Вирус самостоятельно установил браузер Амиго, не удается переустановить Malwarebytes

[Gelok]

Здравствуйте! Пойманный сегодня вирус самостоятельно установил браузер Амиго, в браузере который был по умолчанию - FireFox сбиты настройки, на рабочем столе появились иконки "Войти в интернет", "Амиго", "ВКонтакте", "Одноклассники". Не удается открыть Malwarebytes, - при попытке переустановить её, сообщение на испанском, что можно удалить программу только в 64-х битном Windows. Просканировал с помощью Dr. Web CureIt: обнаружил 8 угроз (почти все - Trojan LoadMoney), устранил только 7. Прошу помочь.

[Info_bot]

Уважаемый(ая) Gelok, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lex0819]

Здравствуйте!

У вас старая система x32 Windows XP, она не обновляется должным образом по безопасности, вирусы продолжат появляться к сожалению. Желательно перейти хотя бы на Win7.

1. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

2. Вы сами устанавливали эту программу?

Код:

c:\program files\superantispyware\sascore.exe

Удалите.

3. У вас установлено множество Антивирусов

DrWEB
Malwarebytes
Avast

Остановитесь на одном, например на DrWEB, остальные удалите.

4. Удалите штатными средствами Windows ненужные программы от компании Mail.RU, в том числе Amigo.

5. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O4 - HKCU\..\Run: [MailRuUpdater] C:\Documents and Settings\OK\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe 
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe 
O4 - HKCU\..\Run: [amigo] C:\Documents and Settings\OK\Local Settings\Application Data\Amigo\Application\amigo.exe  --no-startup-window
O4 - HKCU\..\Run: [setupsk] C:\Documents and Settings\OK\Application Data\setupsk\python\pythonw.exe "C:\DOCUME~1\OK\APPLIC~1\setupsk\ml.py" --APPNAME="setupsk"
O4 - HKCU\..\Run: [setupsk_upd] C:\Documents and Settings\OK\Application Data\setupsk_upd\python\pythonw.exe "C:\DOCUME~1\OK\APPLIC~1\SETUPS~1\ml.py" --APPNAME="setupsk_upd"
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe  /SYNC

6. Ecли вы не переводите с иероглифов, то пофиксите в HiJackThis

Код:

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE  /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE  /IMEName

7.Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 TerminateProcessByName('C:\Documents and Settings\OK\Local Settings\Application Data\Amigo\Application\47.5.2526.173\amigo_cr.exe');
 QuarantineFile('C:\Documents and Settings\OK\Application Data\Microsoft\msi.exe','');
 QuarantineFile('C:\DOCUME~1\OK\APPLIC~1\SETUPS~1\ml.py','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 DeleteFile('C:\DOCUME~1\OK\APPLIC~1\SETUPSK\ml.py','32');
 DeleteFileMask('C:\DOCUME~1\OK\APPLIC~1\SETUPSK','*',true);
 DeleteDirectory('C:\DOCUME~1\OK\APPLIC~1\SETUPSK');

 DeleteFile('C:\Documents and Settings\OK\Local Settings\Application Data\Amigo\Application\amigo.exe','32');
 DeleteFileMask('C:\Documents and Settings\OK\Local Settings\Application Data\Amigo','*',true);
 DeleteDirectory('C:\Documents and Settings\OK\Local Settings\Application Data\Amigo');
 DeleteFile('C:\WINDOWS\Tasks\MSI.job','32');
 DeleteFile('C:\Documents and Settings\OK\Application Data\Microsoft\msi.exe','32');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(21);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

8. Пришлите архив карантина из папки AVZ.

9. Сделайте новые логи программой Autologger и пришлите их.

10. Сделайте лог утилитой AdwCleaner и пришлите его.

11. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[lex0819]

Инструкция по удалению вложений Как удалить вложения?

