Подозрение на троян

Здравствуйте! У меня такая проблема: недавно по невнимательности вместо Adobe Flash Player-a скачал файл-установщик, который установил на компьютер кучу нежелательного ПО и изменил стартовые страницы в браузерах. Вроде бы всё почистил и восстановил работу браузеров, но теперь система грузится намного сильнее, виснет, а интернет стал работать медленнее, страницы еле загружаются. Помогите вылечить систему.

Уважаемый(ая) [B]strishock[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
StopService('QMUdisk');
StopService('softaal');
StopService('tsnethlp');
StopService('TSSK');
DeleteService('QMUdisk');
DeleteService('softaal');
DeleteService('tsnethlp');
DeleteService('TSSK');
QuarantineFile('C:\Program Files\Intel\SUR\WILLAMETTE\ESRV\task.vbs','');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\softaal.sys','');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QMUdisk.sys','');
QuarantineFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TsNetHlp.sys','');
QuarantineFile('C:\Users\Ms Jane\AppData\Roaming\ACEStream\engine\ace_engine.exe','');
QuarantineFile('C:\Users\Ms Jane\AppData\Roaming\MyDesktop\linkme0223.exe','');
QuarantineFile('C:\Windows\GJFix\BB11130635','');
QuarantineFile('C:\Windows\ ExecuteRepair(14);','');
QuarantineFile('C:\Windows\system32\Gfxresj.dll','');
QuarantineFile('C:\Windows\system32\tssk.sys','');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.1.16923.222\softaal.sys','32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\QMUdisk.sys','32');
DeleteFile('C:\Program Files\Tencent\QQPCMgr\11.4.17339.217\TsNetHlp.sys','32');
DeleteFile('C:\Users\Ms Jane\AppData\Roaming\MyDesktop\linkme0223.exe','32');
DeleteFile('C:\Windows\system32\tssk.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop','command');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(14);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.


- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.

Карантин залил. Логи:

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Пожалуйста.

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Есть.

Знакома ли Вам следующая задача в планировщике задач?
[CODE]
Task: {ABB6203A-BDE0-42E5-93D0-3D9AC771C571} - System32\Tasks\Uapqpvyk => Rundll32.exe "C:\Windows\system32\Gfxresj.dll",PHUSG
Task: C:\Windows\Tasks\Uapqpvyk.job => C:\Windows\system32\rundll32.exe C:\Windows\system32\Gfxresj.dll
[/CODE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin HKU\S-1-5-21-3673734432-1657388032-2857602744-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Ms Jane\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3673734432-1657388032-2857602744-1000: @tools.google.com/Google Update;version=9 -> C:\Users\Ms Jane\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [No File]
CHR HomePage: Profile 3 -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B220d2-X1GHc82ATCV2UUhemJpFUTvCoQ_wWGQkT4NQmK0YWKYmp5-7-pvSpwNnsnXhU50RCqMcfbqOG0Az7MpK7c-6h6ranhZeHKTyWWhkmcx1Yxlc0e24HNYijuxUmOeQdFB4lZsHJBp6tQngQ-Uu_nj5NuUdGJGUPowLCCDFI,
CHR StartupUrls: Profile 3 -> "hxxp://www.mysites123.com/?type=hp&ts=1457451604&z=8a441f860b1fee4a00d3dbbgfz6w8mdz2w5g9q8e4z&from=amt&uid=toshibaxmq01abd032_52hkf7uisxx52hkf7uis"
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
2016-03-09 14:23 - 2014-04-06 20:21 - 00000000 ____D C:\Users\Все пользователи\188F1432-103A-4ffb-80F1-36B633C5C9E1
2016-03-09 14:23 - 2014-04-06 20:21 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2016-03-08 17:44 - 2016-03-08 17:44 - 0041472 _____ () C:\Users\Ms Jane\AppData\Local\Vaiahigh.dat
2016-03-08 17:44 - 2016-03-08 17:44 - 0000187 _____ () C:\Users\Ms Jane\AppData\Local\Vaiahigh.exe.config
C:\Users\Ms Jane\AppData\Local\Temp\ABEE.tmp.exe
C:\Users\Ms Jane\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Ms Jane\AppData\Local\Temp\amigo_setup.exe
C:\Users\Ms Jane\AppData\Local\Temp\FreeVPNSetup.exe
C:\Users\Ms Jane\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\Ms Jane\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\Ms Jane\AppData\Local\Temp\mailruhomesearch.exe
C:\Users\Ms Jane\AppData\Local\Temp\mdu_7z3CG.exe
C:\Users\Ms Jane\AppData\Local\Temp\qqpcmgr_v11.1.16923.222_45101_Silence.exe
C:\Users\Ms Jane\AppData\Local\Temp\Uninstall.exe
File: C:\Windows\system32\Gfxresj.dll
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyDesktop]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

