Компьютер самопроизвольно перезагружается [not-a-virus:AdWare.Python.PBot.aj, not-a-virus:AdWare.Win32.Clicker.e ]

[scra2009]

Добрый день.
Целый букет вирусов попался. Часть вычистил CureIt с загрузочной флешки. Потом отдельно запустил уже из винды - там тоже вирусня нашлась.
Автологгер до конца сам не отработал. При попытке потом зайти из винды в папку с логами AVZ окно закрывалось и перезапускался explorer. В процессах висит calculator.exe. Аж 3 штуки. Хотя никакой калькулятор не запускал. В браузере внезапно вылезает реклама.
Логи HiJack и RSIT запускал уже вручную в безопасном режиме. Там же скопировал логи AVZ. Лог RSIT сохранился в формате .csv. Сюда не дает добавить во вложения
Прошу помощи, плиз!

[Info_bot]

Уважаемый(ая) scra2009, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\user\appdata\local\smarttool calculator\calculator.exe');
 QuarantineFile('C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe', '');
 QuarantineFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe', '');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\aUxBWXOYaU.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\lumsystem\lumsystem.exe', '');
 QuarantineFile('C:\Users\User\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '');
 QuarantineFile('c:\users\user\appdata\local\smarttool calculator\calculator.exe', '');
 QuarantineFile('C:\Users\User\appdata\roaming\imagecropresize\imageed\imageed.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\RedditSearch\app.py', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\RedditSearch\ml.py', '');
 QuarantineFile('C:\Windows\system32\fqIA.exe', '');
 DeleteFile('C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe', '32');
 DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe', '32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\lumsystem\lumsystem.exe', '32');
 DeleteFile('C:\Users\User\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe', '32');
 DeleteFile('c:\users\user\appdata\local\smarttool calculator\calculator.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\SmartTool Calculator\ffmpeg.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\SmartTool Calculator\libegl.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\SmartTool Calculator\libglesv2.dll', '32');
 DeleteFile('C:\Users\User\AppData\Local\SmartTool Calculator\node.dll', '32');
 DeleteFile('C:\Users\User\appdata\roaming\imagecropresize\imageed\imageed.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\RedditSearch\app.py', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\RedditSearch\ml.py', '32');
 DeleteFile('C:\Windows\system32\fqIA.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{050AA647-6CF6-47C9-BCD6-B8345D7B5058}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{63D03A12-60DB-4535-807E-39E870117E64}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{8D4FE327-3FD2-4BA3-ADEC-33960326A9ED}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "LumProcess" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RedditSearch" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RedditSearch2" /F', 0, 15000, true);
 DeleteFileMask('c:\program files\askpartnernetwork', '*', true);
 DeleteFileMask('c:\program files\mail.ru', '*', true);
 DeleteFileMask('c:\program files\mobogenie', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\lumsystem', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\smarttool calculator', '*', false);
 DeleteFileMask('c:\users\user\appdata\roaming\imagecropresize', '*', true);
 DeleteFileMask('c:\users\user\appdata\roaming\redditsearch', '*', true);
 DeleteDirectory('c:\program files\askpartnernetwork');
 DeleteDirectory('c:\program files\mail.ru');
 DeleteDirectory('c:\program files\mobogenie');
 DeleteDirectory('c:\users\user\appdata\local\lumsystem');
 DeleteDirectory('c:\users\user\appdata\local\smarttool calculator');
 DeleteDirectory('c:\users\user\appdata\roaming\imagecropresize');
 DeleteDirectory('c:\users\user\appdata\roaming\redditsearch');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RedditSearch');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SmartTool Calculator');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ywzqemaxme', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[scra2009]

После того, как саму папку и прогу AVZ переименовал, смог запустить и выполнить скрипт.
Во вложение также кинул общий лог автологгером (в первый раз я его так и не сделал до конца)

[Vvvyg]

Удалите расширения Пульт, Tables, Quick Searcher и от Mail.Ru во всt[ браузерах.

Деинсталлируйте:

Hamster ZIP Archiver
RedditSearch
Кнопка "Яндекс" на панели задач
Менеджер браузеров

Удалите Java(TM) 8 Update 40, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
(Mail.Ru) C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
BHO: [email protected] -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\User\AppData\Local\Mail.Ru\Sputnik\ie_addon_dll.dll [2018-04-09] (Mail.Ru)
R2 Thorn; C:\Users\User\AppData\Local\THORN\Thorn.exe [62328 2016-11-18] (GGS) <==== ATTENTION
HKU\S-1-5-21-1071358962-1398067100-2511156696-1000\...\Run: [MailRuUpdater] => C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe [4053176 2018-04-09] (Mail.Ru) <==== ATTENTION
C:\Users\User\AppData\Local\THORN
C:\Users\User\AppData\Local\Mail.Ru
MSCONFIG\startupreg: mobilegeni daemon => 
MSCONFIG\startupreg: ywzqemaxme => 
FirewallRules: [{19B6930A-AB8D-4D86-A413-C04BA6A4DEB1}] => (Allow) C:\Users\User\AppData\Local\Lite\Application\lite.exe
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dloebpogmbloiggbbkganacecpobmlde] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1071358962-1398067100-2511156696-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Tables) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\egafjhhpbipcmpoiomegbckljbbbphoj [2018-02-18]
OPR Extension: (Quick Searcher v16.2) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2018-02-13]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

[scra2009]

Все сделал.
Деинсталляция некоторых программ проходила не с первого раза. Т.е. вроде удалилась программа, а после перезагрузки она опять появлялась в списке установленных программ. Hamster ZIP Archiver деинсталлировался легко, однако ярлыки остались. По ним вышел на физическое расположение и вручную удалил.
Проблем в работе компьютера не наблюдаю
Логи прикрепил

[Vvvyg]

Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\user\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe - not-a-virus:AdWare.Win32.RuKoma.cp ( DrWEB: Trojan.LoadMoney.491, BitDefender: Trojan.GenericKD.2198893 )
  2. c:\users\user\appdata\roaming\imagecropresize\imag eed\imageed.exe - not-a-virus:AdWare.Win32.Clicker.e
  3. c:\users\user\appdata\roaming\redditsearch\app.py - not-a-virus:AdWare.Python.PBot.aj
  4. c:\users\user\appdata\roaming\redditsearch\ml.py - not-a-virus:AdWare.Python.PBot.aj