[lex0819]

1. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

2.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  HKU\S-1-5-21-1978620219-991133833-649305476-1006\...\Run: [AdobeBridge] => [X]
  GroupPolicyScripts: Restriction <======= ATTENTION
  URLSearchHook: [S-1-5-21-1978620219-991133833-649305476-1006] ATTENTION => Default URLSearchHook is missing
  FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect32.dll [No File]
  OPR Extension: (No Name) - C:\Documents and Settings\OK\Application Data\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-06-20]
  U3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
  S3 4F9504038E556F38; \??\C:\WINDOWS\TEMP\123B9495.sys [X]
  S3 4F95CCCB9D2CEB38; \??\C:\WINDOWS\TEMP\137F788C.sys [X]
  S3 4F95D3468C7CCE38; \??\C:\WINDOWS\TEMP\9B0D997C.sys [X]
  S3 4F95DAE246A4FFB8; \??\C:\WINDOWS\TEMP\129D74BA.sys [X]
  S3 motmodem; system32\DRIVERS\motmodem.sys [X]
  UmmyVideoDownloader (HKLM\...\{E028DBDA-EEE7-48A0-ADF7-D250589A02C5}_is1) (Version: 1.7.2.8 - ) <==== ATTENTION
  HKU\S-1-5-21-1978620219-991133833-649305476-1006_Classes\CLSID\{BDDB1235-A314-A455-7208-94FE1EFD53A7}\InprocServer32 -> no filepath
  ShortcutWithArgument: C:\Documents and Settings\All Users\Главное меню\Программы\Стандартные\Служебные\Назначенные задания.lnk -> C:\WINDOWS\explorer.exe (Корпорация Майкрософт) -> ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}\::{D6277990-4C6A-11CF-8D87-00AA0060F5BF} <===== Cyrillic
  ShortcutWithArgument: C:\Documents and Settings\All Users\Главное меню\Программы\Стандартные\Связь\Сетевые подключения.lnk -> C:\WINDOWS\explorer.exe (Корпорация Майкрософт) -> ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}\::{7007acc7-3202-11d1-aad2-00805fc1270e} <===== Cyrillic
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\68861327.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NanoServiceMain => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSUAService => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\68861327.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NanoServiceMain => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PSUAService => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Wdf01000.sys => ""="Driver"
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

3. Вы установили антивирус Panda Security, тогда удалите другие антивирусы, остатки зачистите CCleaner-ом.

[Gelok]

Здравствуйте! Большое спасибо за ваш ответ и пошаговую инструкцию! Подготовил логи, но при их отправки появилась следующая ошибка:
The following errors occurred:

CollectionLog-2017.06.22-13.07.zip: 48.3 Кб превысил(а) предел на форуме. <a href="misc.php?do=attachments" target="_blank">Нажмите здесь для просмотра ваших вложений</a>

Как удалить мои старые логи? Спасибо.

- - - - -Добавлено - - - - -

Добрый день! Проделал все шаги, прилагаю запрашиваемые логи (нашел способ удалить свои старые логи на вашем сервере). Часть угроз удалось устранить до получения вашего ответа. С уважением, Олег.

[Gelok]

Здравствуйте! Из замеченных аномальностей:

1.При безопасном извлечении устройства сообщений о том, что устройство можно (или нельзя) извлечь, не появляется.
2. Пару-тройку раз выскочил Мастер установки нового оборудования, собираясь установить неизвестное оборудование (желтый вопросительный знак), никакого нового оборудования подсоединено не было.
3. В браузере Firefox - появился звук при получении нового сообщения. Некоторые страницы не открываются, например: https://download.esetnod32.ru/home/t..._trial_rus.exe - ошибка: 400 Bad Request, Request Header Or Cookie Too Large (хотя эту страницу можно открыть, например, в Opera). Исчез плагин расшифровки контента Primetime, предоставленный Adobe Systems, Incorporated, - есть сообщение, что он "скоро будет установлен", но вот уже четвёртый день в напрасном ожидании. Прошу помочь.
P.S. Насколько безопасно в настоящий момент войти в Сбербанк-онлайн, чтобы оплатить коммуналку?
P.P.S. Уточнение, Мастер установки нового оборудования появляется при включении компьютера (никакое новое оборудование к нему не подключено).