Помощь с множественными вирусами с которыми не справляется Касперский. [not-a-virus:RiskTool.Win32.Agent.amup ]

[Ekaterina1992]

Здравствуйте, обращаюсь к Вам с такой проблемой:
1. В браузере Opera самопроизвольно открывается сайт akisho.ru
2. Всплывают банеры в правом нижнем углу китайского содержания на рабочем столе.
3. После установки Касперского было обнаружено множество вирусов, с которыми он не справился.

Логи прикрепляю ниже.
Жду от Вас помощи.
Спасибо.

[Info_bot]

Уважаемый(ая) Ekaterina1992, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Деинсталлируйте:

Rising Software Deployment System
Time tasks
TNod User & Password Finder
WebSecurity Extension version 16.40
Служба автоматического обновления программ

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\ValidateLife\regCheck.vbs','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\LastNews\regCheck.vbs','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\ImmediateHelp\regCheck.vbs','');
 QuarantineFile('C:\Users\Ekaterina\AppData\Local\TestMenu\regCheck.vbs','');
 DeleteService('BAPIDRV');
 StopService('RsMgrSvc');
 DeleteService('RsMgrSvc');
 TerminateProcessByName('c:\program files (x86)\rising\rsd\rsmgrsvc.exe');
 TerminateProcessByName('c:\program files (x86)\rising\rsd\popwndexe.exe');
 TerminateProcessByName('c:\program files (x86)\screenup\future_helper.exe');
 QuarantineFile('c:\program files (x86)\screenup\future_helper.exe','');
 DeleteFile('c:\program files (x86)\screenup\future_helper.exe','32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\BAPIDRV64.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RSDTRAY');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\TestMenu\regCheck.vbs','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\ImmediateHelp\regCheck.vbs','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\LastNews\regCheck.vbs','32');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\ValidateLife\regCheck.vbs','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 DeleteFile('C:\WINDOWS\system32\Tasks\Private Solution Mgr','64');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SystemScript','64');
 DeleteFile('C:\Users\Ekaterina\AppData\Local\Microsoft\Windows\toolbar.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (используйте HiJackThis из папки Автологгера).

Код:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\2D64C598D9333F7267436DD3B0923F15 - (no name) - (no URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{436D0B2C-53F3-4338-9ADA-BCD5E4083835} - > - http://rusearcher.com/search.php?us=searcher&pcid=FE7C9CA5-2036-4400-BF09-1767EC860D54&pid=502&query={searchTerms}&sc=ie
O1 - Hosts: 127.0.0.1 data.amigo.mail.ru
O1 - Hosts: 127.0.0.1 sba.yandex.net
O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Ekaterina\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O4 - HKCU\..\Policies\Explorer\Run: [LastNews] C:\Users\Ekaterina\AppData\Local\LastNews\regCheck.vbs www.snowyear.xyz/?rnd=141 0 2400000
O4 - HKCU\..\Policies\Explorer\Run: [ValidateLife] C:\Users\Ekaterina\AppData\Local\ValidateLife\regCheck.vbs www.hitopup.xyz/?rnd=141 0 4200000
O4 - HKCU\..\StartupApproved\Run: [MailRuUpdater]  (2015/01/28)C:\Users\Ekaterina\AppData\Local\Mail.Ru\MailRuUpdater.exe 
O4 - HKLM\..\Policies\Explorer\Run: [ImmediateHelp] C:\Users\Ekaterina\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz/?rnd=141 0 3600000
O4 - HKLM\..\Policies\Explorer\Run: [TestMenu] C:\Users\Ekaterina\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz/?rnd=141 0 1800000
O4-32 - HKLM\..\Policies\Explorer\Run: [ImmediateHelp] C:\Users\Ekaterina\AppData\Local\ImmediateHelp\regCheck.vbs www.2road.xyz/?rnd=141 0 3600000
O4-32 - HKLM\..\Policies\Explorer\Run: [TestMenu] C:\Users\Ekaterina\AppData\Local\TestMenu\regCheck.vbs www.testmenu.xyz/?rnd=141 0 1800000
O4-32 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe "
O22 - Task (Ready): PBot - C:\Users\Ekaterina\AppData\Roaming\PBot\python\pythonw.exe app.py

Сделайте повторные логи по правилам

[Ekaterina1992]

Всё сделала как Вы сказали.
Некоторых строк не было чтобы их пофиксить.
Файл карантина приложила.
Новый лог прикрепляю.

