Касперский периодически ругается на какие-то файлы.

[МудрилаСтрашный]

Касперский периодически ругается на какие-то файлы. В браузере исчез русский язык и открывается какой-то левый поиск на домашней странице. Перестали запускаться некоторые ярлыки из панели быстрого доступа.
Прогонял систему касперским и CureIt. Но не все вылечилось.

[Info_bot]

Уважаемый(ая) МудрилаСтрашный, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 StopService('ed2kidle');
 StopService('iThemes5');
 QuarantineFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe', '');
 QuarantineFile('C:\Users\eugene.eugene1\Desktop\rp14q4.UPD', '');
 QuarantineFile('C:\Users\eugene.eugene1\Desktop\rp14q4.UPD\AKCIZ.EXE', '');
 QuarantineFile('C:\Program Files (x86)\Clerjck\phadoy.exe', '');
 QuarantineFile('C:\Program Files (x86)\Clerfghtsterfiry Monitor\local64spl.dll', '');
 QuarantineFile('c:\users\администратор\appdata\local\temp\613B135-6FC13E9-2F0E9BF3-47924F70\jxORrcbGnx.exe', '');
 QuarantineFile('C:\Users\eugene.eugene1\AppData\Roaming\WinSnare\WinSnare.dll', '');
 QuarantineFile('C:\Program Files (x86)\amuleCe\ed2k.exe', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', '');
 DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', '32');
 DeleteFile('C:\Program Files (x86)\amuleCe\ed2k.exe', '32');
 DeleteFile('C:\Users\eugene.eugene1\AppData\Roaming\WinSnare\WinSnare.dll', '32');
 DeleteFile('c:\users\администратор\appdata\local\temp\613B135-6FC13E9-2F0E9BF3-47924F70\jxORrcbGnx.exe', '32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\firefox.bat', '32');
 DeleteFile('C:\Program Files (x86)\Clerfghtsterfiry Monitor\local64spl.dll', '32');
 DeleteFile('C:\Program Files (x86)\Clerjck\phadoy.exe', '32');
 DeleteFile('C:\Users\eugene.eugene1\Desktop\rp14q4.UPD\AKCIZ.EXE', '32');
 DeleteFile('C:\Users\eugene.eugene1\Desktop\rp14q4.UPD', '32');
 DeleteFile('C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\amuleCe', '*', true);
 DeleteDirectory('C:\Program Files (x86)\amuleCe');
 DeleteFileMask('C:\Program Files (x86)\Clerfghtsterfiry Monitor', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Clerfghtsterfiry Monitor');
 DeleteFileMask('C:\Program Files (x86)\Clerjck', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Clerjck');
 DeleteService('ed2kidle');
 DeleteService('iThemes5');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'hfphenitad');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSnare\Parameters', 'ServiceDll');
 ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Сделайте и пришлите в ответном сообщении лог AdwCleaner и новый лог AutoLogger'a.

[МудрилаСтрашный]

Разве во вложении никакой информации?
Система чистая, вирусов нет?

[thyrex]

Ответ дан в сообщении над Вашим. Нужно всего лишь набраться терпения.

[МудрилаСтрашный]

Пардон. Про разницу во времени я не подумал.

[Сомнение]

1. Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

2. Выполнить следующий скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Program Files (x86)\Clerjck\phadoy.exe','32');
 DeleteFileMask('C:\Program Files (x86)\Clerjck', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Clerjck');
 ExecuteFile('schtasks.exe', '/delete /TN "Clerfghtsterfiry Monitor" /F', 0, 15000, true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

[МудрилаСтрашный]

Логи ADWCleaner

[Сомнение]

Что с проблемой сейчас ?

[МудрилаСтрашный]

Пока все работает стабильно. Касперский не ругается, браузер переустановил.
Если будут рецидивы, напишу в эту же ветку.
Спасибо

[МудрилаСтрашный]

Опять ругается. Видимо что-то я недолечил

[Сомнение]

Предоставьте новые логи по правилам.

[МудрилаСтрашный]

Вот

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Clerfghtsterfiry Monitor\local64spl.dll', '');
 DeleteFile('C:\Program Files (x86)\Clerfghtsterfiry Monitor\local64spl.dll', '32');
 DeleteFileMask('C:\Program Files (x86)\Clerfghtsterfiry Monitor', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Clerfghtsterfiry Monitor');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.



Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[МудрилаСтрашный]

Здравствуйте!
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

Пишет "Ошибка загрузки. Данный файл уже был загружен". Ну и архив там пустой

[Сомнение]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-805277824-4008482525-2036303077-1152\...\MountPoints2: {08a12935-fca4-11e6-82e6-bcee7b98c22a} - "H:\AutoRun.exe" 
  HKLM\...\Providers\mwyhtxtg: C:\Program Files (x86)\Clerfghtsterfiry Monitor\local64spl.dll
  GroupPolicy: Restriction - Chrome <======= ATTENTION
  GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  HKU\S-1-5-21-805277824-4008482525-2036303077-1152\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  URLSearchHook: [S-1-5-21-805277824-4008482525-2036303077-1152] ATTENTION => Default URLSearchHook is missing
  FF Homepage: Firefox\Firefox\Profiles\r4w5p9tc.default-1411960563892 -> hxxp://www.searchinme.com/?type=hp&ts=1486987480986&z=c1b745d89a87076b09da9c7g7z7b9q6tab2m3mdzcz&from=official&uid=SamsungXSSDX840XPROXSeries_S1ATNSAF146136T
  FF SearchPlugin: C:\Users\eugene.eugene1\AppData\Roaming\Firefox\Firefox\Profiles\r4w5p9tc.default-1411960563892\searchplugins\amisites.xml [2017-02-07]
  FF SearchPlugin: C:\Users\eugene.eugene1\AppData\Roaming\Firefox\Firefox\Profiles\r4w5p9tc.default-1411960563892\searchplugins\searchinme.xml [2017-02-13]
  S1 vdiymza2; C:\Windows\SysWOW64\Drivers\vdiymza2.sys [13312 2017-02-20] () [File not signed]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
  AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [230]
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
  AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [230]
  HKU\S-1-5-21-805277824-4008482525-2036303077-1152\Software\Classes\.scr: scrfile =>  <===== ATTENTION
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[МудрилаСтрашный]

Вот

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\firefox\bin\firefoxupdate.exe - not-a-virus:AdWare.Win32.ELEX.bcy