Вирус

**Petr Sidorov** · 28.01.2017, 18:20

Здравствуйте!
Подхватил вирус: меняет стартовую страницу в гугл хроме и эксплорере, и возникает и тут же пропадает черное окно(как командная строка), и сворачивает текущее окно. не знаю что оно конкретно делает(
лечил KVRT - нашел 24угрозы, обезвредил, но не помогло.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.01.2017, 18:21

Уважаемый(ая) Petr Sidorov, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 28.01.2017, 19:01

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\ProgramData\smp2.exe','');
 QuarantineFile('C:\WINDOWS\System32\AutoWorkplace.exe','');
 QuarantineFile('C:\Users\petr\AppData\Local\BrowserAir\48.0.0.0\updater.exe','');
 QuarantineFile('C:\ProgramData\Windows Update\svrupg.exe','');
 QuarantineFile('C:\Users\petr\AppData\Local\Temp\7217.tmp','');
 QuarantineFileF('C:\Users\petr\AppData\Local\BrowserAir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 DeleteFile('C:\Users\petr\AppData\Local\Temp\7217.tmp','32');
 DeleteFile('C:\ProgramData\Windows Update\svrupg.exe','32');
 DeleteFile('C:\Users\petr\AppData\Local\BrowserAir\48.0.0.0\updater.exe','32');
 DeleteFile('C:\ProgramData\smp2.exe','32');
 DeleteFileMask('C:\Users\petr\AppData\Local\BrowserAir', '*', true);
 DeleteDirectory('C:\Users\petr\AppData\Local\BrowserAir');
 ExecuteFile('schtasks.exe', '/delete /TN "SMW_P" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IBUpd2" /F', 0, 15000, true);
 ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Перетащите лог Check_Browsers_LNK.log из папки с AutoLogger'ом на утилиту ClearLNK, как показано на картинке.
Лог результата работы программы прикрепите в ответном письме.

3. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Petr Sidorov** · 29.01.2017, 20:00

вот.

