Помощь в обнаружении вирусов [UDS:DangerousObject.Multi.Generic, Trojan.Win32.Reconyc.ihtb ]

[klinch]

Здравствуйте. Мне необходима помощь в чистке компьютера.
Подъедалась оперативная память. Очень серьезно. Удалил ненужное, расчистил, даже нашел "питона" и удалил самостоятельно (до этого дружил только с калькулятором).
Но все равно после чистки почему то не хотят обновляться некоторые приложения, виджеты, а при загрузке чего либо через браузер, начинает загружать непонятные архивы с непонятным содержанием (архив в архиве, архив в архиве, так пять раз и потом неизвестный .exe с подозрительным весом байт 500) вместо порядочных .exe-файлов или архивов.
Прошу помощи у знатоков и профессионалов.

[Info_bot]

Уважаемый(ая) klinch, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CSS\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{703D2697-2F55-4859-B66A-925322E02C8A}: NameServer = 82.202.226.203

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Мелкий\AppData\Local\DuckGo\duckgo.exe', '');
 QuarantineFile('C:\Users\Мелкий\appdata\local\yc\application\yc.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL');
 DeleteFile('C:\Users\Мелкий\AppData\Local\DuckGo\duckgo.exe', '32');
 DeleteFile('C:\Users\Мелкий\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Users\Мелкий\AppData\Roaming\CurrencyConvertor\app.py', '32');
 DeleteFile('C:\Users\Мелкий\AppData\Roaming\CurrencyConvertor\ml.py', '32');
 DeleteFile('C:\Users\Мелкий\AppData\Roaming\CurrencyConvertor\python\pythonw.exe', '32');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "CurrencyConvertor2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "DuckGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Update S-1-8-22" /F', 0, 15000, true);
 DeleteFileMask('c:\users\мелкий\appdata\local\duckgo', '*', true);
 DeleteFileMask('c:\users\мелкий\appdata\local\yc', '*', true);
 DeleteDirectory('c:\users\мелкий\appdata\local\duckgo');
 DeleteDirectory('c:\users\мелкий\appdata\local\yc');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

[klinch]

Готово

[Vvvyg]

Не надо report файлы сюда прикреплять, нужны только CollectionLog.

Пофиксите в HijackThis:

Код:

O4 - MSConfig\startupreg: [VKSaver] C:\ProgramData\VKSaver\VKSaver.exe  (file missing) (HKLM) (2017/09/02)
O20 - AppInit_DLLs: C:\PROGRA~2\VKSaver\vksaver3.dll

Проблема решена?

[klinch]

Да, пока всё хорошо, претензий-пожеланий нет.

Огромное спасибо Вам и сайту за предоставленную помощь!))

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\мелкий\appdata\local\duckgo\duckgo.exe - Trojan.Win32.Reconyc.ihtb
  2. c:\users\мелкий\appdata\local\yc\application\yc.ex e - UDS:DangerousObject.Multi.Generic