Помогите избавиться от вируса [Trojan-Downloader.Win32.Stantinko.bct]

**Александр92** · 14.04.2017, 23:12

Добрый день.

Месяц назад скачивал программу фотошоп.Видимо,была совсем левая ссылка и после этого во ВСЕХ браузерах с интервалом в 10 минут выходит вкладка с рекламой казино "вулкан",либо реклама о заработке и т.д. В гугл хроме на ютуб вместо первых роликов всплывает тизерная реклама.
Удалял папки с компа,которые нашел по дате загрузки.Но некоторые удалить не могу.Таких левых папок много.
Подскажите,как справиться?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.04.2017, 23:13

Уважаемый(ая) Александр92, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Александр92** · 16.04.2017, 11:28

Здравствуйте!

Рассматривается ли моя ранее поданная заявка?
в ней есть прикрепленный файл с анализом от autologger

**Vvvyg** · 17.04.2017, 00:36

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\Windows\System32\wsaudio.dll', '');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\Windows\System32\wsaudio.dll', '32');
 DeleteFile(' C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 ExecuteFile('schtasks.exe', '/delete /TN "pagesnewsorglions" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Download Master');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger.

**Александр92** · 17.04.2017, 10:41

Вадим,спасибо. загрузил карантин зип.
Что делать с новым логом версии Autologger?

**Vvvyg** · 17.04.2017, 12:23

Прикрепить к следующему сообщению, естественно.

**Александр92** · 17.04.2017, 16:25

новый анализ autologgerа в прикрепленном файле

**Vvvyg** · 17.04.2017, 18:20

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811040
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811041
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=811041
O2-32 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Александр\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - D:\саня\Download Master\dmieall.htm (file missing)
O8 - Extra context menu item: Закачать при помощи Download Master - D:\саня\Download Master\dmie.htm (file missing)
O8 - Extra context menu item: Передать на удаленную закачку DM - D:\саня\Download Master\remdown.htm (file missing)
O22 - Task (Ready): \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)

Сделайте лог Malwarebytes AdwCleaner.

**Александр92** · 17.04.2017, 23:44

Отчёт о работе ClearLNK. прикрепил

при запуске Malwarebytes AdwCleaner от имени администратора при начале сканирования выдает следующую ошибку :
*sqlite3.dll is corrupted or has been replaced

**Vvvyg** · 18.04.2017, 08:21

И с ClearLink что-то не то вышло.
Скопируйте текст ниже в окно утилиты ClearLink и нажмите "Лечить":

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Punto Switcher.lnk"           -> ["C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe"]
>>>  "C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk"     -> ["C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Настройка раскладок.lnk"      -> ["C:\Program Files (x86)\Yandex\Punto Switcher\layouts.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Дневник.lnk"        -> ["C:\Program Files (x86)\Yandex\Punto Switcher\diary.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Новые возможности.lnk"        -> ["C:\Program Files (x86)\Yandex\Punto Switcher\WelcomeToPunto.html"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Справка.lnk"        -> ["C:\Program Files (x86)\Yandex\Punto Switcher\ps.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CDBurnerXP.lnk"       -> ["C:\Program Files (x86)\CDBurnerXP\cdbxpp.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ВидеоМАСТЕР\ВидеоМАСТЕР.lnk"    -> ["C:\Program Files (x86)\ВидеоМАСТЕР\VideoMASTER.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ВидеоМАСТЕР\Справочная система.lnk"       -> ["C:\Program Files (x86)\ВидеоМАСТЕР\Help.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ВидеоМАСТЕР\Удалить программу.lnk"        -> ["C:\Program Files (x86)\ВидеоМАСТЕР\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ultimate-Discounter Browser.lnk"          -> ["C:\Program Files (x86)\Ultimate-Discounter Browser\browser.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Александр92** · 28.04.2017, 23:57

Отправляю все отчеты.прошу прощения за задержку.что дальше?

**Vvvyg** · 29.04.2017, 10:10

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\p9chlavl.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\p9chlavl.default -> Поиск@Mail.Ru
FF Keyword.URL: Mozilla\Firefox\Profiles\p9chlavl.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B961EAC51-838A-4BF1-ABDF-D91846E5E3BE%7D&gp=811037
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040"
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (SearchWay) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2017-03-10]
OPR Extension: (The Safe Surfing) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2017-03-30]
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Xpom
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\uCozMedia
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Torch
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\PlayFree Browser
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Orbitum
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Nichrome
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\MapleStudio
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Kometa
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Crossbrowse
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Comodo
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Chromium
2017-03-30 23:50 - 2017-03-30 23:50 - 00000000 ____D C:\Users\Александр\AppData\Local\Bromium
2017-03-10 14:31 - 2017-03-10 14:31 - 00000000 ____D C:\Users\Александр\AppData\Local\ZaxarGameBrowser
2017-03-10 14:27 - 2017-03-10 14:30 - 00000000 ____D C:\Users\Александр\AppData\Local\Amigo
2017-03-10 14:26 - 2017-03-10 14:30 - 00000000 ____D C:\Users\Александр\AppData\Local\Mail.Ru
2017-03-10 14:26 - 2017-03-10 14:26 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2017-02-26 21:21 - 2017-02-26 21:21 - 00000016 _____ C:\ProgramData\mntemp
2017-02-26 21:21 - 2017-02-26 21:21 - 0005054 _____ () C:\ProgramData\mudtcpaz.vzs
FirewallRules: [{F02015DD-99E4-4270-A4A2-DD9596E742C1}] => (Allow) C:\Users\Александр\AppData\Local\Amigo\Application\amigo.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**Александр92** · 29.04.2017, 13:57

лог-файл (Fixlog.txt) прикрепил к письму.очистил кэш и куки в браузерах

**Vvvyg** · 29.04.2017, 21:19

Что с проблемой?

**Александр92** · 29.04.2017, 21:32

В принципе?никаких прежних признаков нет,по крайней мере

**CyberHelper** · 29.04.2017, 21:42

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\ihctrl32.dll - Trojan-Downloader.Win32.Stantinko.bct

Помогите избавиться от вируса [Trojan-Downloader.Win32.Stantinko.bct] (заявка № 211191)

Опции темы