[mike 1]

1. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
2. Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
3. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
4. Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Ekaterina1992]

Отчет прикладываю.
Очистку не выполняла после сканирование, хотя найдено более 100 угроз.

[mike 1]

1. Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
2. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
3. Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

[Ekaterina1992]

Очистку выполнила.
Отчёт прикрепляю.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Ekaterina1992]

Всё сделала, как Вы сказали.
Прикрепляю отчёты.

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   ShellIconOverlayIdentifiers-x32: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} =>  -> No File
   GroupPolicy: Restriction - Chrome <======= ATTENTION
   GroupPolicy\User: Restriction - Chrome <======= ATTENTION
   CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
   CHR HKU\S-1-5-21-1875528103-1885484002-553295166-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
   Tcpip\..\Interfaces\{0CE17ACA-176E-4087-B4BF-C6FD27450082}: [DhcpNameServer] 127.0.0.1
   FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Ekaterina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-19]
   FF Extension: (Full Protected v14.12.3) - C:\Users\Ekaterina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2014-12-03] [not signed]
   FF Extension: (Поиск@Mail.Ru) - C:\Users\Ekaterina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-11-19]
   FF Extension: (Popup Currency Converter) - C:\Users\Ekaterina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{1FE48F08-A2AC-44AC-A21C-0556D91C50DA} [2014-12-03] [not signed]
   FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Ekaterina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-11-19]
   FF SearchPlugin: C:\Users\Ekaterina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-11-19]
   FF SearchPlugin: C:\Users\Ekaterina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\RuSearcher.xml [2015-10-31]
   OPR Extension: (Tampermonkey) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-24]
   OPR Extension: (lcoupon) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\elmbcmlmdjfemolgapoecfhcmcjgdmbh [2016-11-27]
   OPR Extension: (Download Music Vkontakte [.org]) - C:\Users\Ekaterina\AppData\Roaming\Opera Software\Opera Stable\Extensions\jjemmelkbnacaponpdabclcijeocgpbj [2016-12-27]
   2014-11-26 21:26 - 2014-11-26 21:26 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
   2013-05-02 02:45 - 2012-09-07 14:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
   2013-05-02 02:45 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
   2013-05-02 02:45 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
   2016-11-23 10:50 - 2016-11-23 10:50 - 0000000 __RSH () C:\Program Files\360
   2014-12-03 21:24 - 2014-12-03 21:24 - 0000001 _____ () C:\Users\Ekaterina\AppData\Roaming\smw_inst
   2014-11-21 08:18 - 2017-06-13 16:51 - 0000062 _____ () C:\Users\Ekaterina\AppData\Roaming\sp_data.sys
   Task: {4625535A-7017-4C4B-BB2E-048CC8B7EFE1} - \RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380} -> No File <==== ATTENTION
   Task: {71B2266E-BB6F-4881-8547-19A3A253EC90} - \Account System Mgr -> No File <==== ATTENTION
   Task: {88FB993E-9415-4F86-930B-AB4FF3F82CAF} - \Private Solution Mgr -> No File <==== ATTENTION
   Task: {B11CC017-C89A-4A4A-AA88-7EB91A805369} - \Standart Current Helper -> No File <==== ATTENTION
   EmptyTemp:

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[Ekaterina1992]

Прикладываю лог. На рабочем столе никаких файлов не было.

[mike 1]

Что с проблемой?

[Ekaterina1992]

Спасибо большое! Проблема решена!
Посоветуйте, пожалуйста, что нужно делать и какими программами пользоваться, чтобы в дальнейшем не было таких проблем.

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\screenup\future_helper.exe - not-a-virus:RiskTool.Win32.Agent.amup