Вредоносное ПО

Добрый день!

Под пользователем словившем вирус:

[LIST][*]жутко тормозит комп процессами типа svhost[*]Закрывается браузер при поисковом запроси по типу: AVZ[*]Закрывается проводник с папкой содержащей AVZ[*]При использовании Cureit - удалении\перемещения в карантин зараженных файл винда падает в синий экран (или как он наывается в вин 10)[/LIST]
[COLOR=#333333]Autologger запустил из под резервного пользователя, лог во вложении. Просьба по возможности помочь! Спасибо.[/COLOR]

Уважаемый(ая) [B]Mitama0[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O22 - Task: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Task: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)
O22 - Task: {E6E98738-5A91-5680-BD8C-BBB2477CAEB0} - C:\Users\Evgenii\AppData\Roaming\vTzQTEpy.exe /q /i http://freshrefreshnerer24rb.info/65O07KjJaGL.RNb
O22 - Task: {EAD31ECB-9D8C-91DD-5692-3C185FBAA199} - C:\Windows\SysWOW64\XYYXLSZAeBy.exe /q /i http://freshrefreshnerer24.info/rH66fks60f3.W38
[/CODE]


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Evgenii\AppData\Roaming\vTzQTEpy.exe','');
QuarantineFile('C:\Windows\SysWOW64\XYYXLSZAeBy.exe','');
QuarantineFile('C:\Users\Evgenii\AppData\Local\Temp\2877587d.sys','');
QuarantineFile('C:\ProgramData\TaskbarWindows\enplus.exe','');
DeleteFile('C:\Windows\SysWOW64\XYYXLSZAeBy.exe','32');
DeleteFile('C:\Users\Evgenii\AppData\Roaming\vTzQTEpy.exe','32');
ExecuteFile('schtasks.exe', '/delete /TN "{E6E98738-5A91-5680-BD8C-BBB2477CAEB0}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{EAD31ECB-9D8C-91DD-5692-3C185FBAA199}" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

Файл карантина добавил, спасибо!

А дальше?

Выполнил еще раз аутологгер

Ну необходим лог AdwCleaner

Затупил, не дочитал на радостях.

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Прикрепил оба

Удалите IObit через установку программ в панели упраления.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: D:\Program Files (x86)\Nox\bin\nox_adb.exe
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
File: C:\ProgramData\TaskbarWindows\enplus.exe
File: C:\Windows\system32\TesSafe.sys
File: C:\Users\Evgenii\AppData\Local\Temp\2877587d.sys
File: C:\Windows\SysWOW64\Drivers\vdmzntiy.sys
2018-04-17 20:09 - 2018-04-17 20:09 - 000000000 ____D C:\Windows\IObit
2018-04-17 20:09 - 2018-04-17 20:09 - 000000000 ____D C:\Users\Все пользователи\IObit
2018-04-17 20:09 - 2018-04-17 20:09 - 000000000 ____D C:\Users\Evgenii\AppData\LocalLow\IObit
2018-04-17 20:09 - 2018-04-17 20:09 - 000000000 ____D C:\ProgramData\IObit
2018-04-17 20:08 - 2018-04-17 20:14 - 000000000 ____D C:\Users\Evgenii\AppData\Roaming\IObit
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]


[CODE]
CHR res: Infected resources.pak (Adware script). Reinstall Chrome. <==== ATTENTION
[/CODE]
Переустановить Chrome (с предварительным удалением и сохранением нужных вкладок или данных)

Хром удалил через панель управления, установил новый

Приложите новые логи FRST.

Уточните пожалуйста Tescent сами ранее ставили (замечены драйвер от Tescent в системе)?

Tescent - не припоминаю, пытался восполнить память гуглом не нашел информацию по нему. Скорее всего не устанавливал.Из последнего "ScpToolkit Settings Manager" - позволяет использовать джостик PS3 на ПК.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/"
S3 TesSafe; C:\Windows\system32\TesSafe.sys [1143400 2018-04-22] (TENCENT)
S3 46e089f2d9242fd9; \??\C:\Users\Evgenii\AppData\Local\Temp\2877587d.sys [X] <==== ATTENTION
Folder: C:\ProgramData\ProductData
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

выполнил

Сообщите, что с проблемой?

[QUOTE=SQ;1480846]Сообщите, что с проблемой?[/QUOTE]

Всё отлично, процессов загружающих процессор не наблюдаю

В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]