**Сомнение** · 03.02.2017, 23:57

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
() C:\Users\petr\AppData\Roaming\nssm.exe
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\.DEFAULT -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-333236791-4142056088-2484636809-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-333236791-4142056088-2484636809-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-333236791-4142056088-2484636809-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-333236791-4142056088-2484636809-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
CHR Extension: (Browser Hunt) - C:\Users\petr\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdckocnfhibclnnkifmjbbogcfkbijki [2017-01-11]
CHR HKU\S-1-5-21-333236791-4142056088-2484636809-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx
U2 clr_optimization_v1.02; C:\Users\petr\AppData\Roaming\nssm.exe [294912 2014-08-31] () [File not signed]
2017-01-25 16:41 - 2016-12-21 10:08 - 00142848 _____ (Microsoft Corporation) C:\WINDOWS\system32\poqexec.exe
2017-01-25 16:41 - 2016-12-21 07:44 - 00120320 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\poqexec.exe
2017-01-11 11:45 - 2017-01-23 18:25 - 00000000 ____D C:\Program Files\Common Files\Noobzo
2017-01-11 11:45 - 2017-01-11 11:45 - 00000000 ____D C:\Users\Все пользователи\SearchModule
2017-01-11 11:45 - 2017-01-11 11:45 - 00000000 ____D C:\ProgramData\SearchModule
2017-01-10 21:13 - 2017-01-10 21:13 - 00000000 ____D C:\Users\Все пользователи\Hotfreshs
2017-01-10 21:13 - 2017-01-10 21:13 - 00000000 ____D C:\ProgramData\Hotfreshs
2017-01-10 21:12 - 2017-01-10 21:43 - 00000000 ____D C:\Users\Все пользователи\Logic Handler
2017-01-10 21:12 - 2017-01-10 21:43 - 00000000 ____D C:\ProgramData\Logic Handler
2017-01-10 21:12 - 2017-01-10 21:12 - 00000000 ____D C:\WINDOWS\Tasks\ImCleanDisabled
2017-01-10 21:12 - 2017-01-10 21:12 - 00000000 ____D C:\Users\petr\AppData\Roaming\Softlink
2017-01-10 21:12 - 2017-01-10 21:12 - 00000000 ____D C:\Users\petr\AppData\Roaming\KuaiZip
2017-01-10 21:11 - 2017-01-27 17:08 - 00000000 ____D C:\ProgramData\Hotfresh
2017-01-10 21:11 - 2017-01-27 17:08 - 00000000 ____D C:\Users\Все пользователи\Hotfresh
2017-01-10 21:11 - 2017-01-10 21:45 - 00000000 ____D C:\Program Files\SaFiPlayer
2017-01-10 21:11 - 2017-01-10 21:43 - 00000000 ____D C:\Program Files\їмС№
2017-01-10 21:11 - 2017-01-10 21:45 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-01-10 21:12 - 2017-01-10 21:12 - 00000000 ____D C:\Users\petr\AppData\Local\UCBrowser
2017-01-10 21:11 - 2017-01-10 21:11 - 07316480 _____ C:\Users\petr\AppData\Roaming\agent.dat
2017-01-10 21:11 - 2017-01-10 21:11 - 01907472 _____ C:\Users\petr\AppData\Roaming\OzerHatex.tst
2017-01-10 21:11 - 2017-01-10 21:11 - 00126464 _____ C:\Users\petr\AppData\Roaming\noah.dat
2017-01-10 21:11 - 2017-01-10 21:11 - 00070704 _____ C:\Users\petr\AppData\Roaming\Config.xml
2017-01-10 21:11 - 2017-01-10 21:11 - 00005568 _____ C:\Users\petr\AppData\Roaming\md.xml
2017-01-10 21:10 - 2017-01-10 21:45 - 00000000 ____D C:\Users\Все пользователи\NetworkPacketManitor
2017-01-10 21:10 - 2017-01-10 21:45 - 00000000 ____D C:\ProgramData\NetworkPacketManitor
2017-01-10 21:09 - 2017-01-13 01:22 - 00000000 ____D C:\Users\petr\AppData\Local\819C575B-1484082540-A945-9FAA-AC9E17992767
2017-01-10 21:09 - 2017-01-10 21:45 - 00000000 ____D C:\Program Files (x86)\Phapergeatjaied
2017-01-10 21:09 - 2017-01-10 21:44 - 00000000 ____D C:\Program Files (x86)\baidu
2017-01-10 21:09 - 2017-01-10 21:43 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-01-10 21:09 - 2017-01-10 21:43 - 00000000 ____D C:\Program Files (x86)\CleanBrowser
2017-01-10 21:09 - 2017-01-10 21:10 - 00000000 ____D C:\Users\petr\AppData\Local\Wsotainvuzele
