Ярлыки браузеров, место на диске

[ToNbI4]

В ярлыки браузеров вписывается сайт на автозагрузку. Антивирус Касперский удаляет эти ярлыки, но почему то сам вирус уничтожить не может.
Также катастрофически быстро заканчивается место на диске С. Раздел на 50 гб, кроме вин7 и пары необходимых программ больше ничего нет, а свободно 0 байт. Освобожу немного места - через полчаса опять то же самое

[Info_bot]

Уважаемый(ая) ToNbI4, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\gjwDPzOAMf\btoBBj0.bat','');
 QuarantineFile('C:\ProgramData\XBoeeDN\fJSchd5.bat','');
 DeleteFile('C:\ProgramData\XBoeeDN\fJSchd5.bat','32');
 DeleteFile('C:\ProgramData\gjwDPzOAMf\btoBBj0.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[ToNbI4]

готово. Вроде какие то проблемы с карантином

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[ToNbI4]

готово

[ToNbI4]

Что дальше?

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
2017-12-17 17:36 - 2017-12-17 17:36 - 000000000 ____D C:\Users\Все пользователи\sFrFlg
2017-12-17 17:36 - 2017-12-17 17:36 - 000000000 ____D C:\Users\Все пользователи\RsJGwt
2017-12-17 17:36 - 2017-12-17 17:36 - 000000000 ____D C:\Users\Все пользователи\QwfpwithsT
2017-12-17 17:36 - 2017-12-17 17:36 - 000000000 ____D C:\ProgramData\sFrFlg
2017-12-17 17:36 - 2017-12-17 17:36 - 000000000 ____D C:\ProgramData\RsJGwt
2017-12-17 17:36 - 2017-12-17 17:36 - 000000000 ____D C:\ProgramData\QwfpwithsT
2017-11-12 09:45 - 2017-11-12 09:47 - 000000000 ____D C:\Users\Все пользователи\PolQqbZ
2017-11-12 09:45 - 2017-11-12 09:47 - 000000000 ____D C:\ProgramData\PolQqbZ
C:\Users\Антон\Desktop\Opera - Ярлык.lnk
C:\Users\Антон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[ToNbI4]

готово

[thyrex]

Что с проблемой?

[ToNbI4]

Проблема осталась. После перезагрузки ярлыки оперы снова прописываются по адресу C:\ProgramData\QWUdKNa\PPuiay3.bat

С местом на диске разобрался, его занимает папка C\windows\installer. Похоже с вирусами она не связана

[thyrex]

Сделайте лог полного сканирования МВАМ

[ToNbI4]

готово

[thyrex]

Удалите в МВАМ все, кроме

Код:

Generic.Malware/Suspicious, F:\Антоха\Игры\ATHER\LIVE_BILLIARDS_15_RA\EGO.ZIP, Проигнорировано пользователем, [0], [392686],1.0.3635
Generic.Malware/Suspicious, F:\Антоха\Игры\HALF LIFE\HLKEYGEN.RAR, Проигнорировано пользователем, [0], [392686],1.0.3635
Generic.Malware/Suspicious, F:\Антоха\Игры\Денди & SEGA\денди\NESTEI.ZIP, Проигнорировано пользователем, [0], [392686],1.0.3635
Trojan.Agent, F:\Антоха\Приколы\FLASH\FLASH Приколы\доволен ли ты своей зарплатой.EXE, Проигнорировано пользователем, [18], [134918],1.0.3635
JokeTool.Buttons, F:\Антоха\Приколы\FLASH\FLASH Приколы\выключатель.EXE, Проигнорировано пользователем, [9425], [147235],1.0.3635
JokeTool.Winshoot, F:\Антоха\Приколы\FLASH\FLASH Приколы\разнеси рабочии стол.EXE, Проигнорировано пользователем, [9389], [145291],1.0.3635
Generic.Malware/Suspicious, F:\Антоха\Приколы\FLASH\FLASH Приколы\BRICK\BRICK.EXE, Проигнорировано пользователем, [0], [392686],1.0.3635
Generic.Malware/Suspicious, F:\Антоха\Приколы\FLASH\FLASH Приколы\ERASER.EXE, Проигнорировано пользователем, [0], [392686],1.0.3635
Generic.Malware/Suspicious, F:\Антоха\Приколы\FLASH\FLASH Приколы\чувок.EXE, Проигнорировано пользователем, [0], [392686],1.0.3635
RiskWare.Tool.CK, F:\Антоха\Телефон\Все для прошивки\Проги\RECOVERY_BIN_LITE.RAR, Проигнорировано пользователем, [234], [26575],1.0.3635
Generic.Malware/Suspicious, F:\Антоха\Телефон\Все для прошивки\Проги\SETOOL2_LITE_V1.11.7Z, Проигнорировано пользователем, [0], [392686],1.0.3635
HackTool.Patcher, F:\Антоха\Телефон\Все для прошивки\Проги\JDFLASHER_FULL.7Z, Проигнорировано пользователем, [1874], [369556],1.0.3635
MachineLearning/Anomalous.100%, D:\INST_XP\MEDIA PLAYER'S\POWERDVD 5\KEYGEN.EXE, Проигнорировано пользователем, [0], [392687],1.0.3635
MachineLearning/Anomalous.100%, D:\INST_XP\MEDIA PLAYER'S\POWERDVD 5\CRACK_POWERDVD_VERSION5\KEYGEN.EXE, Проигнорировано пользователем, [0], [392687],1.0.3635
RiskWare.Tool.CK, D:\INST_XP\MEDIA PLAYER'S\WINAMP MEDIA PLAYER\WINAMP V5531924 (RUS)\CRACK\KEYGEN.EXE, Проигнорировано пользователем, [234], [132466],1.0.3635
MachineLearning/Anomalous.100%, D:\INST_XP\MEDIA PLAYER'S\POWERDVD 5\CRACK_POWERDVD_VERSION5.ZIP, Проигнорировано пользователем, [0], [392687],1.0.3635
Generic.Malware/Suspicious, D:\INST_XP\MEDIA PLAYER'S\WINDVD\KEYGEN\KEYGEN.EXE, Проигнорировано пользователем, [0], [392686],1.0.3635
HackTool.Agent, D:\INST_XP\Интернет\INTERNET DOWNLOAD MANAGER 5.19 BUILD 4\ORIGINAL\CRACK\PATCH 5-6.XX.EXE, Проигнорировано пользователем, [419], [1570],1.0.3635
RiskWare.Tool.CK, D:\INST_XP\Новая папка\NEW\OO DEFRAG PROFESSIONAL EDITION V8.0\KEYGEN.EXE, Проигнорировано пользователем, [234], [54025],1.0.3635
MachineLearning/Anomalous.100%, D:\INST_XP\Архиваторы\WINRAR 3.30 RUS\CRACK.EXE, Проигнорировано пользователем, [0], [392687],1.0.3635
RiskWare.Tool.CK, D:\INST_XP\Работа с Видео\ALLOK VIDEO CONVERTER(TO 3GP)\KEYGEN.EXE, Проигнорировано пользователем, [234], [26575],1.0.3635
RiskWare.Tool.CK, D:\INST_XP\Работа с Файлами и Винтами\Менеджер реестра\REGCRAWLER.RAR, Проигнорировано пользователем, [234], [295722],1.0.3635
CrackTool.Agent.Keygen, D:\INST_XP\Работа со Звуком\SONY SOUND FORGE 7\DM_MP3P.ZIP, Проигнорировано пользователем, [311], [354692],1.0.3635
Generic.Malware/Suspicious, D:\INST_XP\Работа с Видео\PINNACLE STUDIO PLUS 9.3.28\KEY\PINNACLE STUDIO PLUS 9.3.2.48 TRIAL - PARISA\KEYMAKER.EXE, Проигнорировано пользователем, [0], [392686],1.0.3635
CrackTool.Agent.Keygen, D:\INST_XP\Работа со Звуком\SONY SOUND FORGE 7\DM_MP3P\DAMN_MP3PLUGIN_KG.EXE, Проигнорировано пользователем, [311], [354692],1.0.3635
Generic.Malware/Suspicious, D:\INST_XP\ТВИКЕРЫ\WINTUNING XP 3.3.2\WTXPSETUP.EXE, Проигнорировано пользователем, [0], [392686],1.0.3635
MachineLearning/Anomalous.100%, D:\INST_XP\Новая папка\NEW\RUNTIME GETDATABACK NTFS V2.31\KEYGEN.EXE, Проигнорировано пользователем, [0], [392687],1.0.3635
RiskWare.Tool.CK, D:\INST_XP\Новая папка\NEW\HDD REGENERATOR V1.41\BLZ-HR141-PATCH.EXE, Проигнорировано пользователем, [234], [295722],1.0.3635
Adware.WhenU, D:\INST_XP\Нарезка Дисков\DAEMONTOOLS\DAEMONTOOLS.RAR, Проигнорировано пользователем, [8517], [294434],1.0.3635
CrackTool.Agent.Keygen, D:\INST_XP\Работа со Звуком\SONY SOUND FORGE 7\KEYGEN.EXE, Проигнорировано пользователем, [311], [354412],1.0.3635
HackTool.Agent, D:\INST_XP\Работа со Звуком\TAG.AND.RENAME.V3.5.6\PATCH.EXE, Проигнорировано пользователем, [419], [1570],1.0.3635
RiskWare.Tool.CK, D:\INST_XP\Офисные Средства\MICROSOFT OFFICE 2007\CRACK\MSOE2007KG.EXE, Проигнорировано пользователем, [234], [133369],1.0.3635

[ToNbI4]

Надо еще понаблюдать, но похоже все получилось. Ярлык оперы после перезагрузки не поменял своего пути. Спасибо