Вирус поменял шрифты на рабочем столе и китайская программа

[bluntschi]

здравствуйте, родственники пытались установить плеер и поставили что-то не то, теперь на компьютере неудаляемая китайская программа которая требует при удалении ввода кода на китайских иероглифах, постоянно пытается в интернет открыть страницу
как быть? и в автозагрузке еще wwbizsrv

лог автологгера во вложении

Снимок экрана 2017-06-12 в 17.14.11.png


8e433b2949dd.png

[Info_bot]

Уважаемый(ая) bluntschi, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\alibaba\wwbizsrv\wwbizsrv.exe');
 QuarantineFile('c:\program files (x86)\alibaba\wwbizsrv\wwbizsrv.exe', '');
 DeleteFile('c:\program files (x86)\alibaba\wwbizsrv\wwbizsrv.exe', '32');
 DeleteFile('C:\Users\N.Astapova\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.ln');
 DeleteFileMask('c:\program files (x86)\alibaba', '*', true);
 DeleteDirectory('c:\program files (x86)\alibaba');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[bluntschi]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\alibaba\wwbizsrv\wwbizsrv.exe');
 QuarantineFile('c:\program files (x86)\alibaba\wwbizsrv\wwbizsrv.exe', '');
 DeleteFile('c:\program files (x86)\alibaba\wwbizsrv\wwbizsrv.exe', '32');
 DeleteFile('C:\Users\N.Astapova\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.ln');
 DeleteFileMask('c:\program files (x86)\alibaba', '*', true);
 DeleteDirectory('c:\program files (x86)\alibaba');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

добрый день, файл в карантин я прикрепила.

скрипт выполнила, перезагрузилась, вот логи из программы

[Vvvyg]

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-340930470-4042913182-3077611243-1155\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nqx9c81b.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nqx9c81b.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nqx9c81b.default -> hxxp://mail.ru/cnt/10445?gp=811009
FF Keyword.URL: Mozilla\Firefox\Profiles\nqx9c81b.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BDAF2F225-8D8F-4339-BA3F-318DFDF83B03%7D&gp=811010
FF SearchPlugin: C:\Users\N.Astapova\AppData\Roaming\Mozilla\Firefox\Profiles\nqx9c81b.default\searchplugins\mailru.xml [2017-06-09]
FF Plugin HKU\S-1-5-21-340930470-4042913182-3077611243-1155: @alibaba.com/npAliSSOLogin;version=1.0 -> C:\Program Files (x86)\AliWangWang\9.07.02C\npAliSSOLogin.dll [No File]
FF Plugin HKU\S-1-5-21-340930470-4042913182-3077611243-1155: @alibaba.com/npwangwang;version=1.0 -> C:\Program Files (x86)\AliWangWang\9.07.02C\npwangwang.dll [No File]
2017-06-09 08:30 - 2017-06-10 01:44 - 00000000 ____D C:\Program Files (x86)\YeaDesktop
2017-06-09 08:30 - 2017-06-09 08:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop
2017-06-09 08:30 - 2017-06-09 08:31 - 00000000 ____D C:\Program Files (x86)\mgdisk
2017-06-09 08:30 - 2017-06-09 08:30 - 00000000 ____D C:\Users\N.Astapova\AppData\Local\Поиcк в Интeрнете
2017-06-09 08:30 - 2017-06-09 08:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk
2017-06-09 08:27 - 2017-06-09 08:27 - 00000000 ____D C:\Program Files\Common Files\AHVRT9YZ3QK
2017-06-09 08:27 - 2017-06-09 08:27 - 00000000 ____D C:\Program Files (x86)\pccleanplus
2017-06-09 08:25 - 2017-06-10 01:12 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2017-06-09 08:19 - 2017-06-09 08:27 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2017-06-09 08:19 - 2017-06-09 08:27 - 00000000 ____D C:\ProgramData\Mail.Ru
Task: {3A3414B1-FD3F-4A95-B0B5-BA9B8F9645D9} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}
Task: {AC0E8370-ED2D-41D7-B95B-8E98BC7337E6} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}
C:\Users\N.Astapova\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
MSCONFIG\Services: wwbizsrv => 2
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

[bluntschi]

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-340930470-4042913182-3077611243-1155\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nqx9c81b.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nqx9c81b.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nqx9c81b.default -> hxxp://mail.ru/cnt/10445?gp=811009
FF Keyword.URL: Mozilla\Firefox\Profiles\nqx9c81b.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BDAF2F225-8D8F-4339-BA3F-318DFDF83B03%7D&gp=811010
FF SearchPlugin: C:\Users\N.Astapova\AppData\Roaming\Mozilla\Firefox\Profiles\nqx9c81b.default\searchplugins\mailru.xml [2017-06-09]
FF Plugin HKU\S-1-5-21-340930470-4042913182-3077611243-1155: @alibaba.com/npAliSSOLogin;version=1.0 -> C:\Program Files (x86)\AliWangWang\9.07.02C\npAliSSOLogin.dll [No File]
FF Plugin HKU\S-1-5-21-340930470-4042913182-3077611243-1155: @alibaba.com/npwangwang;version=1.0 -> C:\Program Files (x86)\AliWangWang\9.07.02C\npwangwang.dll [No File]
2017-06-09 08:30 - 2017-06-10 01:44 - 00000000 ____D C:\Program Files (x86)\YeaDesktop
2017-06-09 08:30 - 2017-06-09 08:31 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YeaDesktop
2017-06-09 08:30 - 2017-06-09 08:31 - 00000000 ____D C:\Program Files (x86)\mgdisk
2017-06-09 08:30 - 2017-06-09 08:30 - 00000000 ____D C:\Users\N.Astapova\AppData\Local\Поиcк в Интeрнете
2017-06-09 08:30 - 2017-06-09 08:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mgdisk
2017-06-09 08:27 - 2017-06-09 08:27 - 00000000 ____D C:\Program Files\Common Files\AHVRT9YZ3QK
2017-06-09 08:27 - 2017-06-09 08:27 - 00000000 ____D C:\Program Files (x86)\pccleanplus
2017-06-09 08:25 - 2017-06-10 01:12 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2017-06-09 08:19 - 2017-06-09 08:27 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2017-06-09 08:19 - 2017-06-09 08:27 - 00000000 ____D C:\ProgramData\Mail.Ru
Task: {3A3414B1-FD3F-4A95-B0B5-BA9B8F9645D9} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}
Task: {AC0E8370-ED2D-41D7-B95B-8E98BC7337E6} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}
C:\Users\N.Astapova\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
MSCONFIG\Services: wwbizsrv => 2
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

спасибо вам огромное!! все решилось! программа тоже удалилась

лог во вложении

[Vvvyg]

На будущее: не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы и повышает вероятность того, что пост зависнет на премодерации, просто пишите в окне "Быстрый ответ".

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[bluntschi]

спасибо за помощь и рекомендации.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены