:36 - 0746496 _____ () C:\Users\Влад\AppData\Local\Temp\5792.tmp.exe
2017-04-10 00:47 - 2017-04-10 00:08 - 0787448 _____ () C:\Users\Влад\AppData\Local\Temp\7217.tmp.exe
2017-04-25 16:58 - 2017-04-25 16:35 - 0791544 ____N () C:\Users\Влад\AppData\Local\Temp\7C41.tmp.exe
2016-08-17 01:01 - 2016-08-17 01:01 - 0000000 _____ () C:\Users\Влад\AppData\Local\Temp\7MVJtHfqcAuI.exe
2017-02-16 00:02 - 2017-02-15 23:19 - 0726024 _____ () C:\Users\Влад\AppData\Local\Temp\830A.tmp.exe
2017-01-20 19:20 - 2017-01-20 19:10 - 0771080 _____ () C:\Users\Влад\AppData\Local\Temp\8796.tmp.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 ____N () C:\Users\Влад\AppData\Local\Temp\8D7F.tmp.exe
2016-05-26 23:46 - 2016-05-30 15:54 - 0000069 _____ () C:\Users\Влад\AppData\Local\Temp\98041336abdb05fcfca2320fb229fcac.dll
2016-08-17 06:08 - 2016-08-17 06:08 - 0354024 _____ (Mail.Ru) C:\Users\Влад\AppData\Local\Temp\9qvJfMBhxEzS.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 ____N () C:\Users\Влад\AppData\Local\Temp\AACF.tmp.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 _____ () C:\Users\Влад\AppData\Local\Temp\C541.tmp.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 _____ () C:\Users\Влад\AppData\Local\Temp\C58F.tmp.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 _____ () C:\Users\Влад\AppData\Local\Temp\C590.tmp.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 _____ () C:\Users\Влад\AppData\Local\Temp\C593.tmp.exe
2016-12-13 20:50 - 2016-12-13 19:05 - 0787456 _____ () C:\Users\Влад\AppData\Local\Temp\C9D7.tmp.exe
2016-08-17 00:50 - 2016-08-17 00:50 - 0050176 ____N (VideoPlugin Services) C:\Users\Влад\AppData\Local\Temp\coi1633.exe
2012-09-21 09:49 - 2011-05-20 01:57 - 0086016 _____ () C:\Users\Влад\AppData\Local\Temp\CPU-V.dll
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 ____N () C:\Users\Влад\AppData\Local\Temp\D01A.tmp.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 ____N () C:\Users\Влад\AppData\Local\Temp\D01B.tmp.exe
2017-02-22 00:19 - 2017-02-22 00:09 - 0844800 ____N () C:\Users\Влад\AppData\Local\Temp\D0C6.tmp.exe
2017-04-23 10:15 - 2017-04-23 10:03 - 0799728 _____ () C:\Users\Влад\AppData\Local\Temp\EACB.tmp.exe
2016-12-31 19:12 - 2016-12-31 19:09 - 0873456 _____ () C:\Users\Влад\AppData\Local\Temp\ED99.tmp.exe
2016-08-17 00:49 - 2016-08-17 00:50 - 0000000 _____ () C:\Users\Влад\AppData\Local\Temp\f1F7CYtE4NVY.exe
2017-02-11 14:50 - 2017-02-11 12:35 - 0787456 _____ () C:\Users\Влад\AppData\Local\Temp\F827.tmp.exe
2016-05-26 23:45 - 2016-05-26 23:45 - 0000512 _____ () C:\Users\Влад\AppData\Local\Temp\fd585b8e864cc41e70aa800112186ec8.dll
2014-11-16 16:33 - 2013-07-05 17:32 - 0192512 _____ () C:\Users\Влад\AppData\Local\Temp\GLF179C.tmp.dll
2015-11-07 21:11 - 2015-11-07 21:11 - 0000000 _____ () C:\Users\Влад\AppData\Local\Temp\GURF746.exe
2016-08-17 00:48 - 2016-08-17 00:48 - 0626688 ____N () C:\Users\Влад\AppData\Local\Temp\HYlV4s377xo1.exe
2016-08-17 00:50 - 2016-08-17 00:50 - 0000000 _____ () C:\Users\Влад\AppData\Local\Temp\Po5uk5OET3Ky.exe
2016-08-17 00:46 - 2016-08-17 00:46 - 11796356 ____N () C:\Users\Влад\AppData\Local\Temp\SbKj127ZqnvE.exe
2016-08-17 00:44 - 2016-08-17 00:44 - 4423896 ____N () C:\Users\Влад\AppData\Local\Temp\uHaLc9YB3hY3.exe
2016-08-17 00:55 - 2016-08-17 00:55 - 0000000 _____ () C:\Users\Влад\AppData\Local\Temp\VhEeLGzkTdRE.exe
2016-08-17 00:55 - 2016-08-17 00:55 - 0000000 _____ () C:\Users\Влад\AppData\Local\Temp\vhf6nU8ne64v.exe
C:\Windows\SysWOW64\FlashPlayerInstaller.exe
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Влад\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3126704725-1267290758-2523542503-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2016\Inventor Server\Bin\TestServer.dll => No File
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]