[QUOTE]Знакома ли Вам следующая задача в планировщике задач?[/QUOTE]

Задача крайне подозрительная. Как можно её убрать? Просто нажать удалить?

[QUOTE=strishock;1365961]Задача крайне подозрительная. Как можно её убрать? Просто нажать удалить?[/QUOTE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Task: {ABB6203A-BDE0-42E5-93D0-3D9AC771C571} - System32\Tasks\Uapqpvyk => Rundll32.exe "C:\Windows\system32\Gfxresj.dll",PHUSG
Task: C:\Windows\Tasks\Uapqpvyk.job => C:\Windows\system32\rundll32.exe C:\Windows\system32\Gfxresj.dll
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Сделал.

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\Gfxresj.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

Что с проблемой?

Карантин залил.

[QUOTE]Что с проблемой?[/QUOTE]
Стало намного лучше, система теперь не так грузится, но страницы в браузере всё равно как-то с трудом открываются, хотя может это из-за нового антивируса, иногда выскакивает Err connection timed out. Можно ли что-то ещё сделать? Если на этом всё, то приношу огромную благодарность за проделанную работу.

Во всех браузерах воспроизводится проблема?

Нет, только в хроме. Он же и грузит больше всего систему.
Также при запуске страницы в хроме в адресе выскакивает about:blank, а затем уже грузится нужный адрес, хотя может так и должно быть, но раньше такого не замечал.

предоставьте новый лог FRST (только FRST.txt)

Пожалуйста.

Какие из следующих расширений Вам известны и Вы используете?
[CODE]CHR Extension: (Ace Stream Web Extension) - C:\Users\Ms Jane\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2015-12-21]
CHR HKU\S-1-5-21-3673734432-1657388032-2857602744-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR Extension: (VK scrobbler) - C:\Users\Ms Jane\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fddcgfefplodcggebdfbddbmfgmaeeeo [2016-02-15]
CHR Extension: (Cryptocat) - C:\Users\Ms Jane\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\gonbigodpnfghidmnphnadhepmbabhij [2016-02-15] [/CODE]

Я пользуюсь VK scrobbler и Cryptocat. Остальным не пользуюсь.

[QUOTE]CHR Extension: (Ace Stream Web Extension) - C:\Users\Ms Jane\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2015-12-21]
CHR HKU\S-1-5-21-3673734432-1657388032-2857602744-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx[/QUOTE]
Как можно удалить это?

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Ace Stream Web Extension) - C:\Users\Ms Jane\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchg fiaofo [2015-12-21]
CHR HKU\S-1-5-21-3673734432-1657388032-2857602744-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\ Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Сделал, но всё равно примерно так же страницы долго грузятся, зато теперь хром абсолютно не грузит ЦП, судя по загрузке в диспетчере задач. Тоже неплохо.

Очистите куки, кэш браузеров и кэш DNS ([URL="http://virusinfo.info/showthread.php?t=128635"]http://virusinfo.info/showthread.php?t=128635[/URL])

Большое спасибо! Всё теперь нормально работает!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]25[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]