Открывает вкладки в браузере, мгновенно закрывает лечащие утилиты.

**Steelbeast** · 04.06.2018, 23:35

Поймал заразу, установила кучу расширений в хром и начала открывать вкладки (через рандомные промежутки времени).
Удалил расширения вручную и стал запускать Adwcleaner старой версии, он его закрывал, потом скачал Adwcleaner последней версии, его он не закрыл первый раз, adwcleaner нашёл и удалил около 11 файлов с PUP optional. После перезагрузки компа, adwcleaner новой версии перестал запускаться (запустил в безопасном режиме, но он ничего не нашёл). Dr. Web Cure it ничего не нашёл, после первого запуска и прохода, второй запуск эта зараза не дала сделать, его тоже стала закрывать.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.06.2018, 23:37

Уважаемый(ая) Steelbeast, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Steelbeast** · 04.06.2018, 23:43

Вот отчёты первый (до удаления найденных им файлов) и последний с adwcleanera

**Vvvyg** · 05.06.2018, 07:12

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('schtasks.exe', '/delete /TN "{3A8B0F11-905D-0177-7070-DCC4BB8C3B11}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{480E4963-662D-BCC5-2063-01A4515A96C9}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{4E4FBC15-9C2B-E81A-8747-C46E2555F777}" /F', 0, 15000, true);
 DeleteFile('C:\Users\Azerot\YlYxEooAh.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL');
 DeleteFile('C:\Users\Azerot\Favorites\OVGORSKIY.url');
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Steelbeast** · 05.06.2018, 12:32

Вот логи.
Кстати все действия провожу с безопасного режима без поддержки сетевых драйверов, по другому никак, эта зараза всё закрывает мгновенно, AVZ даже папку не даёт открыть, переименование не помогает

**Vvvyg** · 05.06.2018, 20:04

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CloseProcesses:
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
hxxp://guest.ovgorskiy.ru/index.php
hxxp://forum.ovgorskiy.ru/index.php
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
hxxp://guest.ovgorskiy.ru/index.php
hxxp://forum.ovgorskiy.ru/index.php
GroupPolicy: Restriction ? <==== ATTENTION
Virustotal: C:\Users\Azerot\AppData\Local\aoEMiSaYIoBih.exe
2016-07-16 14:43 - 2016-07-16 14:43 - 000058368 ____N (Microsoft Corporation) C:\Users\Azerot\YlYxEooAh.exe
2016-07-16 14:43 - 2016-07-16 14:43 - 000058368 ____N (Microsoft Corporation) C:\Program Files (x86)\LdChe.exe
2016-07-16 14:43 - 2016-07-16 14:43 - 000177152 ____N (Microsoft Corporation) C:\Users\Azerot\AppData\Local\aoEMiSaYIoBih.exe
2018-06-04 11:24 - 2018-06-04 11:24 - 000000002 _____ () C:\Users\Azerot\AppData\Local\WMI.ini
Task: {7778EEBE-C687-47D5-B3CE-046D72B58BCB} - System32\Tasks\{3A8B0F11-905D-0177-7070-DCC4BB8C3B11} => C:\Users\Azerot\YlYxEooAh.exe [2016-07-16] (Microsoft Corporation)
Task: {E910CAD3-DE82-4A5C-8CEA-A4DEB084E3ED} - System32\Tasks\{4E4FBC15-9C2B-E81A-8747-C46E2555F777} => C:\Program Files (x86)\LdChe.exe [2016-07-16] (Microsoft Corporation) <==== ATTENTION
Task: {FE24A86C-B3F4-4312-A90A-B5F07B45B81B} - System32\Tasks\{480E4963-662D-BCC5-2063-01A4515A96C9} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://net2018.net/cl/?guid=ffdfpp2e2by3ue2ac4js77bvthqix1o3&prid=1&pid=4_1025_0
FirewallRules: [{D110BC29-3F34-4B64-A05E-CD24AA5849A9}] => (Allow) C:\Users\Azerot\YlYxEooAh.exe
FirewallRules: [{FCEE5DEA-CE55-47F6-B493-8724A5E7399F}] => (Allow) C:\Program Files (x86)\LdChe.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

**Steelbeast** · 05.06.2018, 21:21

На данный момент проблема себя не проявляет, сайты не открываются, даёт запустить adwcleaner, autologer без проблем.
Логи прикрепил.

**Vvvyg** · 05.06.2018, 21:32

Приложите файл SecurityCheck.txt. к своему сообщению.

**Steelbeast** · 05.06.2018, 21:38

Вот вторые логи

**Vvvyg** · 05.06.2018, 21:57

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.181 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Выполните рекомендации - и всё на этом.

**Steelbeast** · 05.06.2018, 22:02

Спасибо огромное, за оперативность и качество работы!)

**Vvvyg** · 05.06.2018, 22:12

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Открывает вкладки в браузере, мгновенно закрывает лечащие утилиты. (заявка № 219188)

Опции темы