2017-01-10 21:09 - 2017-01-10 21:09 - 00000000 ____D C:\WINDOWS\IObit
2017-01-10 21:09 - 2017-01-10 21:43 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-01-10 21:09 - 2017-01-10 21:43 - 00000000 ____D C:\Users\petr\AppData\LocalLow\IObit
2017-01-10 21:09 - 2017-01-10 21:09 - 00000000 ____D C:\Users\petr\AppData\Roaming\Uniblue
2017-01-10 21:09 - 2017-01-10 21:09 - 00000000 ____D C:\Program Files (x86)\Uniblue
2017-01-10 21:08 - 2017-01-11 19:53 - 00000000 ____D C:\Program Files (x86)\e3b33007-19fb-4793-b8da-627347dff5021484071703
2017-01-10 21:08 - 2017-01-10 21:43 - 00000000 ____D C:\Program Files (x86)\mpck
2017-01-10 21:08 - 2017-01-10 21:09 - 00016224 _____ C:\Users\petr\AppData\Roaming\InstallationConfiguration.xml
2017-01-10 21:08 - 2017-01-10 21:08 - 00140288 _____ C:\Users\petr\AppData\Roaming\Installer.dat
2017-01-10 21:08 - 2017-01-10 21:08 - 00000000 ____D C:\Users\petr\AppData\LocalLow\Unity
2017-01-10 21:08 - 2017-01-10 21:08 - 00000000 _____ C:\TOSTACK
2017-01-10 21:07 - 2017-01-10 21:45 - 00000000 ____D C:\Program Files\UBar
2017-01-10 21:07 - 2017-01-10 21:44 - 00000000 ____D C:\Program Files (x86)\BestCleaner
2017-01-10 21:07 - 2017-01-10 21:43 - 00000000 ____D C:\Users\petr\AppData\Roaming\QIPApp
2017-01-10 21:07 - 2017-01-10 21:43 - 00000000 ____D C:\Users\petr\AppData\Roaming\IObit
2017-01-10 21:07 - 2017-01-10 21:43 - 00000000 ____D C:\Users\petr\AppData\Roaming\DIFX
2017-01-10 21:07 - 2017-01-10 21:12 - 00000000 ____D C:\Program Files (x86)\IObit
2017-01-10 21:07 - 2017-01-10 21:08 - 00000000 ____D C:\Users\Все пользователи\UBar
2017-01-10 21:07 - 2017-01-10 21:08 - 00000000 ____D C:\ProgramData\UBar
2017-01-10 21:07 - 2017-01-10 21:07 - 00000000 ____D C:\Users\petr\AppData\Roaming\Note-UP
2016-12-30 13:49 - 2016-12-30 13:49 - 00001700 _____ C:\Users\petr\Desktop\Movavi Video Suite.exe — ярлык.lnk
2016-12-30 13:46 - 2016-12-30 13:46 - 00000016 _____ C:\Users\Все пользователи\mntemp
2016-12-30 13:46 - 2016-12-30 13:46 - 00000016 _____ C:\ProgramData\mntemp
2016-10-31 14:45 - 2014-08-31 16:34 - 00294912 _____ C:\Users\petr\AppData\Roaming\nssm.exe
2017-01-29 19:44 - 2016-09-14 13:58 - 00000180 _____ C:\WINDOWS\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2017-01-10 21:11 - 2017-01-10 21:11 - 7316480 _____ () C:\Users\petr\AppData\Roaming\agent.dat
2016-08-01 21:51 - 2016-11-13 22:37 - 0000366 _____ () C:\Users\petr\AppData\Roaming\burnaware.ini
2017-01-10 21:08 - 2017-01-10 21:09 - 0016224 _____ () C:\Users\petr\AppData\Roaming\InstallationConfiguration.xml
2017-01-10 21:08 - 2017-01-10 21:08 - 0140288 _____ () C:\Users\petr\AppData\Roaming\Installer.dat
2017-01-10 21:11 - 2017-01-10 21:11 - 0005568 _____ () C:\Users\petr\AppData\Roaming\md.xml
2017-01-10 21:11 - 2017-01-10 21:11 - 0126464 _____ () C:\Users\petr\AppData\Roaming\noah.dat
2016-10-31 14:45 - 2014-08-31 16:34 - 0294912 _____ () C:\Users\petr\AppData\Roaming\nssm.exe
2017-01-10 21:11 - 2017-01-10 21:11 - 1907472 _____ () C:\Users\petr\AppData\Roaming\OzerHatex.tst
2016-01-01 18:28 - 2016-01-01 18:28 - 0000037 ___SH () C:\Users\petr\AppData\Local\70149b02515b3bb20dd492.47983420
2016-09-12 17:44 - 2016-09-12 17:44 - 0000000 _____ () C:\Users\petr\AppData\Local\{2EC4972A-6158-4A71-AF38-9CD1125199DE}
2016-09-14 13:58 - 2016-09-14 13:58 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2016-12-30 13:46 - 2016-12-30 13:46 - 0000016 _____ () C:\ProgramData\mntemp
2016-03-24 20:47 - 2016-03-24 20:47 - 0015482 _____ () C:\ProgramData\webad.xml
2016-03-22 23:45 - 2016-03-22 23:45 - 0000081 _____ () C:\ProgramData\xcgui_debug.txt
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1205026]
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
HKLM\...\StartupApproved\Run32: => "LightGate"
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.