Заражение вирусом

**Zorik** · 21.08.2018, 03:02

Здравствуйте!
Прошу Вашей помощи. Компьютер нормально работает только в безопасном режиме, в нем и проверял.
В обычном режиме Windows грузится и виснет.

ОС: Windows 7

Архив проверки прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.08.2018, 03:03

Уважаемый(ая) Zorik, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 21.08.2018, 07:04

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Update.lnk"          -> ["C:\Program Files\Zaxar\ZaxarLoader.exe"]
>>>  "C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser\Zaxar Games Browser.lnk"   -> ["C:\Program Files\Zaxar\ZaxarGameBrowser.exe"]
>>>  "C:\Users\user\Desktop\VTS_01_1 - Ярлык.lnk"  -> ["C:\Новая папка\Migun\VIDEO_TS\VTS_01_1.VOB"]
>>>  "C:\Users\user\AppData\Local\Mobogenie\Version\OldVersion\Mobogenie\Mobogenie.url"  ->         hxxp://vvv.voga360.com

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O2 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKLM\..\Run: [mobilegeni daemon] = C:\Program Files\Mobogenie\DaemonProcess.exe (file missing)
O4 - MSConfig\startupreg: Adobe Reader Speed Launcher [command] = C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  (file missing) (HKLM) (2012/01/11)
O4 - MSConfig\startupreg: GameXN (news) [command] = C:\ProgramData\GameXN\GameXNGO.exe /n (file missing) (HKCU) (2012/02/05)
O4 - MSConfig\startupreg: GameXN (update) [command] = C:\ProgramData\GameXN\GameXNGO.exe /u (file missing) (HKCU) (2012/02/05)
O4 - MSConfig\startupreg: Guard.Mail.ru.gui [command] = C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe /gui (file missing) (HKLM) (2012/04/08)
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\windows\system32\vksaver.dll (file missing)

Сделайте лог Malwarebytes AdwCleaner.

**Zorik** · 21.08.2018, 15:43

Благодарю за советы.
Отчеты прилагаю.

**Vvvyg** · 21.08.2018, 20:22

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Zorik** · 22.08.2018, 02:04

Сделал. Высылаю отчеты в архиве.

**Vvvyg** · 22.08.2018, 07:01

Выделите и скопируйте в буфер обмена следующий код:

Код:

CreateRestorePoint:
BHO: No Name -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> No File
2014-08-21 16:19 - 2014-08-21 16:20 - 044732960 _____ (LLC Mail.Ru) C:\Users\user\AppData\Local\Temp\9E3.exe
2014-05-22 21:34 - 2014-05-22 21:34 - 045972000 _____ (LLC Mail.Ru) C:\Users\user\AppData\Local\Temp\A1DD.exe
2014-06-17 23:50 - 2014-06-17 23:50 - 021346528 _____ () C:\Users\user\AppData\Local\Temp\bgn.exe
2014-08-24 15:22 - 2014-08-24 15:22 - 002392096 _____ () C:\Users\user\AppData\Local\Temp\GuardMailRu.exe
2014-06-17 23:49 - 2014-06-17 23:49 - 000301600 _____ () C:\Users\user\AppData\Local\Temp\instl_tmp.exe
2014-06-17 23:49 - 2014-06-17 23:50 - 045670432 _____ (LLC Mail.Ru) C:\Users\user\AppData\Local\Temp\int_tmp_n.exe
2014-02-14 22:32 - 2014-07-29 18:57 - 006171168 ____N (Mail.Ru) C:\Users\user\AppData\Local\Temp\MailRuUpdater.exe
2014-06-17 23:53 - 2014-06-17 23:53 - 000396800 _____ () C:\Users\user\AppData\Local\Temp\nrn.exe
2014-06-17 23:49 - 2014-06-17 23:49 - 000476504 _____ () C:\Users\user\AppData\Local\Temp\office-2007-keygen.rar_.exe
2014-01-06 21:37 - 2018-04-28 22:37 - 058513864 _____ (Skype Technologies S.A.) C:\Users\user\AppData\Local\Temp\SkypeSetup.exe
2014-06-17 23:49 - 2014-06-17 23:49 - 002679328 _____ () C:\Users\user\AppData\Local\Temp\spt_tmp_n.exe
2012-11-02 13:08 - 2012-11-02 13:08 - 000118784 _____ () C:\Users\user\AppData\Local\Temp\xmlUpdater.exe
2014-06-17 23:52 - 2014-06-17 23:52 - 000407512 _____ () C:\Users\user\AppData\Local\Temp\ZaxarSetup.4.001.29.exe
2017-03-22 00:02 - 2017-03-22 00:06 - 014456872 _____ (Microsoft Corporation) C:\Users\Владыка\AppData\Local\Temp\vc_redist.x86.exe
Task: {067E2403-F0C6-4AC3-A9D3-5550B0C04431} - System32\Tasks\McQcTask => c:\PROGRA~1\mcafee\mqc\QcConsol.exe
Task: {F9967618-7984-4944-9D2E-34FF15E6A6FA} - System32\Tasks\McDefragTask => c:\PROGRA~1\mcafee\mqc\QcConsol.exe
Task: C:\windows\Tasks\McDefragTask.job => c:\PROGRA~1\mcafee\mqc\QcConsol.exe C:\windows\system32\defrag.exe
Task: C:\windows\Tasks\McQcTask.job => c:\PROGRA~1\mcafee\mqc\QcConsol.exe
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [129]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [286]
AlternateDataStreams: C:\ProgramData\Temp:BF14D50A [250]
FirewallRules: [{F198B93E-3C3B-4DC3-A3D3-D05CE1B9BA50}] => (Allow) C:\Program Files\Common Files\Mcafee\MNA\McNaSvc.exe
FirewallRules: [{BA8E4F32-D21F-460A-B24A-4304D71F8358}] => (Allow) svchost.exe
FirewallRules: [{7A97C6D8-FE46-4AAD-9B2E-D6F1F013CD6D}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{A9BA56E6-914D-4B12-81B4-AC6AF077E4EF}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{47911068-6563-4460-A8B8-F6B22736D1D7}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikHelper.exe
FirewallRules: [{7130ECEA-645A-4B3C-8AD7-42103A7C598A}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikHelper.exe
Reboot:

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Processor: Pentium(R) Dual-Core CPU T4400 @ 2.20GHz
Percentage of memory in use: 25%
Total physical RAM: 2008.61 MB
Available physical RAM: 1491.98 MB

Старый слабый по нынешним временам процессор, мало памяти. Kaspersky Internet Security для такой конфигурации явно ияжёлый антивирус. Удалите, может быть и проблема с обычным режимом решится. В любом случае вирусы тут точно не при чём.

**Zorik** · 22.08.2018, 15:32

Лог проверки приложил.
Посмотрите плиз.

- - - - -Добавлено - - - - -

В качестве Антивируса можно ли поставить программу FortiClient?

**Vvvyg** · 22.08.2018, 19:11

Проблема решена?
Про FortiClient никогда не слышал.

**Zorik** · 22.08.2018, 19:13

Да, сейчас компьютер нормально загружается в обычном режиме.
Я правильно понимаю, что изначально система все таки была заражена вирусами?

**Vvvyg** · 22.08.2018, 19:18

Думаю, что проблема была в антивирусе, кроме хвостов от adware в системе ничего не было.

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.