Подозрение на вирусы (комп №1) [not-a-virus:AdWare.Win32.Goopdate.d, Trojan-Downloader.Win32.FlyStudio.kx ]

Зависания при работе с компьютером.

С уважением,
Максим

Уважаемый(ая) [B]mpbakunov[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\ghostery storage server\ghstore.exe');
TerminateProcessByName('c:\windows\system32\0e6056\5685ca.exe');
StopService('Ghostery Storage Server');
QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\dp1.fne', '');
QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\eAPI.fne', '');
QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\HtmlView.fne', '');
QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\krnln.fnr', '');
QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\shell.fne', '');
QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\smycWTeXSeDFCWU.wSf', '');
QuarantineFile('C:\Documents and Settings\User01\Главное меню\Программы\Автозагрузка\smycWTeXSeDFCWU.wSf', '');
QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\fupdate\fupdate.exe', '');
QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll', '');
QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.exe', '');
QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\sysnet\sysnet.exe', '');
QuarantineFile('c:\program files\ghostery storage server\ghstore.exe', '');
QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '');
QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '');
QuarantineFile('c:\windows\system32\0e6056\5685ca.exe', '');
QuarantineFileF('c:\program files\ghostery storage server', '*.exe', true, '', 0 , 0);
DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\dp1.fne', '32');
DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\eAPI.fne', '32');
DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\HtmlView.fne', '32');
DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\krnln.fnr', '32');
DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\shell.fne', '32');
DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\smycWTeXSeDFCWU.wSf', '32');
DeleteFile('C:\Documents and Settings\User01\Главное меню\Программы\Автозагрузка\smycWTeXSeDFCWU.wSf', '32');
DeleteFile('C:\Documents and Settings\админ\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk');
DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\fupdate\fupdate.exe', '32');
DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll', '32');
DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.exe', '32');
DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\sysnet\sysnet.exe', '32');
DeleteFile('c:\program files\ghostery storage server\ghstore.exe', '32');
DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '32');
DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '32');
DeleteFile('c:\windows\system32\0e6056\5685ca.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "fupdate.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task.job" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "sysnet.job" /F', 0, 15000, true);
DeleteService('Ghostery Storage Server');
DeleteFileMask('c:\documents and settings\админ\local settings\application data\fupdate', '*', true);
DeleteFileMask('c:\documents and settings\админ\local settings\application data\searchgo', '*', true);
DeleteFileMask('c:\documents and settings\админ\local settings\application data\sysnet', '*', true);
DeleteFileMask('c:\program files\ghostery storage server', '*', true);
DeleteFileMask('c:\program files\globalupdate', '*', true);
DeleteFileMask('c:\windows\system32\0e6056', '*', true);
DeleteDirectory('c:\documents and settings\админ\local settings\application data\fupdate');
DeleteDirectory('c:\documents and settings\админ\local settings\application data\searchgo');
DeleteDirectory('c:\documents and settings\админ\local settings\application data\sysnet');
DeleteDirectory('c:\program files\ghostery storage server');
DeleteDirectory('c:\program files\globalupdate');
DeleteDirectory('c:\windows\system32\0e6056');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '5685CA');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1957994488-1637723038-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'smycWTeXSeDFCWU');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(8);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL], Ok после запуска нажимайте с зажатой клавишей Shift.

Результат сканирования

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O2 - HKLM\..\BHO: SearchBarBHO - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll (file missing)
O3 - HKLM\..\Toolbar: Searchgo - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll (file missing)
O4 - HKLM\..\Run: [5685CA] = C:\WINDOWS\system32\0E6056\5685CA.EXE (file missing)
O4 - Startup other users: C:\Documents and Settings\User01\Главное меню\Программы\Автозагрузка\smycWTeXSeDFCWU.wSf
O4 - Startup other users: C:\Documents and Settings\админ\Главное меню\Программы\Автозагрузка\5685CA.lnk -> C:\WINDOWS\system32\0E6056\5685CA.EXE
O4 - User Startup: C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\5685CA.lnk -> C:\WINDOWS\system32\0E6056\5685CA.EXE
O22 - Task (Job): SearchGo Task.job - C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.exe
O22 - Task (Job): fupdate.job - C:\Documents and Settings\админ\Local Settings\Application Data\fupdate\fupdate.exe
O22 - Task (Job): sysnet.job - C:\Documents and Settings\админ\Local Settings\Application Data\sysnet\sysnet.exe --stid=""
O23 - Service S2: Ghostery Storage Server - C:\Program Files\Ghostery Storage Server\ghstore.exe (file missing) Files\Ghostery Storage Server\ghstore.exe /svc[/code]Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Логи FRST

[QUOTE]Ran by User01 (ATTENTION: The user is not administrator)[/QUOTE]Переделайте из-под администратора.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\user01\главное меню\программы\автозагрузка\smycwtexsedfcwu.wsf - [B]HEUR:Trojan.Script.Generic[/B][*] c:\documents and settings\админ\local settings\application data\fupdate\fupdate.exe - [B]not-a-virus:AdWare.Win32.Agent.xxcysm[/B] ( BitDefender: Gen:Variant.Razy.24337 )[*] c:\documents and settings\админ\local settings\application data\searchgo\searchgo.dll - [B]not-a-virus:AdWare.Win32.Agent.kcwn[/B] ( BitDefender: Trojan.GenericKD.3158757, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\админ\local settings\application data\searchgo\searchgo.exe - [B]not-a-virus:AdWare.Win32.Searchgo.a[/B] ( BitDefender: Trojan.GenericKD.3141570, AVAST4: Win32:Adware-gen [Adw] )[*] c:\documents and settings\админ\local settings\application data\sysnet\sysnet.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Variant.Jaik.7423 )[*] c:\docume~1\user01\locals~1\temp\smycwtexsedfcwu.wsf - [B]HEUR:Trojan.Script.Generic[/B][*] c:\program files\globalupdate\update\1.3.25.0\goopdateres_en.dll - [B]not-a-virus:AdWare.Win32.Goopdate.d[/B] ( BitDefender: Gen:Variant.Adware.Goopdate.2 )[*] c:\windows\system32\0e6056\5685ca.exe - [B]Trojan-Downloader.Win32.FlyStudio.kx[/B] ( DrWEB: Win32.HLLW.Autoruner.26035, BitDefender: GenPack:Backdoor.Generic.197461, AVAST4: Win32:EvilEPL [Cryp] )[/LIST][/LIST]